/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
www.pc-netto.dk defaced
Fra : MahPsx


Dato : 21-09-03 22:24

Hej,

Hmmm, det lader til at pc-netto.dk er blevet defaced
her i dag. Der står bare "M@TRiX was HERE!!!" på
forsiden.

Jvnf. DK Hostmaster, er de hosted af Cybercity
(asp-3.cybercity.dk). Det lyder da ikke godt for
Cybercity, hvis de ikke har styr på deres webservere.
Men kan det være PC-Netto, der selv administrerer
den website? OK, det er måske ikke verdens
sværeste kunst at flippe en IIS, men alligevel...

/MaxPsx



 
 
Hans Joergensen (21-09-2003)
Kommentar
Fra : Hans Joergensen


Dato : 21-09-03 22:54

MahPsx wrote:
> Hmmm, det lader til at pc-netto.dk er blevet defaced
> her i dag. Der står bare "M@TRiX was HERE!!!" på
> forsiden.

Nu er det så blevet til tekniske problemer... :)

// Hans
--
Red-line-shift,Red-line-shift,etc.etc.Red-Light-Stop,Repeat...

Poul Erik (21-09-2003)
Kommentar
Fra : Poul Erik


Dato : 21-09-03 23:31

On 21 Sep 2003 21:54:24 GMT, Hans Joergensen
<haj@enterprise-server.dk> wrote:

>MahPsx wrote:
>> Hmmm, det lader til at pc-netto.dk er blevet defaced
>> her i dag. Der står bare "M@TRiX was HERE!!!" på
>> forsiden.
>
>Nu er det så blevet til tekniske problemer... :)

Hvilket de har opdaget, men han kommer først i morgen.

Snip fra siden:
På grund af tekniske problemer er www.pc-netto.dk lukket frem til kl.
12.00 mandag d. 22/09.

Poul Erik
Fjern cykel i adresse

--
== __o
Poul Erik Lindaa === _'\ <_ E-mail: lindaa@mail.tele.cykeldk
==== (¤)/ (¤)
------------------------------------------------------------

Ukendt (21-09-2003)
Kommentar
Fra : Ukendt


Dato : 21-09-03 23:48

Poul Erik wrote:

> Hvilket de har opdaget, men han kommer først i morgen.

Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem, inden
siden reetableres. Hullet skal vel også lukkes, hvis CC kan finde ud af
det...



Ukendt (22-09-2003)
Kommentar
Fra : Ukendt


Dato : 22-09-03 00:08

na wrote:

> Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem,
> inden siden reetableres. Hullet skal vel også lukkes, hvis CC kan
> finde ud af det...

asp-3.cybercity.dk

"Admin, I leave my ticket and message in its site... Greetz For all the
prejudiced ones that it is said to be the best ones... by the danz"

står der på siden. Hackeren har slettet en del filer fra vores site, dog har
vi en backup så vi har umiddelbart ikke mistet noget (teknisk set).



Christian Iversen (22-09-2003)
Kommentar
Fra : Christian Iversen


Dato : 22-09-03 22:17

<na> wrote:

> na wrote:
>
>> Næh det er skam kun for at sikre beviserne, hvis der er nogen af dem,
>> inden siden reetableres. Hullet skal vel også lukkes, hvis CC kan
>> finde ud af det...
>
> asp-3.cybercity.dk
>
> "Admin, I leave my ticket and message in its site... Greetz For all the
> prejudiced ones that it is said to be the best ones... by the danz"
>
> står der på siden. Hackeren har slettet en del filer fra vores site, dog
> har vi en backup så vi har umiddelbart ikke mistet noget (teknisk set).

Hvad med kundedatabasen?

--
M.V.H
Christian Iversen

Ukendt (23-09-2003)
Kommentar
Fra : Ukendt


Dato : 23-09-03 08:10

Christian Iversen wrote:

> Hvad med kundedatabasen?

Den er ikke rørt. Personen har 'kun' slettet filer i roden af vores site.
Han har heller ikke slettet de logs IIS laver, så jeg har 'måske' fundet den
IP personen er kommet fra (Tyrkiet).



Klaus Ellegaard (23-09-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 23-09-03 08:29

<na> writes:

>Den er ikke rørt. Personen har 'kun' slettet filer i roden af vores site.
>Han har heller ikke slettet de logs IIS laver, så jeg har 'måske' fundet den
>IP personen er kommet fra (Tyrkiet).

IP'en på den hackede computer, han er kommet fra. Som måske har en
IP på den anden hackede computer, han er kommet fra. Som måske har
en IP på den tredie hackede computer, han er kommet fra. Som...

Mvh.
   Klaus.

Christian E. Lysel (22-09-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-09-03 00:18

In article <slrnbms7gg.l32.haj@enterprise-server.dk>, Hans Joergensen wrote:
> Nu er det så blevet til tekniske problemer... :)

http://asp-3.cybercity.dk/ viser stadigvæk det
oprindelige defacement,


Christian E. Lysel (22-09-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-09-03 00:20

In article <3f6e1709$0$48905$edfadb0f@dtext02.news.tele.dk>, MahPsx wrote:
> Cybercity, hvis de ikke har styr på deres webservere.
> Men kan det være PC-Netto, der selv administrerer
> den website? OK, det er måske ikke verdens

Det kan også være kunden der selv har kodet
asp-scriptet...det er ikke svært at lave
kode fyldt med fejl.

Sidst jeg har kodet lidt for en kunde, skulle
CC have en time for at godkende koden, måske
er dette ændret siden da?


Peter Makholm (22-09-2003)
Kommentar
Fra : Peter Makholm


Dato : 22-09-03 08:29

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> Sidst jeg har kodet lidt for en kunde, skulle
> CC have en time for at godkende koden, måske
> er dette ændret siden da?

Det har ikke været så pokkers meget kode, hvis du forventer at de skal
kunne finde egentlige fejl i det. De vil nok højst kunne finde de mest
himmelråbende fejl.

--
Peter Makholm | Emacs is the only modern general-purpose
peter@makholm.net | operating system that doesn't multitask
http://hacking.dk |

Henrik Bøgh (22-09-2003)
Kommentar
Fra : Henrik Bøgh


Dato : 22-09-03 15:42

MahPsx wrote in dk.edb.sikkerhed:

[...]

> Jvnf. DK Hostmaster, er de hosted af Cybercity
> (asp-3.cybercity.dk). Det lyder da ikke godt for
> Cybercity, hvis de ikke har styr på deres webservere.
> Men kan det være PC-Netto, der selv administrerer
> den website? OK, det er måske ikke verdens
> sværeste kunst at flippe en IIS, men alligevel...

Alle dem der er fra d. 22 på
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
er nok fra samme fysiske maskine så mon ikke det er CC selv der
administrerer den?
Men derfor kan det sagtens være noget fejlet kunde-kode crackeren er sluppet
ind igennem.
Hvorvidt CC generelt har styr på deres maskiner kan jeg udtale mig specielt
meget om men de har da generelt et nogenlunde ry.

> /MaxPsx

--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html

"Welcome to Cynical Island; population: You!"
-- Sean Hayes as Jack McFarland in 'Will & Grace'


Ukendt (22-09-2003)
Kommentar
Fra : Ukendt


Dato : 22-09-03 17:20

Henrik Bøgh wrote:

> Alle dem der er fra d. 22 på
>
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
> er nok fra samme fysiske maskine så mon ikke det er CC selv der
> administrerer den?

Det er det. I.flg. CC var det en patch der ikke var installeret korrekt.

> Men derfor kan det sagtens være noget fejlet kunde-kode crackeren er
> sluppet ind igennem.

Muligvis, men det burde i princippet kun ramme den kunde, og ikke hele
maskinen.



NN@gyrniff.dk (23-09-2003)
Kommentar
Fra : NN@gyrniff.dk


Dato : 23-09-03 20:19

<na> wrote:

> Henrik Bøgh wrote:
>
>> Alle dem der er fra d. 22 på
>>
>
http://www.zone-h.org/en/defacements/filter/filter_defacer=M%40TRiX/filter_domain=dk/
>> er nok fra samme fysiske maskine så mon ikke det er CC selv der
>> administrerer den?
>
> Det er det. I.flg. CC var det en patch der ikke var installeret korrekt.
>

det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag d. 23


Ukendt (23-09-2003)
Kommentar
Fra : Ukendt


Dato : 23-09-03 21:12

NN@gyrniff.dk wrote:
> det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag
> d. 23

?

Jeg kan se at vores site har haft besøg af en frontpage - der er _vti_cnf
alle mulige steder - og det kommer ikke fra vores systemer - da der er sat
at block ind specifikt på disse mapper. For pokker da.



NN@gyrniff.dk (23-09-2003)
Kommentar
Fra : NN@gyrniff.dk


Dato : 23-09-03 21:14

<na> wrote:

> NN@gyrniff.dk wrote:
>> det ser ud til at 'M@TRiX' har besøgt asp-3.cybercity.dk igen i dag
>> d. 23
>
> ?
>
> Jeg kan se at vores site har haft besøg af en frontpage - der er _vti_cnf
> alle mulige steder - og det kommer ikke fra vores systemer - da der er sat
> at block ind specifikt på disse mapper. For pokker da.

*LOL*

Ukendt (23-09-2003)
Kommentar
Fra : Ukendt


Dato : 23-09-03 21:31

NN@gyrniff.dk wrote:

>>> det ser ud til at 'M@TRiX' har besÃf¸gt asp-3.cybercity.dk igen i
>>> dag d. 23
>> ?

En gang til : ?

Jeg har et nummer jeg kan bruge, men jeg skal være stensikker på at der er
et angreb i gang. F.eks. står beredskab.dk listet på zone-h (søgning på
M@TRIX ) - men jeg kan ikke se et defacement.



NN@gyrniff.dk (24-09-2003)
Kommentar
Fra : NN@gyrniff.dk


Dato : 24-09-03 08:52

<na> wrote:

> NN@gyrniff.dk wrote:
>
>>>> det ser ud til at 'M@TRiX' har besÃf¸gt asp-3.cybercity.dk igen i
>>>> dag d. 23
>>> ?
>
> En gang til : ?
>
> Jeg har et nummer jeg kan bruge, men jeg skal være stensikker på at der er
> et angreb i gang. F.eks. står beredskab.dk listet på zone-h (søgning på
> M@TRIX ) - men jeg kan ikke se et defacement.

Jeg tror at CC har været lidt hurtigere til at køre en backup ind

Ukendt (24-09-2003)
Kommentar
Fra : Ukendt


Dato : 24-09-03 09:12

NN@gyrniff.dk wrote:

> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>

Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før M@TRIX
fik sit redefacement registeret, så er det jo ikke korrekt det der er blevet
noteret på zone-h.



NN@gyrniff_SPAM.dk (24-09-2003)
Kommentar
Fra : NN@gyrniff_SPAM.dk


Dato : 24-09-03 09:51

<na> wrote:

> NN@gyrniff.dk wrote:
>
>> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>>
>
> Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
> beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før M@TRIX
> fik sit redefacement registeret, så er det jo ikke korrekt det der er
> blevet noteret på zone-h.

PÃ¥ zone-h kan jeg kun se beredskab.dk men ikke beredskabET.dk

www.beredskab.dk har cname:asp-3.cybercity.dk og ip:212.242.42.147
hvorimod beredskabET.dk har ip 62.242.67.220


Du kan ikke se hvornår et et domain har skiftet nameserver, nogle dns admins
benytter dog syntaks yyyymmdd## i SOA recorden, ex. så benytter CC denne
syntaks i SOA for beredskab.dk:
beredskab.dk. 47964 IN SOA ns1.cybercity.dk. zonec.cybercity.dk. 2003031803
det fortæller hvornår den sidst er blevet ændret (18 marts 2003) - det er
dog ikke sikkert at sysadmin benytter den rigtige dato ;)


derimod benytter wannafind benytter et simpelt fortløbende nummer:
beredskabet.dk. 3600 IN SOA ns.wannafind.dk. hostmaster.wannafind.dk. 36



NN@gyrniff_SPAM.dk (24-09-2003)
Kommentar
Fra : NN@gyrniff_SPAM.dk


Dato : 24-09-03 11:01

NN@gyrniff_SPAM.dk wrote:

> <na> wrote:
>
>> NN@gyrniff.dk wrote:
>>
>>> Jeg tror at CC har været lidt hurtigere til at køre en backup ind
>>>
>>
>> Uh. Grim tanke. Anyway - kan man se et eller andet sted hvornår
>> beredskabet.dk har fået sin IP skiftet? Hvis de har skiftet den før
>> M@TRIX fik sit redefacement registeret, så er det jo ikke korrekt det der
>> er blevet noteret på zone-h.
>
> PÃ¥ zone-h kan jeg kun se beredskab.dk men ikke beredskabET.dk
>
> www.beredskab.dk har cname:asp-3.cybercity.dk og ip:212.242.42.147
> hvorimod beredskabET.dk har ip 62.242.67.220
>
>
> Du kan ikke se hvornår et et domain har skiftet nameserver, nogle dns
> admins benytter dog syntaks yyyymmdd## i SOA recorden, ex. så benytter CC
> denne syntaks i SOA for beredskab.dk:
> beredskab.dk. 47964 IN SOA ns1.cybercity.dk. zonec.cybercity.dk.
> 2003031803
> det fortæller hvornår den sidst er blevet ændret (18 marts 2003) - det er
> dog ikke sikkert at sysadmin benytter den rigtige dato ;)
>
>
> derimod benytter wannafind benytter et simpelt fortløbende nummer:
> beredskabet.dk. 3600 IN SOA ns.wannafind.dk. hostmaster.wannafind.dk. 36

??

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste