[grinditwp]

Nu har jag scannat min dator med Avira AntiVirus samt SpyBoy Search & Destroy. Men de hittar inga fel, några andra tips på program?
Något annat jag kan göra för att gå vidare och inte se till så att sidan attackeras mer?

[Magnus_A]

Citat:

Ursprungligen postat av Lumax

Teoretiskt så skulle det kunna vara via en SQL-injection, även om det inte är troligt.
Förutsatt att du kör MySQL och att den användare som databas-processen körs som har rättigheter att skriva till dina filer så skulle man kunna köra LOAD DATA INFILE för att läsa in filen till en temptabell, sedan modifiera innehållet med den aktuella koden och dumpa ut filen med SELECT .. INTO OUTFILE/DUMPFILE.

Ett riktigt teoretiskt långskott, men fullt möjligt.

Svårt i praktiken. Mysql körs oftast chrootad och kan inte skriva annat än till sina egna kataloger.

[Lumax]

Citat:

Ursprungligen postat av Magnus_A

Svårt i praktiken. Mysql körs oftast chrootad och kan inte skriva annat än till sina egna kataloger.

Jepp! Men jag vet flera webbhotell som har Windows-servrar där MySQL körs som local system. Sorgligt nog.

[Westman]

Citat:

Ursprungligen postat av Lumax

Jepp! Men jag vet flera webbhotell som har Windows-servrar där MySQL körs som local system. Sorgligt nog.

Jo det är nog ganska vanligt, Next-installationer brukar vi kalla dem.

[ecstyle]

Citat:

Ursprungligen postat av grinditwp

Nu har jag scannat min dator med Avira AntiVirus samt SpyBoy Search & Destroy. Men de hittar inga fel, några andra tips på program?
Något annat jag kan göra för att gå vidare och inte se till så att sidan attackeras mer?

Jag i länken du fick fanns det länk till ett gratisprogram som skall vara bra på att hitta keyloggers. Testa det. Comodo är ett annat gratisprogram som jag tycker är bättre än avira. Jag har kört SpyBoy Search & Destroy en gång i tiden och var inte speciellt imponerad.

Det är inte säkert att det är keyloggers, men att dom på något sätt fick tag på FTP-uppgifterna. I så fall så kan du försöka att logga in krypterat istället för okrypterat i fortsättningen.

[grinditwp]

Tack. Inga nya attacker har skett ännu i alla fall.

[Jonas]

Citat:

Ursprungligen postat av danielos

Och du kan ju inte slå av include på en server, då funkar ju nästan ingenting, däremot safe mode och lite annat måste till.

PHP's safe_mode är fel väg att gå. Det ställer till det mer än vad det gör nytta. Speciellt om PHP körs som en annan användare än vad kunden är (filuppladdningar mm). Finns en anledning att denna funktion försvinner i PHP6.

PHP över FastCGI, med antingen separat php.ini för varje kund eller php_admin_value i vhosten, med open_basedir, löser många problem

[Mortekai]

Jag gissar att sidan som du har problem med är antingen en Joomla sida eller ett forum? Alternativt något skript som har uppladdningsfunktion av någon form....

Att få en iframe injicerad i sin sida är inte ovanligt tragiskt nog och det är vanligast på sidor där det finns skript som tillåter uppladdningar (gif/XSS/SQL injections) och/eller där servern tillåter CHMOD 777.

Har du riktigt otur så behöver det inte ens vara din sida som är hackad om servern inte är säkrad ordentligt utan det kan ligga var som helst på servern....

[emilv]

Citat:

Ursprungligen postat av ecstyle

Det senaste året är det många som har drabbats och det är tydligen så att hackarna verkar ha kommit åt FTP-uppgifterna. Detta har skett i många olika system.

Jag kan intyga detta. Vi ser det på Levonline också. Typiskt är att någon bot går in och redigerar alla filer som heter något med index och default, men det har även hänt att alla filer som slutar på .php och .html har ändrats. Attackerna sker alltid via FTP med rätt lösenord.

Även om man rensar filerna så brukar botarna komma tillbaka rätt snart. Det brukar dock hjälpa att ändra lösenordet på FTP-kontot, och allra bäst är som redan sagts att köra SCP eller SFTP (som egentligen är samma protokoll). En del FTP-klienter har inbyggt stöd för SFTP/SCP. För Windows rekommenderar vi annars WinSCP.

Citat:

Ursprungligen postat av Mortekai

Jag gissar att sidan som du har problem med är antingen en Joomla sida eller ett forum? Alternativt något skript som har uppladdningsfunktion av någon form....

Jag har inte sett någon uppenbar koppling mellan färdiga CMS och dessa FTP-hack. Det är lika ofta hemmasnickrad kod som drabbas, eller sajter helt utan PHP (enbart HTML).

[Mortekai]

Citat:

Ursprungligen postat av emilv

Jag har inte sett någon uppenbar koppling mellan färdiga CMS och dessa FTP-hack. Det är lika ofta hemmasnickrad kod som drabbas, eller sajter helt utan PHP (enbart HTML).

Då har ni antingen ovanligt få eller ovanligt många tillbud, jag hoppas på det förra Småhackers kan norpa ett FTP konto och busa runt lite, men den stora massan med hackade webbplatser sker med bottar direkt fokuserade på kända säkerhetshål.

Jag skrev en post om Joomla moduler som hade säkerhetsbrister och jag tror jag har haft 5-10.000 försök från bottar dom senaste två åren riktade just mot den posten

Skript som tillåter uppladdningar och där det krävs CHMOD 777 för att skriptet ska fungera är rena julafton för dom här bottarna vilket är en bra anledning till varför kunder aldrig ska behöva ge högre rättigheter än 755 på kataloger och 644 på filer.

Att få en iframe injicerad i en sida är ett typiskt angrepp mot bland annat PHPBB och gamla IPB forum som jag vet om, annars brukar det vara vanligare med en defacial när man byter ut förstasidan till exempel om man får tillgång till en kunds FTP uppgifter eller att man lägger in skript gömda i användarens kataloger som sedan används för phishing, spam eller att vidare infektera servern.