[grinditwp]

Citat:

Ursprungligen postat av Björklund

Eftersom du skriver att man kan se det i FTP-loggen så måste det skett via FTP.
Ert FTP-lösenord är alltså på vift. Ändra det. Andra också alla andra säkerhetsrelaterade uppgifter så som MySQL-login m.m.

Man kan i alla fall se på filen när den blev ändrad. Datumstämpeln du vet.

[Björklund]

"I fredags klockan 20.39, redigerades två php filer enligt ftp-loggen på en kunds webbsida."

Som sagt, står det att FTP-logg-filen ändrades via FTP så är det ju via FTP de har tagit sig in.

Om man kör FTP så finns det en funktion att köra SSL för FTP. Kör man utan SSL så är det ganska lätt att bli avlyssnad. Det är inte FSDatas fel (hoppas jag) att ert lösenord är på vift.

[weetabix]

Det här är ett mycket vanligt förekommande problem. Som Björklund säger så är ftp-lösenordet på vift. Det finns trojaner som tar de lagrade ftp-uppgifterna i tex ws-ftp och använder dessa för att sprida sig vidare.

[Westman]

Citat:

Ursprungligen postat av grinditwp

Man kan i alla fall se på filen när den blev ändrad. Datumstämpeln du vet.

Jag blir lite förvirrad, är det på filens datumstämpel du tittar eller är det i en ftplogg?

[grinditwp]

Citat:

Ursprungligen postat av Westman

Jag blir lite förvirrad, är det på filens datumstämpel du tittar eller är det i en ftplogg?

Filens datumstämpel.

Men det rör sig i alla fall om ett angrepp via ftp eller servern och inte vår webbsida. Det är det viktiga.
Vad jag reagerar på från FS-Datas del är att de så snabbt sopade undan det hela under mattan och bara sade att det var en SQL-Injektion (vilket det inte var) istället för att de t.ex. kollade om det varit några angrepp via servern, bett oss byta lösenord osv.

Istället frånsäger de helt sitt ansvar och beskyller ett möjligt cms på webbsidan

Ingen skada är skedd, men det är ett oprofessionellt bemötande enligt min mening.

[ecstyle]

Jag är egentligen inte den som skall spekulera i vad som har hänt.
Men det är möjligt att någon har kommit åt FTP-uppgifterna via keylogger, trojan eller dylikt. Använd helst SFTP eller SSH och inte FTP. Det skyddar väl inte mot keylogger, men är bättre än att lösenord skickas okrypterat. Använd inte heller funktionen att spara din FTP-uppgifter automatiskt.

Det ser ut som om dom har lagt in en iframe i indexfilerna. Antagligen för att sprida viruset till webbsidornas besökare.

Be kunden skanna datorn för trojaner och keyloggers, ja alla som använder FTP:n. Annars kan det vara risk att det kommer att ske igen.