/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Jeg har haft fremmede på besøg på min webs~
Fra : Stampe


Dato : 24-03-09 07:23

Jeg har haft en ubuden gæst fra motenegro http://harlvig.dk/test/who_is.txt
Det ser ud til at det er lykkes ham at logge på min ftp-server i kan se
loggen her: http://harlvig..dk/test/ftp_log.txt Endvidere har han oploadet
en fil fm_php i kan se den her: http://harlvig.dk/test/fm_php.txt

Kan nogen fortælle mig hvad ulykke han har lavet - Jeg har selvfølgelig
lavet en ip Ban på IP adressen

Mvh
Allan


 
 
Stig Johansen (24-03-2009)
Kommentar
Fra : Stig Johansen


Dato : 24-03-09 13:54

Stampe wrote:

> Jeg har haft en ubuden gæst fra motenegro
> http://harlvig.dk/test/who_is.txt Det ser ud til at det er lykkes ham at
> logge på min ftp-server i kan se loggen her:
> http://harlvig..dk/test/ftp_log.txt

Hmm...
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> USER
newuser
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> 331
Password required for newuser
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> PASS *****
(000004) 23-03-2009 23:48:36 - newuser (79.101.235.235)> 230 Logged on

Der er ikke tegn )i din log) på brute force, så havd laver en
brugerid=newuser og et tilsydeladende nemt password på din maskine?

> Endvidere har han oploadet en fil
> fm_php i kan se den her: http://harlvig.dk/test/fm_php.txt
>
> Kan nogen fortælle mig hvad ulykke han har lavet - Jeg har selvfølgelig
> lavet en ip Ban på IP adressen

I og med du har et hul kan han have lavet hvad som helst.

Luk hullet, fjern den fil du omtaler, og tjek *samtlige* filer på din
webserver for <script> og <iframe> injectiones m.v.

--
Med venlig hilsen
Stig Johansen

Dan Storm (24-03-2009)
Kommentar
Fra : Dan Storm


Dato : 24-03-09 14:01

Stig Johansen skrev:
> Der er ikke tegn )i din log) på brute force, så havd laver en
> brugerid=newuser og et tilsydeladende nemt password på din maskine?

http://robsnotebook.com/xampp-ftp-remove-default-passwords

Kvalificeret bud ;)

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

Stig Johansen (24-03-2009)
Kommentar
Fra : Stig Johansen


Dato : 24-03-09 19:51

Dan Storm wrote:

> Stig Johansen skrev:
>> Der er ikke tegn )i din log) på brute force, så havd laver en
>> brugerid=newuser og et tilsydeladende nemt password på din maskine?
>
> http://robsnotebook.com/xampp-ftp-remove-default-passwords
>
> Kvalificeret bud ;)

Meget kvalificeret vil jeg sige - suk.
Det gør det sku nemt for de skide hackere - dem der laver den slags default
user/pass ved installationer skulle have et par velrettede slag over den
dertil indrettede med en våd søndagsberlinger ;)

--
Med venlig hilsen
Stig Johansen

Stampe (25-03-2009)
Kommentar
Fra : Stampe


Dato : 25-03-09 08:23



"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:49c92bd0$0$90273$14726298@news.sunsite.dk...
> Dan Storm wrote:
>
>> Stig Johansen skrev:
>>> Der er ikke tegn )i din log) på brute force, så havd laver en
>>> brugerid=newuser og et tilsydeladende nemt password på din maskine?
>>
>> http://robsnotebook.com/xampp-ftp-remove-default-passwords
>>
>> Kvalificeret bud ;)
>
> Meget kvalificeret vil jeg sige - suk.
> Det gør det sku nemt for de skide hackere - dem der laver den slags
> default
> user/pass ved installationer skulle have et par velrettede slag over den
> dertil indrettede med en våd søndagsberlinger ;)
>
> --
> Med venlig hilsen
> Stig Johansen

Åhh yes hit me Ja du har ret.. Nå men jeg har selvfølgelig slettet den
newuser nu, tak for input -jeg var bare ikke opmærksom på hvad det var for
en fætter -Ellers er jeg rigtig glad for FileZilla ftp-server.

Mvh
Allan



Stig Johansen (25-03-2009)
Kommentar
Fra : Stig Johansen


Dato : 25-03-09 11:48

Stampe wrote:

> Åhh yes hit me Ja du har ret..

Lige for en god ordens skyld, så var det Dan, der pinpointede problemet,
ikke mig.

--
Med venlig hilsen
Stig Johansen

Dan Storm (25-03-2009)
Kommentar
Fra : Dan Storm


Dato : 25-03-09 12:22

Stig Johansen skrev:
> Meget kvalificeret vil jeg sige - suk.
> Det gør det sku nemt for de skide hackere - dem der laver den slags default
> user/pass ved installationer skulle have et par velrettede slag over den
> dertil indrettede med en våd søndagsberlinger ;)

Ganske enig :)

Problematikken er ofte at med sådanne løsninger, der skal gøre det så
nemt for brugeren som overhovedet muligt, stammer default users og
passwords ofte fra at brugerne stadig ikke kan få tingene til at virke.

Synes også man ser det i mange CMS, blogsystemer og lignende som man kan
installere på sin webserver.


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

Stampe (26-03-2009)
Kommentar
Fra : Stampe


Dato : 26-03-09 08:12

>
> Problematikken er ofte at med sådanne løsninger, der skal gøre det så nemt
> for brugeren som overhovedet muligt, stammer default users og passwords
> ofte fra at brugerne stadig ikke kan få tingene til at virke.
>
> Synes også man ser det i mange CMS, blogsystemer og lignende som man kan
> installere på sin webserver.
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
installation
http://hullet-valby.dk/php-info.php

Mvh
Allan


Dan Storm (26-03-2009)
Kommentar
Fra : Dan Storm


Dato : 26-03-09 09:53

Stampe skrev:
> Månske en kunne give mig et par hint om hvad der skal ændres i min
> Apache installation
> http://hullet-valby.dk/php-info.php

Hvis det er din sikkerhed du er bekymret for, så er det eneste råd jeg
kan give dig at ikke have din phpinfo liggende til offentligt skue, da
den fortæller meget om det system du er på - og det behøver
defacere/hackere/crackere/whatever ikke vide noget om. Det er fint at
vise den frem til os (eller andre) hvis du har et udviklingsproblem, men
når den så er kigget efter, så fjerner du den igen.

Jeg vil nu hellere anbefale dig at google efter sikkerhedsemner med
xampp. Det vil med garanti give dig en bedre idé om hvor dine huller kan
være og hvad du skal rette til for at løse problemerne. Som regel er
Apache i sig selv ikke problemet, men hvad der ellers ligger på
serveren. Eksempelvis en default bruger (som er almen kendt) i FTP
serveren, uigennemtænkte serverside scripts og sådan noget.

--
Dan Storm - storm at err0r dot dk / http://err0r.dk

People who claim they don't let little things bother
them have never slept in a room with a single mosquito.

Stig Johansen (26-03-2009)
Kommentar
Fra : Stig Johansen


Dato : 26-03-09 11:24

Stampe wrote:

> Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
> installation
> http://hullet-valby.dk/php-info.php

Tænk i de baner, at jo mere *du* kan, jo mere kan *de*...

--
Med venlig hilsen
Stig Johansen

Stampe (26-03-2009)
Kommentar
Fra : Stampe


Dato : 26-03-09 12:47

"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:49cb5812$0$90264$14726298@news.sunsite.dk...
> Stampe wrote:
>
>> Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
>> installation
>> http://hullet-valby.dk/php-info.php
>
> Tænk i de baner, at jo mere *du* kan, jo mere kan *de*...
>
> --
> Med venlig hilsen
> Stig Johansen

ja den er jeg sådan set med på - men jeg kan ikke gennemskue hvad jeg
skal lukke af for og hvad der er et must på min web-server

Mvh
Allan



LJ (30-03-2009)
Kommentar
Fra : LJ


Dato : 30-03-09 20:50

Men bortset fra det sikkerhedshul du har haft, så er det rimelig spændende
kode han har lagt ind.
Jeg vil umiddelbart gætte på, at den indeholder en keylogger funktion, som
bliver logget, og herefter flyttet til et placering i dit www dir, hvorfra
den så kan hentes.
Hvis alle de kræfter der der er lagt i den kode, var blevet brugt til
konstruktivt, så kunne den sende folk til Mars og hjem igen )

LJ.


Den 24.03.2009 kl. 07:23 skrev Stampe SLET ask-service.dk> <"<ask">:

> Jeg har haft en ubuden gæst fra motenegro
> http://harlvig.dk/test/who_is.txt Det ser ud til at det er lykkes ham at
> logge på min ftp-server i kan se loggen her:
> http://harlvig..dk/test/ftp_log.txt Endvidere har han oploadet en fil
> fm_php i kan se den her: http://harlvig.dk/test/fm_php.txt
>
> Kan nogen fortælle mig hvad ulykke han har lavet - Jeg har selvfølgelig
> lavet en ip Ban på IP adressen
>
> Mvh
> Allan



--
Sendt med Operas banebrydende postklient:
http://www.opera.com/mail/

Stampe (31-03-2009)
Kommentar
Fra : Stampe


Dato : 31-03-09 04:22

"LJ" <spam@mail.dk> skrev i meddelelsen news.urmeoytdg32drg@giggosove...
> Men bortset fra det sikkerhedshul du har haft, så er det rimelig spændende
> kode han har lagt ind.
> Jeg vil umiddelbart gætte på, at den indeholder en keylogger funktion, som
> bliver logget, og herefter flyttet til et placering i dit www dir, hvorfra
> den så kan hentes.
> Hvis alle de kræfter der der er lagt i den kode, var blevet brugt til
> konstruktivt, så kunne den sende folk til Mars og hjem igen )
>
> LJ.
>

Nu har jeg jo slettet den der fm.php samt lukket hullet i min ftp-server,
men er der andre steder jeg skal søge efter ting han kan have lagt ind på
serveren?

Mvh
Allan



Stig Johansen (31-03-2009)
Kommentar
Fra : Stig Johansen


Dato : 31-03-09 06:01

Stampe wrote:

> Nu har jeg jo slettet den der fm.php samt lukket hullet i min ftp-server,
> men er der andre steder jeg skal søge efter ting han kan have lagt ind på
> serveren?

Du skal i princippet kigge efter alt på din server fra roden og nedefter.
Nu er det ikke til at vide hvad du har været ude for, men jeg har set
eksempler på man har oprettet ekstra directories, lavet 'uskyldige' .txt
filer, nye/ændrede .htaccess med rewrite rules etc.

I forbindelse med en incident på UnoEuro's servere var en del af
'komplekset' endda en javascript fil, der var camoufleret som .gif

Eller sagt på en anden måde, selv om det ser uskyldigt ud, behøver det ikke
være uskyldigt.
Ikke at det nødvendigvis påvirker din server, men du kan risikere at være
placeholder for andre angreb.

--
Med venlig hilsen
Stig Johansen

Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409079
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste