/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Min side er blevet hacket!
Fra : Ukendt


Dato : 09-09-02 16:19

da jeg så den imorges var der en der der havde været inde og ændret på et
billede: http://www.peet.dk/img/tmp/spysig.jpg (i kan se selve siden her:
http://www.peet.dk/hacked-index.php

Lad mig sige det med det samme, jeg har ikke en sk... forstand på website
sikkerhed.

Min webhost har så en raw log som jeg læste igennem her på arbejdet. (han
har været inde mellem 21 og 06) Her er en lille bid af loggen:
---------------------------------------------------
XX.XX.XXX.XXX - - [07/Sep/2002:19:14:23 -0400] "GET /icons/blank.gif
HTTP/1.1" 200 148 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1)"
XX.XX.XX.XXX - - [07/Sep/2002:19:14:24 -0400] "GET /icons/back.gif HTTP/1.1"
200 216 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1)"
--------------------------------------------------
(jeg ved ikke om jeg bare sådan må offentligøre ip'er så de er ersattet af
X)

Jeg har så læst igennem fra igår

Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der er
post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde. Men
der er en ip ud over de 2, er det ham der har hacket?


--
peet_dk was here... ICQ#71309759
http://www.peet.dk



 
 
Alex Holst (09-09-2002)
Kommentar
Fra : Alex Holst


Dato : 09-09-02 16:59

peet_dk <nope> wrote:
[..]

Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
dit indlaeg.

Tag en kopi af dine data og gen-installer maskinen. Foelg OSS'en naar du
goer:

http://a.area51.dk/sikkerhed/servere#trin

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Ukendt (09-09-2002)
Kommentar
Fra : Ukendt


Dato : 09-09-02 17:20

det er ikke min server, men min webhost hos http://www.nomonthlyfees.com/
Jeg ville bare høre om der ikke er noget i vil anbefale mig at gøre, evt.
hvordan i tror han er kommet ind? og hvor kan jeg få de oplysninger fra?
(jeg har skrevet til http://www.nomonthlyfees.com/ men har ikke fået svar
endnu)

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:aggila.k7j.ln@miracle.mongers.org...
> peet_dk <nope> wrote:
> [..]
>
> Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> dit indlaeg.
>
> Tag en kopi af dine data og gen-installer maskinen. Foelg OSS'en naar du
> goer:
>
> http://a.area51.dk/sikkerhed/servere#trin
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.mongers.org



Povl H. Pedersen (09-09-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 09-09-02 17:44

On Mon, 9 Sep 2002 18:20:17 +0200,
peet_dk <> wrote:
> det er ikke min server, men min webhost hos http://www.nomonthlyfees.com/
> Jeg ville bare høre om der ikke er noget i vil anbefale mig at gøre, evt.
> hvordan i tror han er kommet ind? og hvor kan jeg få de oplysninger fra?
> (jeg har skrevet til http://www.nomonthlyfees.com/ men har ikke fået svar
> endnu)

Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
som han har kunnet udnytte, eller også er serveren blevet hacket.

Det er en rimelig ny apache, men med Fuckpage Extensions....

Ukendt (09-09-2002)
Kommentar
Fra : Ukendt


Dato : 09-09-02 17:59

> Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
> som han har kunnet udnytte, eller også er serveren blevet hacket.
>
> Det er en rimelig ny apache, men med Fuckpage Extensions....

okay, jeg har en mistanke om han har kunne komme igennem mit DMA news
script http://www.digitalmediaart.com/scripts.php Det er svært at forklare
men det er en måde hvor jeg med et simpelt password kan skrive nyheder på
siden, vel og mærket uden at der er dirkete adgang til ftp'en (som jeg
bruger til at uploade filer med) Men han kan få adgang til min SQL database.
Kan han på den måde få adgang til selve siden?

Han kunne selvfølgelig også bare havde hacket sig ind ind på min hotmail
konto, hvor der ligger en velkoms mail fra webhosten med pass og hele
svineriet.........



Povl H. Pedersen (10-09-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 10-09-02 06:38

On Mon, 9 Sep 2002 18:58:56 +0200,
peet_dk <> wrote:
>> Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
>> som han har kunnet udnytte, eller også er serveren blevet hacket.
>>
>> Det er en rimelig ny apache, men med Fuckpage Extensions....
>
> okay, jeg har en mistanke om han har kunne komme igennem mit DMA news
> script http://www.digitalmediaart.com/scripts.php Det er svært at forklare
> men det er en måde hvor jeg med et simpelt password kan skrive nyheder på
> siden, vel og mærket uden at der er dirkete adgang til ftp'en (som jeg
> bruger til at uploade filer med) Men han kan få adgang til min SQL database.
> Kan han på den måde få adgang til selve siden?

Hvad er der i basen ? Kender ikke DMANews, og har ikke tid til at lave en
code audit, men der er bugs i meget kode derude.
>
> Han kunne selvfølgelig også bare havde hacket sig ind ind på min hotmail
> konto, hvor der ligger en velkoms mail fra webhosten med pass og hele
> svineriet.........

Hotmail er kendt for samme sikkerhedsniveau som normalt fra MS.
Man kan læse enhver persons mails med jævne mellemrum.

Kim Ludvigsen (09-09-2002)
Kommentar
Fra : Kim Ludvigsen


Dato : 09-09-02 17:26

Alex Holst wrote:
>
> peet_dk <nope> wrote:
> [..]
>
> Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> dit indlaeg.

Der er da et ret klart spørgsmål, som vel ikke er helt umuligt at svare
på for de lidt mere (end undertegnede) kyndige.

--
Mvh. Kim Ludvigsen

Stig Meyer Jensen (10-09-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 10-09-02 09:40

"Kim Ludvigsen" <ludvig@mail.dk> skrev i en meddelelse
news:3D7CCB7E.74CF@mail.dk...
> Alex Holst wrote:
> >
> > peet_dk <nope> wrote:
> > [..]
> >
> > Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> > dit indlaeg.
>
> Der er da et ret klart spørgsmål, som vel ikke er helt umuligt at svare
> på for de lidt mere (end undertegnede) kyndige.

Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er jo
ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
WinNT3.51 og IE6 der har hentet en gif).

Hvis den del af loggen hvor der er posts blev postet (!) er der nok større
chance for at nogen af de kloge hoveder her kan sig noget. Der er vel heller
ikke nogen der kan fortælle mig hvorfor jeg kørte galt i min bil, hvis jeg
giver dem flg:

1. Billede hvor jeg kører i bilen (helt uden problemer)
2. Billede af bilen før skaden
3. Billede af bilen efter den er skadet (på en fax, som desuden fosvinder med
tiden)

Ja, jeg har for meget tid og ja, det var en dårlig analogi ;)

--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)




Max Andersen (10-09-2002)
Kommentar
Fra : Max Andersen


Dato : 10-09-02 09:46


"Stig Meyer Jensen" <stig@mine_3_initialer.dk> wrote in message
news:3d7daef8$0$140
> Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er
jo
> ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
> WinNT3.51 og IE6 der har hentet en gif).
>

Windows NT 3.51?

Lad dig ikke narre af version '5.1' for hvis du skriver 'ver' i en
kommandoprompt på en XP, så får du Version 5.1.xxxx.

Max



Stig Meyer Jensen (11-09-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 11-09-02 09:21

"Max Andersen" <max@militant.dk> skrev i en meddelelse
news:3d7db16f$0$27646$edfadb0f@dspool01.news.tele.dk...
>
> "Stig Meyer Jensen" <stig@mine_3_initialer.dk> wrote in message
> news:3d7daef8$0$140
> > Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er
> jo
> > ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
> > WinNT3.51 og IE6 der har hentet en gif).
> >
>
> Windows NT 3.51?
>
> Lad dig ikke narre af version '5.1' for hvis du skriver 'ver' i en
> kommandoprompt på en XP, så får du Version 5.1.xxxx.

Doh!


--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)


Arne Schwerdtfegger (09-09-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 09-09-02 17:57

"peet_dk" <nope> wrote:
[snipsnip]
> Der er en masse "GET" det reger jeg bare er de folk som åbner min
> side, så dem har jeg hurtigt gået over, men der er også et par "POST"
> de ip'er der er post er enten den ip jeg har her hjemme, eller den
> oppe fra mit arbejde. Men der er en ip ud over de 2, er det ham der
> har hacket?

Prøv at smide logfilen online et sted.. det udsnit du gav er værdiløst.

--
Knud

Lasse Reichstein Nie~ (09-09-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 09-09-02 17:59

"peet_dk" <nope> writes:

> Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
> dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der er
> post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde. Men
> der er en ip ud over de 2, er det ham der har hacket?

Hvordan opdaterer du selv siden? Er der et web-interface?
Hvis ja, så er det nok det samme som denne person har brugt.
Ellers kan POST'er måske være tilknyttet gæstebogen.

Hvis du ved hvilket underliggende system der bruges til at styre
uploads kan du søge efter om der er kendte sikkerhedshuller, ellers
bør du skifte password ... for der er da password på, ikke?

Men Alex har ret, hvis du ikke ved hvad, og hvor meget, der er sket,
så er en fuld geninstalation det eneste rigtige at gøre. Mit gæt
er dog at din "hacker" ikke har gjort andet end at uploade et billede
og lidt tekst, men prøv at blive sikker. Forvent heller ikke alverden
support fra et sted der hedder nomonthlyfee.com :)

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Ukendt (09-09-2002)
Kommentar
Fra : Ukendt


Dato : 09-09-02 18:24

ok fejlen var en såkaldt 40cm fejl. Et screenshot i en forkert hånd...
heldigt han var ærlig.

"peet_dk" <nope> skrev i en meddelelse
news:3d7cbbb7$0$30486$edfadb0f@dspool01.news.tele.dk...
> da jeg så den imorges var der en der der havde været inde og ændret på et
> billede: http://www.peet.dk/img/tmp/spysig.jpg (i kan se selve siden her:
> http://www.peet.dk/hacked-index.php
>
> Lad mig sige det med det samme, jeg har ikke en sk... forstand på website
> sikkerhed.
>
> Min webhost har så en raw log som jeg læste igennem her på arbejdet. (han
> har været inde mellem 21 og 06) Her er en lille bid af loggen:
> ---------------------------------------------------
> XX.XX.XXX.XXX - - [07/Sep/2002:19:14:23 -0400] "GET /icons/blank.gif
> HTTP/1.1" 200 148 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE
> 6.0; Windows NT 5.1)"
> XX.XX.XX.XXX - - [07/Sep/2002:19:14:24 -0400] "GET /icons/back.gif
HTTP/1.1"
> 200 216 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE 6.0;
> Windows NT 5.1)"
> --------------------------------------------------
> (jeg ved ikke om jeg bare sådan må offentligøre ip'er så de er ersattet af
> X)
>
> Jeg har så læst igennem fra igår
>
> Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
> dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der
er
> post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde.
Men
> der er en ip ud over de 2, er det ham der har hacket?
>
>
> --
> peet_dk was here... ICQ#71309759
> http://www.peet.dk
>
>



Stig Meyer Jensen (10-09-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 10-09-02 09:41

"peet_dk" <nope> skrev i en meddelelse
news:3d7cd91f$0$181$edfadb0f@dspool01.news.tele.dk...
> ok fejlen var en såkaldt 40cm fejl. Et screenshot i en forkert hånd...
> heldigt han var ærlig.

LOL. Hvorfor læste jeg dog ikke det indlæg lidt før.

--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste