På en hjemmeside, som er placeret på en Windows server hos én af Danmarks største udbydere, er en javascriptfil blevet rettet.
Der er tale om en .js fil som bliver inkluderet på hjemmesiden og den indeholder normalt kun noget clientside javascriptvalidering.
Denne fil er nu på en eller anden besynderlig måde blevet ændret således, at der i slutningen af filen er blevet tilføjet en masse kode som er malware (i flg. Google).
Jeg kan simpelthen ikke gennemskue hvordan dette kan ske?
Kan man rette en .js fil med SQL injection eller har nogen utilsigtet fået FTP access på en eller anden måde?
Håber virkelig der er nogle der sidder inde med nogle forslag til i hvilken retning jeg skal lede ....
Udbyderen er desværre ikke særlig samarbejdsvillig i denne sag, de holder på det er et kodningsproblem og at de har scannet serveren med flere forskellige værktøjer.
Derudover, så ligger der mere end 20 andre sites på serveren som ligeledes er inficiceret, men det er de tilsyneladende også ligeglade med.
De vil end ikke kigge en logfil igennem for at se hvordan en fil er rettet, om det evt. er sket via FTP selvom jeg giver dem en konkret dato/tid hvor filen er ændret.
Der er ikke tale om upload af en ny js fil men derimod ændringer i en eksisterende fil.
Hvilken kvalitet har password til ftp-kontoen (hvormange tegn - er der almindelige ord - anvendes cifre og andre tegn)? Det er forholdsvis nemt at logge ind på en ftp-konto, hvis kvaliteten på passwords er dårlige.
Passwordet til FTP anser jeg nu for at være temmelig sikkert, så jeg tror næppe det er den vej det er sket, men man ved jo aldrig ... og et svar på dette kan jeg ikke få :-(
Og hosting firmaet opdaterer panisk deres web-servere mm, således, at man ikke får root-access via sikkerhedshuller ?
Der er kun få muligheder: Enten er det hosting firmaet selv som har lagt det på. Eller så er det gennem ftp (eller lignende) via gættede passwords. Eller ved at hacke sig ind (bufferoverflows eller lignende) og lægge filen ind.....