[JonathanS]

Just denna attack är automatiserad. Har sett den förr. Utnyttjar säkerhetsmässigt bristfällig programmering, dvs fel av utvecklaren/webbmastern.

Att denna server står hos A24 har ingenting med saken att göra.

Edit: Inget illa om Max dock, deras burgare knäcker.

[pitbull]

För 30 minuter sedan blev även pitbull.se:s forum hackad av samma skript. Det tog över ett användarnamn, och sedan började cirkusen. Några råd?
http://www.pitbull.se/phpBB2 är adressen till eländet.

Mvh /Stefan

[Davve]

nån ifrån sverige som gör det tro? då de ger sig på se domäner?

[pitbull]

Attacken kom ca. en timme efter att vi stängt av en användare från forumet. Slump eller inte... Kan webbhotellet spåra detta? Jag har aldrig råkat ut för detta tidigare. Polisanmälan?

Jag hann med att köra detta på det ansvariga användarkontot:

BY HACKED COREMDE 30 Sep 2005 11:10 pm 30 Sep 2005 11:17 pm 80.216.36.148


TraceRoute to 80.216.36.148 [c80-216-36-148.cm-upc.chello.se]
Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net
2 0 0 0 66.98.241.7 gphou-66-98-241-7.ev1.net
3 0 0 0 66.98.240.6 gphou-66-98-240-6.ev1.net
4 1 1 1 129.250.10.229 ge-1-3-0.r02.hstntx01.us.bb.verio.net
5 1 2 1 129.250.3.46 p16-7-0-0.r00.hstntx01.us.bb.verio.net
6 46 44 44 129.250.2.19 p16-0-3-1.r21.asbnva01.us.bb.verio.net
7 46 46 46 129.250.2.63 p16-4-0-0.r02.asbnva01.us.bb.verio.net
8 122 121 121 206.223.115.104 us-was01a-ri1-ge-0-0-0.aorta.net
9 121 121 121 213.46.190.166 -
10 247 295 203 213.46.160.145 -
11 145 145 145 213.46.179.5 de-fra01a-rd1-pos-5-0.aorta.net
12 152 153 152 213.46.160.162 se-sto01a-ra2-so-0-0-3.aorta.net
13 153 153 153 213.46.176.90 -
14 153 154 153 213.200.188.194 c213-200-188-194.cm-upc.chello.se
15 153 154 153 213.200.188.222 c213-200-188-222.cm-upc.chello.se
16 Timed out Timed out Timed out -
17 Timed out Timed out Timed out -
18 Timed out Timed out Timed out -
19 Timed out Timed out Timed out -

[Jon A]

Tror inte polisanmälan gör särskilt mycket tyvärr.

[pitbull]

Nu har jag gått igenom loggfilen ordentligt. Här är ursprungskällan. Kan vara bra att veta om någon av er skulle bli utsatt av dessa pajasar.

TraceRoute to 85.102.47.66
Hop (ms) (ms) (ms) IP Address Host name
1 0 0 0 66.98.244.1 gphou-66-98-244-1.ev1.net
2 0 1 1 66.98.241.7 gphou-66-98-241-7.ev1.net
3 0 9 0 66.98.240.9 gphou-66-98-240-9.ev1.net
4 1 1 1 216.200.251.165 ge-6-0-0.mpr1.iah1.us.above.net
5 1 1 1 64.125.31.62 so-0-0-0.mpr2.iah1.us.above.net
6 14 15 14 64.125.31.26 so-4-1-0.mpr1.atl6.us.above.net
7 14 14 14 64.125.27.50 so-0-0-0.mpr2.atl6.us.above.net
8 25 25 25 64.125.27.65 so-3-2-0.cr1.dca2.us.above.net
9 97 97 97 64.125.31.185 so-6-0-0.cr1.lhr3.uk.above.net
10 97 96 96 208.184.231.173 pos1-0.mpr1.lhr1.uk.above.net
11 152 152 152 64.125.12.242 -
12 194 176 196 195.22.209.58 customer-side-turk-telekom-23-tr-lon7.lon.seabone.net
13 167 167 207 195.175.10.74 -

[ric]

Citat:

Originally posted by pitbull@Sep 30 2005, 23:19
Polisanmälan?

Självklart ska du göra en polisanmälan vare sig du tror det hjälper eller ej. Ungefär av samma skäl som man går och röstar i riksdagsvalet.

[pitbull]

Klart att det ska anmälas och rotas i. Om inte annat kanske värdefull info kommer fram om dessa vandaler som ni kan ha nytta av när ni ska skydda er mot liknande merarbete.

Synd bara att allt ligger på ett webbhotell som bara jobbar mån-fre fram till 17. Genomled ännu en attack idag, men nu börjar jag kunna mysql-knåpandet hjälpligt :-D
Har spärrat halva världen i htaccess känns det som...

/S