---

Hej,

Hmmm, det lader til at pc-netto.dk er blevet defaced
her i dag. Der står bare "M@TRiX was HERE!!!" på
forsiden.

Jvnf. DK Hostmaster, er de hosted af Cybercity
(asp-3.cybercity.dk). Det lyder da ikke godt for
Cybercity, hvis de ikke har styr på deres webservere.
Men kan det være PC-Netto, der selv administrerer
den website? OK, det er måske ikke verdens
sværeste kunst at flippe en IIS, men alligevel...

/MaxPsx

---

MahPsx wrote:
> Hmmm, det lader til at pc-netto.dk er blevet defaced
> her i dag. Der står bare "M@TRiX was HERE!!!" på
> forsiden.

Nu er det så blevet til tekniske problemer... :)

// Hans
--
Red-line-shift,Red-line-shift,etc.etc.Red-Light-Stop,Repeat...

---

On 21 Sep 2003 21:54:24 GMT, Hans Joergensen
<haj@enterprise-server.dk> wrote:

>MahPsx wrote:
>> Hmmm, det lader til at pc-netto.dk er blevet defaced
>> her i dag. Der står bare "M@TRiX was HERE!!!" på
>> forsiden.
>
>Nu er det så blevet til tekniske problemer... :)

Hvilket de har opdaget, men han kommer først i morgen.

Snip fra siden:
På grund af tekniske problemer er www.pc-netto.dk lukket frem til kl.
12.00 mandag d. 22/09.

Poul Erik
Fjern cykel i adresse

--
== __o
Poul Erik Lindaa === _'\ <_ E-mail: lindaa@mail.tele.cykeldk
==== (¤)/ (¤)
------------------------------------------------------------

---

Poul Erik wrote:

> Hvilket de har opdaget, men han kommer først i morgen.

Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem, inden
siden reetableres. Hullet skal vel også lukkes, hvis CC kan finde ud af
det...

---

na wrote:

> Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem,
> inden siden reetableres. Hullet skal vel også lukkes, hvis CC kan
> finde ud af det...

asp-3.cybercity.dk

"Admin, I leave my ticket and message in its site... Greetz For all the
prejudiced ones that it is said to be the best ones... by the danz"

står der på siden. Hackeren har slettet en del filer fra vores site, dog har
vi en backup så vi har umiddelbart ikke mistet noget (teknisk set).

---

<na> wrote:

> na wrote:
>
>> Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem,
>> inden siden reetableres. Hullet skal vel også lukkes, hvis CC kan
>> finde ud af det...
>
> asp-3.cybercity.dk
>
> "Admin, I leave my ticket and message in its site... Greetz For all the
> prejudiced ones that it is said to be the best ones... by the danz"
>
> står der på siden. Hackeren har slettet en del filer fra vores site, dog
> har vi en backup så vi har umiddelbart ikke mistet noget (teknisk set).

Hvad med kundedatabasen?

--
M.V.H
Christian Iversen

---

Christian Iversen wrote:

> Hvad med kundedatabasen?

Den er ikke rørt. Personen har 'kun' slettet filer i roden af vores site.
Han har heller ikke slettet de logs IIS laver, så jeg har 'måske' fundet den
IP personen er kommet fra (Tyrkiet).

---

<na> writes:

>Den er ikke rørt. Personen har 'kun' slettet filer i roden af vores site.
>Han har heller ikke slettet de logs IIS laver, så jeg har 'måske' fundet den
>IP personen er kommet fra (Tyrkiet).

IP'en på den hackede computer, han er kommet fra. Som måske har en
IP på den anden hackede computer, han er kommet fra. Som måske har
en IP på den tredie hackede computer, han er kommet fra. Som...

Mvh.
   Klaus.

---

In article <slrnbms7gg.l32.haj@enterprise-server.dk>, Hans Joergensen wrote:
> Nu er det så blevet til tekniske problemer... :)

http://asp-3.cybercity.dk/ viser stadigvæk det
oprindelige defacement,

---

In article <3f6e1709$0$48905$edfadb0f@dtext02.news.tele.dk>, MahPsx wrote:
> Cybercity, hvis de ikke har styr på deres webservere.
> Men kan det være PC-Netto, der selv administrerer
> den website? OK, det er måske ikke verdens

Det kan også være kunden der selv har kodet
asp-scriptet...det er ikke svært at lave
kode fyldt med fejl.

Sidst jeg har kodet lidt for en kunde, skulle
CC have en time for at godkende koden, måske
er dette ændret siden da?

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> Sidst jeg har kodet lidt for en kunde, skulle
> CC have en time for at godkende koden, måske
> er dette ændret siden da?

Det har ikke været så pokkers meget kode, hvis du forventer at de skal
kunne finde egentlige fejl i det. De vil nok højst kunne finde de mest
himmelråbende fejl.

--
Peter Makholm | Emacs is the only modern general-purpose
peter@makholm.net | operating system that doesn't multitask
http://hacking.dk |

---

MahPsx wrote in dk.edb.sikkerhed:

[...]

> Jvnf. DK Hostmaster, er de hosted af Cybercity
> (asp-3.cybercity.dk). Det lyder da ikke godt for
> Cybercity, hvis de ikke har styr på deres webservere.
> Men kan det være PC-Netto, der selv administrerer
> den website? OK, det er måske ikke verdens
> sværeste kunst at flippe en IIS, men alligevel...

Alle dem der er fra d. 22 på
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
er nok fra samme fysiske maskine så mon ikke det er CC selv der
administrerer den?
Men derfor kan det sagtens være noget fejlet kunde-kode crackeren er sluppet
ind igennem.
Hvorvidt CC generelt har styr på deres maskiner kan jeg udtale mig specielt
meget om men de har da generelt et nogenlunde ry.

> /MaxPsx

--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html

"Welcome to Cynical Island; population: You!"
-- Sean Hayes as Jack McFarland in 'Will & Grace'

---

Henrik Bøgh wrote:

> Alle dem der er fra d. 22 på
>
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
> er nok fra samme fysiske maskine så mon ikke det er CC selv der
> administrerer den?

Det er det. I.flg. CC var det en patch der ikke var installeret korrekt.

> Men derfor kan det sagtens være noget fejlet kunde-kode crackeren er
> sluppet ind igennem.

Muligvis, men det burde i princippet kun ramme den kunde, og ikke hele
maskinen.

---

<na> wrote:

> Henrik Bøgh wrote:
>
>> Alle dem der er fra d. 22 på
>>
>
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
>> er nok fra samme fysiske maskine så mon ikke det er CC selv der
>> administrerer den?
>
> Det er det. I.flg. CC var det en patch der ikke var installeret korrekt.
>

det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag d. 23

---

NN@gyrniff.dk wrote:
> det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag
> d. 23

?

Jeg kan se at vores site har haft besøg af en frontpage - der er _vti_cnf
alle mulige steder - og det kommer ikke fra vores systemer - da der er sat
at block ind specifikt på disse mapper. For pokker da.

---

<na> wrote:

> NN@gyrniff.dk wrote:
>> det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag
>> d. 23
>
> ?
>
> Jeg kan se at vores site har haft besøg af en frontpage - der er _vti_cnf
> alle mulige steder - og det kommer ikke fra vores systemer - da der er sat
> at block ind specifikt på disse mapper. For pokker da.

*LOL*

---

NN@gyrniff.dk wrote:

>>> det ser ud til at 'M@TRiX' har besÃf¸gt asp-3.cybercity.dk igen i
>>> dag d. 23
>> ?

En gang til : ?

Jeg har et nummer jeg kan bruge, men jeg skal være stensikker på at der er
et angreb i gang. F.eks. står beredskab.dk listet på zone-h (søgning på
M@TRIX ) - men jeg kan ikke se et defacement.

---

<na> wrote:

> NN@gyrniff.dk wrote:
>
>>>> det ser ud til at 'M@TRiX' har besÃf¸gt asp-3.cybercity.dk igen i
>>>> dag d. 23
>>> ?
>
> En gang til : ?
>
> Jeg har et nummer jeg kan bruge, men jeg skal være stensikker på at der er
> et angreb i gang. F.eks. står beredskab.dk listet på zone-h (søgning på
> M@TRIX ) - men jeg kan ikke se et defacement.

Jeg tror at CC har været lidt hurtigere til at køre en backup ind

---

NN@gyrniff.dk wrote:

> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>

Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før M@TRIX
fik sit redefacement registeret, så er det jo ikke korrekt det der er blevet
noteret på zone-h.

---

<na> wrote:

> NN@gyrniff.dk wrote:
>
>> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>>
>
> Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
> beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før M@TRIX
> fik sit redefacement registeret, så er det jo ikke korrekt det der er
> blevet noteret på zone-h.

PÃ¥ zone-h kan jeg kun se beredskab.dk men ikke beredskabET.dk

www.beredskab.dk har cname:asp-3.cybercity.dk og ip:212.242.42.147
hvorimod beredskabET.dk har ip 62.242.67.220


Du kan ikke se hvornår et et domain har skiftet nameserver, nogle dns admins
benytter dog syntaks yyyymmdd## i SOA recorden, ex. så benytter CC denne
syntaks i SOA for beredskab.dk:
beredskab.dk. 47964 IN SOA ns1.cybercity.dk. zonec.cybercity.dk. 2003031803
det fortæller hvornår den sidst er blevet ændret (18 marts 2003) - det er
dog ikke sikkert at sysadmin benytter den rigtige dato ;)


derimod benytter wannafind benytter et simpelt fortløbende nummer:
beredskabet.dk. 3600 IN SOA ns.wannafind.dk. hostmaster.wannafind.dk. 36

---

NN@gyrniff_SPAM.dk wrote:

> <na> wrote:
>
>> NN@gyrniff.dk wrote:
>>
>>> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>>>
>>
>> Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
>> beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før
>> M@TRIX fik sit redefacement registeret, så er det jo ikke korrekt det der
>> er blevet noteret på zone-h.
>
> PÃ¥ zone-h kan jeg kun se beredskab.dk men ikke beredskabET.dk
>
> www.beredskab.dk har cname:asp-3.cybercity.dk og ip:212.242.42.147
> hvorimod beredskabET.dk har ip 62.242.67.220
>
>
> Du kan ikke se hvornår et et domain har skiftet nameserver, nogle dns
> admins benytter dog syntaks yyyymmdd## i SOA recorden, ex. så benytter CC
> denne syntaks i SOA for beredskab.dk:
> beredskab.dk. 47964 IN SOA ns1.cybercity.dk. zonec.cybercity.dk.
> 2003031803
> det fortæller hvornår den sidst er blevet ændret (18 marts 2003) - det er
> dog ikke sikkert at sysadmin benytter den rigtige dato ;)
>
>
> derimod benytter wannafind benytter et simpelt fortløbende nummer:
> beredskabet.dk. 3600 IN SOA ns.wannafind.dk. hostmaster.wannafind.dk. 36

??