Hackning af vort forum

[B Mønnike]

Igår Fredag den 2.10.09 blev jeg istedet for hjemmesiden, da jeg ville logge ind her, mødt af en blå side med  følgende tekst:

H4x0r3D By Mn 7oS
Anti.dk & ,nl Sites

og på netlinien stod der Hacked by Mn 7oS

Hvem eller hvad er årsag til dette nummer og er det noget der kan undgåes i fremtiden?

[Mikael Boldt]

kl 23:25 dk-tid i går blev alle index filer på mit webhotel overskrevet.
jeg opdagede det først her til morgen og har nu brugt 4 timer på at rydde op og ændre mine admin password både på webhotel og som admin på mine sites.

Hullet var ikke på denne side, min på en gammel side jeg havde liggende som arkiv . den er nu fjernet, ligesom jeg er i gang med at rydde op.

Jeg mener ikke at i som brugere kan gøre noget, da f.eks jeres brugernavn og kode ikke giver adgang til andet end at skrive indlæg her.

Udover at rydde op og fjerne plugins og scripts som ikke længere bruges kan jeg kun opdatere til nyeste versioner af programmerne jeg anvender.

Det er godt det også er regnvejr her i Rumænien.

Jeg foretager jævnligt backup af indholdet og af programmet.

så jeg tror ikke jeg kan gøre mere

God debat

Mikael Boldt

[Kusco]

Jeg ved meget lidt om den branche, men noget kan jo google sig til.

Så det sådan ud: http://www.teamhustler.dk/

H4x0r3D er åbenbart en afart slang for "to be hacked" om det så indbygger en advarsel i hændelsen, ved jeg ikke.

Mn 7oS er synonym for personen eller dem der har gjort det.

[B Mønnike]

Præcis sådan Kusko

[Mikael Boldt]

Har opdaget at nogle af mine hjemmesider er blevet angrebet 2 gange!

Første angreb var det mest intelligente fordi det ændrede indholdet af alle filer hvor navnet indeholder ordet index
dvs index.php   index.htm   index.template.php uanset hvor i programmapperne og gemte en lille fil i en mappe et par niveauer nede.

Det andet angreb anbragte blot en index.html i roden af hjemmesiden.

andet angreb var inden jeg ændrede password, så jeg håber at dette hjælper.

[Mikael Boldt]

så er 3. bølge igang

[chrismark]

Er der nogen her der kan forklare hvad der sker i praktis, ved den slags.?

Bliver der indsat et link til en anden I.P. eller hvad.

Marek.

[Kusco]

Jeg har søgt rundt efter gruppen og oplysninger om dem.

Faktisk antog jeg i starten at emailen var fake, men det ser ud til at være rigtigt nok.

Basalt er det Allah's IT-afdeling der er igang. De holder åbenbart til i USA men registrerer sig i div. fora som værende fra Saudi Arabien.
Det foregår der på Arabisk som jeg ikke rigtigt har fået lært mig.

De har åbenbart en forkærlighed for PHP med SQL.

[Mikael Boldt]

hjemmesiden ingeniordebat.dk er som en mappe i din pc.
i mappen er der programstumper og mapper med for eksempel billeder, sprogmoduler, osv.
når din browser kalder mappen åbnes enten index.html eller index.php (i nævnte rækkefølge)

Hackeren erstatter min index.html med sin egen.

Jeg har selvfølgelig sikret min hjemmesidemappe og indholdet ved at give egenskaben "read only", men nogle plugins (tillægsprogrammer) kræver at en mappe er skrivebar, har egenskaben "write".

For eksempel, så er mappen med avatarer skrivbar - ellers kan du ikke sætte dit portræt i forummet. at mappen er skrivbar betyder nødvendigvis ikke at du bare kan få adgang til og lægge billeder ind uden at bruge mit program.

Hvis du ikke bruger programmet kan du kun få adgang til mappen med FTP men det kræver mit brugernavn og mit password - og det kan du kun finde hvis du har et sniffer program på min pc i min programmappe eller på webhotellet.

En måde at få et sniffer program ind i et webhotel er, hvis for eksempel avatarprogrammet som kontrollerer når du vil sætte portrætbillede på dette forum accepterer andet end billedfiler jpg, gif png, så kan du ligepludselig uploade snifferprogrammet.

Problemet med hacker-angreb er at jeg ved ikke hvordan de kommer ind, så min eneste forholdsregel er at opdatere til nyeste udgave af SimpleMachineForum - hvilket jeg altid gør, samt når siden bliver hacket, at fjerne alt indhold i mappen og indlæse en backup af programmet -hvilket jeg ogsåhar gjort.

endelig har jeg ændret mit password så den gamle FTP adgang ikke virker.

Samtlige 10 hjemmesider som jeg bestyrer (ingeniørdebat.dk / ingeniordebat.dk er 2) blev angrebet. Jeg tror ikke det er et hul i mine hjemmesider, fordi rigtig mange sider blev i nat på gigahost.dk blev hacket.


på specielle hjemmesider offentliggør hackeren sine resultater, offentliggører brugernavne og password og efterfølgende er der så andre som også prøver, for at komme opad i hacker-hierakiet hvor antallet af succesfulde angreb rykker dig opad, derfor kommer angrebene i bølger.

Første angreb havde måske politiske undertoner som det fremgik af  linien under hackerensnavn: Anti.dk & ,nl Sites

Marek,  håber dette svarede på dit spørgsmål

[chrismark]

Tak for forklaringen, ikke at jeg har overblik over det du skriver, men kan denne falske henvisning ske på alverdens server der henviser til ingeniordebat ? Her tænker jeg på den server der finder frem til siden.

For 10 min. siden var ingeniordebat.dk "sort" med mange links, mail, og postulater.

Jeg nåede ikke og tage et billede.  :'(
Marek.

[Mikael Boldt]

det du så var 4 angreb.

Det gik denne gang "kun" ud over denne hjemmeside af mine

jeg opdagede den 10 minutter efter den var sat på