---

da jeg så den imorges var der en der der havde været inde og ændret på et
billede: http://www.peet.dk/img/tmp/spysig.jpg (i kan se selve siden her:
http://www.peet.dk/hacked-index.php

Lad mig sige det med det samme, jeg har ikke en sk... forstand på website
sikkerhed.

Min webhost har så en raw log som jeg læste igennem her på arbejdet. (han
har været inde mellem 21 og 06) Her er en lille bid af loggen:
---------------------------------------------------
XX.XX.XXX.XXX - - [07/Sep/2002:19:14:23 -0400] "GET /icons/blank.gif
HTTP/1.1" 200 148 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1)"
XX.XX.XX.XXX - - [07/Sep/2002:19:14:24 -0400] "GET /icons/back.gif HTTP/1.1"
200 216 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1)"
--------------------------------------------------
(jeg ved ikke om jeg bare sådan må offentligøre ip'er så de er ersattet af
X)

Jeg har så læst igennem fra igår

Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der er
post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde. Men
der er en ip ud over de 2, er det ham der har hacket?


--
peet_dk was here... ICQ#71309759
http://www.peet.dk

---

peet_dk <nope> wrote:
[..]

Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
dit indlaeg.

Tag en kopi af dine data og gen-installer maskinen. Foelg OSS'en naar du
goer:

http://a.area51.dk/sikkerhed/servere#trin

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

det er ikke min server, men min webhost hos http://www.nomonthlyfees.com/
Jeg ville bare høre om der ikke er noget i vil anbefale mig at gøre, evt.
hvordan i tror han er kommet ind? og hvor kan jeg få de oplysninger fra?
(jeg har skrevet til http://www.nomonthlyfees.com/ men har ikke fået svar
endnu)

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:aggila.k7j.ln@miracle.mongers.org...
> peet_dk <nope> wrote:
> [..]
>
> Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> dit indlaeg.
>
> Tag en kopi af dine data og gen-installer maskinen. Foelg OSS'en naar du
> goer:
>
> http://a.area51.dk/sikkerhed/servere#trin
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.mongers.org

---

On Mon, 9 Sep 2002 18:20:17 +0200,
peet_dk <> wrote:
> det er ikke min server, men min webhost hos http://www.nomonthlyfees.com/
> Jeg ville bare høre om der ikke er noget i vil anbefale mig at gøre, evt.
> hvordan i tror han er kommet ind? og hvor kan jeg få de oplysninger fra?
> (jeg har skrevet til http://www.nomonthlyfees.com/ men har ikke fået svar
> endnu)

Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
som han har kunnet udnytte, eller også er serveren blevet hacket.

Det er en rimelig ny apache, men med Fuckpage Extensions....

---

> Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
> som han har kunnet udnytte, eller også er serveren blevet hacket.
>
> Det er en rimelig ny apache, men med Fuckpage Extensions....

okay, jeg har en mistanke om han har kunne komme igennem mit DMA news
script http://www.digitalmediaart.com/scripts.php Det er svært at forklare
men det er en måde hvor jeg med et simpelt password kan skrive nyheder på
siden, vel og mærket uden at der er dirkete adgang til ftp'en (som jeg
bruger til at uploade filer med) Men han kan få adgang til min SQL database.
Kan han på den måde få adgang til selve siden?

Han kunne selvfølgelig også bare havde hacket sig ind ind på min hotmail
konto, hvor der ligger en velkoms mail fra webhosten med pass og hele
svineriet.........

---

On Mon, 9 Sep 2002 18:58:56 +0200,
peet_dk <> wrote:
>> Han kan være kommet ind på 2 måder. Enten er dit PHP kode noget skod
>> som han har kunnet udnytte, eller også er serveren blevet hacket.
>>
>> Det er en rimelig ny apache, men med Fuckpage Extensions....
>
> okay, jeg har en mistanke om han har kunne komme igennem mit DMA news
> script http://www.digitalmediaart.com/scripts.php Det er svært at forklare
> men det er en måde hvor jeg med et simpelt password kan skrive nyheder på
> siden, vel og mærket uden at der er dirkete adgang til ftp'en (som jeg
> bruger til at uploade filer med) Men han kan få adgang til min SQL database.
> Kan han på den måde få adgang til selve siden?

Hvad er der i basen ? Kender ikke DMANews, og har ikke tid til at lave en
code audit, men der er bugs i meget kode derude.
>
> Han kunne selvfølgelig også bare havde hacket sig ind ind på min hotmail
> konto, hvor der ligger en velkoms mail fra webhosten med pass og hele
> svineriet.........

Hotmail er kendt for samme sikkerhedsniveau som normalt fra MS.
Man kan læse enhver persons mails med jævne mellemrum.

---

Alex Holst wrote:
>
> peet_dk <nope> wrote:
> [..]
>
> Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> dit indlaeg.

Der er da et ret klart spørgsmål, som vel ikke er helt umuligt at svare
på for de lidt mere (end undertegnede) kyndige.

--
Mvh. Kim Ludvigsen

---

"Kim Ludvigsen" <ludvig@mail.dk> skrev i en meddelelse
news:3D7CCB7E.74CF@mail.dk...
> Alex Holst wrote:
> >
> > peet_dk <nope> wrote:
> > [..]
> >
> > Hvad vil du gerne have at vi goer for dig? Der er ingen oplysninger i
> > dit indlaeg.
>
> Der er da et ret klart spørgsmål, som vel ikke er helt umuligt at svare
> på for de lidt mere (end undertegnede) kyndige.

Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er jo
ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
WinNT3.51 og IE6 der har hentet en gif).

Hvis den del af loggen hvor der er posts blev postet (!) er der nok større
chance for at nogen af de kloge hoveder her kan sig noget. Der er vel heller
ikke nogen der kan fortælle mig hvorfor jeg kørte galt i min bil, hvis jeg
giver dem flg:

1. Billede hvor jeg kører i bilen (helt uden problemer)
2. Billede af bilen før skaden
3. Billede af bilen efter den er skadet (på en fax, som desuden fosvinder med
tiden)

Ja, jeg har for meget tid og ja, det var en dårlig analogi ;)

--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)

---

"Stig Meyer Jensen" <stig@mine_3_initialer.dk> wrote in message
news:3d7daef8$0$140
> Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er
jo
> ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
> WinNT3.51 og IE6 der har hentet en gif).
>

Windows NT 3.51?

Lad dig ikke narre af version '5.1' for hvis du skriver 'ver' i en
kommandoprompt på en XP, så får du Version 5.1.xxxx.

Max

---

"Max Andersen" <max@militant.dk> skrev i en meddelelse
news:3d7db16f$0$27646$edfadb0f@dspool01.news.tele.dk...
>
> "Stig Meyer Jensen" <stig@mine_3_initialer.dk> wrote in message
> news:3d7daef8$0$140
> > Som jeg ser det, er der ikke ret meget brugbar info i indlægget - der er
> jo
> > ingen brugbar info fra loggen (undtagen hvis vi vil vide at der er en med
> > WinNT3.51 og IE6 der har hentet en gif).
> >
>
> Windows NT 3.51?
>
> Lad dig ikke narre af version '5.1' for hvis du skriver 'ver' i en
> kommandoprompt på en XP, så får du Version 5.1.xxxx.

Doh!


--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)

---

"peet_dk" <nope> wrote:
[snipsnip]
> Der er en masse "GET" det reger jeg bare er de folk som åbner min
> side, så dem har jeg hurtigt gået over, men der er også et par "POST"
> de ip'er der er post er enten den ip jeg har her hjemme, eller den
> oppe fra mit arbejde. Men der er en ip ud over de 2, er det ham der
> har hacket?

Prøv at smide logfilen online et sted.. det udsnit du gav er værdiløst.

--
Knud

---

"peet_dk" <nope> writes:

> Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
> dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der er
> post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde. Men
> der er en ip ud over de 2, er det ham der har hacket?

Hvordan opdaterer du selv siden? Er der et web-interface?
Hvis ja, så er det nok det samme som denne person har brugt.
Ellers kan POST'er måske være tilknyttet gæstebogen.

Hvis du ved hvilket underliggende system der bruges til at styre
uploads kan du søge efter om der er kendte sikkerhedshuller, ellers
bør du skifte password ... for der er da password på, ikke?

Men Alex har ret, hvis du ikke ved hvad, og hvor meget, der er sket,
så er en fuld geninstalation det eneste rigtige at gøre. Mit gæt
er dog at din "hacker" ikke har gjort andet end at uploade et billede
og lidt tekst, men prøv at blive sikker. Forvent heller ikke alverden
support fra et sted der hedder nomonthlyfee.com :)

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

---

ok fejlen var en såkaldt 40cm fejl. Et screenshot i en forkert hånd...
heldigt han var ærlig.

"peet_dk" <nope> skrev i en meddelelse
news:3d7cbbb7$0$30486$edfadb0f@dspool01.news.tele.dk...
> da jeg så den imorges var der en der der havde været inde og ændret på et
> billede: http://www.peet.dk/img/tmp/spysig.jpg (i kan se selve siden her:
> http://www.peet.dk/hacked-index.php
>
> Lad mig sige det med det samme, jeg har ikke en sk... forstand på website
> sikkerhed.
>
> Min webhost har så en raw log som jeg læste igennem her på arbejdet. (han
> har været inde mellem 21 og 06) Her er en lille bid af loggen:
> ---------------------------------------------------
> XX.XX.XXX.XXX - - [07/Sep/2002:19:14:23 -0400] "GET /icons/blank.gif
> HTTP/1.1" 200 148 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE
> 6.0; Windows NT 5.1)"
> XX.XX.XX.XXX - - [07/Sep/2002:19:14:24 -0400] "GET /icons/back.gif
HTTP/1.1"
> 200 216 "http://www.peet.dk/img/" "Mozilla/4.0 (compatible; MSIE 6.0;
> Windows NT 5.1)"
> --------------------------------------------------
> (jeg ved ikke om jeg bare sådan må offentligøre ip'er så de er ersattet af
> X)
>
> Jeg har så læst igennem fra igår
>
> Der er en masse "GET" det reger jeg bare er de folk som åbner min side, så
> dem har jeg hurtigt gået over, men der er også et par "POST" de ip'er der
er
> post er enten den ip jeg har her hjemme, eller den oppe fra mit arbejde.
Men
> der er en ip ud over de 2, er det ham der har hacket?
>
>
> --
> peet_dk was here... ICQ#71309759
> http://www.peet.dk
>
>

---

"peet_dk" <nope> skrev i en meddelelse
news:3d7cd91f$0$181$edfadb0f@dspool01.news.tele.dk...
> ok fejlen var en såkaldt 40cm fejl. Et screenshot i en forkert hånd...
> heldigt han var ærlig.

LOL. Hvorfor læste jeg dog ikke det indlæg lidt før.

--

Stig Meyer Jensen
stig@mine_3_initialer.dk (Ja, erstat selv...du kan godt)