[clirre]

Hej,

Jag är utsatt för systematiska hackerattacker på mitt amerikanska webbhotell Servage. De kommer in någonstans och jag kan inte begripa hur. Det har nu skett för tredje gången.

Efter första gången bytte jag lösenord på alla inloggningskonton och databaser.
Efter andra gången fick jag rådet att täta för mysql-injections med hjälp av "mysql_real_escape_string" vilket jag gjorde.

Nu har det skett för tredje gången. De lägger in osynliga skräplänkar, kod som får virusprogrammen att blinka till och ful-filer i image-mappen (php-sidor).

Då jag knappast är nån expert så vet jag inte längre hur jag ska göra. Är det någon annan här som blivit drabbade av samma sak? Kanske samma hackers/script?

Jag får känslan av att sidan är "automathackad". De skadar inte själva sidan men inplanterar som sagt osynliga länkar och scriptkod.

Titta in källkoden på www. google earth cool places. com - OBS! Gör det bara om du har ett virusprogram installerat.

Hur skulle du felsöka?

Jag har för övrigt ett phpLD-directory installerat på samma webbhotell.

// Clirre

ps. Hade en annan tråd här om samma fel där jag felaktigt anklagade mitt gamla webbhotell för problemet. Startar därför en ny tråd som är mer relevant.

[clirre]

Jag kan underlätta för er också med att ställa några raka frågor:

1. Om man har fri tillgång till en databas så kan man skapa filer i en katalog med hjälp av detta?

2. Om man kan skapa filer som ovan så kan man skapa en ingång för att kunna editera andra filer?

3. Mysql-injections är ett sätt att kunna skapa såna filer?

4. mysql_real_escape_string är tillräckligt för att stoppa mysql-injections?

5. Om man kan komma in på en sida så kan man komma in på flera sidor på samma webbhotell?

6. Remote Mysql v.5 är ett stort säkerhetshot?

7. kmz (Google Earth-filer) kan innehålla portar/virus mm?

8. Känner du igen tillvägagångssättet från något speciellt säkerhetshål? Badware, osynliga iframes mm.

9. Vilka vanliga säkerhetsluckor kan scannas automatiskt av script för att hitta svaga sidor?

10. Är phpLD en känd säkerhetsfara?

11. Finns det bra, gratis tjänster på nätet som letar säkerhetshål på ens sida? Jag har googlat men inte hittat något jag förstått mig på.

12. Kan det ligga kod lagrad i databasen som ger en öppen dörr? Vad och var ska jag leta efter i såna fall?

13. Har du blivit hackad någon gång? Vad gjorde du då?

[ponting]

Servage Ligger ej i USA utan i holland!
Jag skulle byta till senaste php LD scriptet som är det säkraste.
sen gå in på servage nånstans finns det lite mer att kryssa in på säkerhet området.

[coredev]

Börja att logga IP-nummer på allt som sker mot din databas (i alla tabeller). Efter ett tag har du en lista på onda IP som du kan förbjuda access från.

Har funkat mycket bra för mig (dock ej phpLD).

Kända programvaror (som tex phpLD, phpBB, etc) är ett vanligt och tacksamt mål för automagiska hackningar.

[Dennis Holm]

kör dom med suphp?
Och vad är rättigheterna på dina filer och kataloger.
Om du tex har 777 på en katalog tex så kan ju någon annan på servern skriva runt på ditt konto lite som dom vill.
Om det endast är din site som har detta problemet och du har shared hosting..
ja då ska du kolla vilka rättigheter alla filer har och se till att du uppdaterat dina scripts osv.

Servage.net hacked på webhostingtalk forumet

Sökte medans jag satt o skrev ett svar till dig.
Du verkar inte vara ensam.

[Adam N]

Ska försöka svara på några av frågorna. Jag är dock ingen expert på detta, så andra får gärna rätta mig om jag har fel eller komplettera med mer info.

Citat:

Ursprungligen postat av clirre

1. Om man har fri tillgång till en databas så kan man skapa filer i en katalog med hjälp av detta?

Vet inte. Kanske via stored procedures. Beror nog på vilken databas man har och hur den är konfigurerad.

Citat:

Originally posted by -clirre@Mar 9 2008, 08:20
2. Om man kan skapa filer som ovan så kan man skapa en ingång för att kunna editera andra filer?

Ja, det borde vara möjligt. Man skulle kunna skapa en php-fil med all möjlig elak kod och sedan anropa den utifrån.

Citat:

Originally posted by -clirre@Mar 9 2008, 08:20
3. Mysql-injections är ett sätt att kunna skapa såna filer?

Ja, med mysql-injections bör man väl kunna göra i stort sett allt som kan göras mot databasen så länge det inte är konfigurerat några restriktioner.

Citat:

Originally posted by -clirre@Mar 9 2008, 08:20
4. mysql_real_escape_string är tillräckligt för att stoppa mysql-injections?

Ja, det bör det vara.

Citat:

Originally posted by -clirre@Mar 9 2008, 08:20
5. Om man kan komma in på en sida så kan man komma in på flera sidor på samma webbhotell?

Mycket möjligt, men det beror på hur webbhotellet har konfigurerat servern och hur man har kommit in. Med SSH-access så kan man t ex göra mer än med FTP-access (tror jag).

Citat:

Ursprungligen postat av clirre

11. Finns det bra, gratis tjänster på nätet som letar säkerhetshål på ens sida? Jag har googlat men inte hittat något jag förstått mig på.

Paros och Priamos ska vara bra, men jag har inte testat dem själv ännu.

[clirre]

Tack för alla era svar! Blir otroligt glad över att ni hjälper mig. Har haft osannolikt struligt på senaste tiden där detta hack bara är en sak i mängden (pajade datorn och var Proinet-kunde också).

Jag var inte direkt inne på att det skulle vara något hos webbhotellet men jag har fått svar från två olika håll nu att det kan vara något lurt med Servage. Ska följa upp det spåret närmare.

Lite svar på era frågor mm:

- Servage ligger inte i USA, det har du rätt i (visste iofs inte det när jag valde dem) men ligger de inte i Tyskland?
- Det phpLD-scriptet jag kör var för en sida som var väldigt ny, dvs inga besökare så jag börjar med att ta bort hela sidan. Det gör ingen riktig skada att ta bort det.
- Jag har inte satt några rättigheter aktivt, allt har satts automatiskt av webbhotellet. Det är -rw-r--r- på alla filer och drwx-xr-x på mappar. Vissa mappar och filer de har hackat så har de blivit satta till 777 (har ändrat tillbaka förstås).
- Testade Priamos men kunde inte installera det, ska kolla med Paros också.
- Ska försöka hitta nån logg eller nåt sätt att aktivera det hos Servage så att jag kan se vad som hände. Det är ganska lätt att se när sidorna blev hackade (alla filer har samma Senast Ändrat-datum).
- Vet inte vad subhp är för något men jag erinrar mig vagt att jag tog bort en fil skapad av hackarna som kan ha hetat något liknande. Kommer dock inte ihåg...

Fick det här svaret från Servage idag (på frågan om det är något från deras sida som är fel). Hade ställt frågan innan och bara fått svaret att det var mitt script som var fel och att jag skulle anlita någon php-programmerare för att fixa koden.

"Server maintenance has been followed with high security breach. Meanwhile it will be much appreciated if you can secure the scripts which are being hacked randomly,"

Förstår inte helt vad de menar så jag kommer fråga tillbaka.

[Dennis Holm]

dom vill att du ska säkra de skript som blivit hackade.. så dom slipper göra det..

[jonny]

Vet du vilka script det rör sig om?
Det går att göra så mycket "roliga" saker med php om den som skrivit skriptet inte har tänkt ett par gånger extra på säkerheten.

[jonny]

Förresten, du har väl loggfiler? Kika i dem och försök se vilka filer som körs för att lokalisera de script som orsakar problem.