Niels Sloth wrote:
> Pludselig her i eftermiddag popper der en windows box op som
> kræver login-navn og -password ved et par af siderne.
>
> Jeg har været inde og kigge på serveren og de to filer havde
> mistet den anonyme internet bruger. Jeg har så tilføjet den igen
> og det kører nu, men ved ikke hvordan det kan være sket.
>
> Har der været hacket, eller kan nogen komme med andre forslag?
Det er lidt svært at afgøre ud fra de sparsomme oplysninger.
Var det _filer_ eller indhold i databasen.
Det lyder som om det var filer, men normalt sker der ingenting 'af sig
selv'.
Er det dig selv, der administrerer serveren ?
Kan andre have 'opdateret'/'pillet', så rettighederne er forsvundet ?
Det kan jo godt ske via nedarving, hvis man pillet lidt i IIS
konfigurationen.
Men tjekkede du timestamp for de pågældende filer?
Det vil give en indikation om det er _filen_ der er ændret eller
_rettigheden_ der er ændret.
> Skal jeg evt. tage forholdsregler, og hvilke for at stoppe
> eventuelt skidt der kan være installeret på serveren?
At reaktivt finde filer, der er ændret kan godt være tilnærmelsesvis
umuligt, men hvis du vil tjekke din database (hvis det er MS SQLServer) for
<script> injection, så er jeg i gang med beskrivelse og removalkit her:
<
http://w-o-p-r.dk/storm.monitor/SQL.injection/how.it.is.done.asp>
--
Med venlig hilsen
Stig Johansen