Bliv gratis medlem
|
Det er også min mening, men nu er det min kunde der har et ønske om, at de SKAL være hosted hos den pågældende udbyder, så ..... |
Prøv at lave en testopstilling, som ligner produktionssystemet, og scan med http://nessus.org/nessus/..
malware placeret i javascriptfil på server - hvordan hulen?
|
Ja, man kan sagtens rette/oprette filer vha. SQL injections. Så er sikkerheden på serveren i top, så er det højst sandsynligt en svaghed i koden, som har givet hackeren adgang. Det behøver ikke nødvendigvis være det pågældende site (da du siger, at flere sites er hostet der). En svaghed i koden på ét af de sites kan let give adgang til resten af serveren. |
Mvh., Elias Sørensen
Ved siden af mit arbejde som udvikler, sælger jeg også sokker på nettet :o)
|
Nå, udbyderen logger så ikke FTP logins, så det var ikke til meget hjælp. Ved sg* snart ikke lige hvad jeg gør for at finde årsagen, men jeg tror jeg vil få en uvildig til at tjekke min kode og så må jeg se hvad der kommer ud af det. Har dog desværre bare på fornemmelsen, at hvis det viser sig (hvilket jeg naturligvis formoder), at min kode er ok, så rager det udbyderen en klaphat .... suk |
Typer det ikke lidt på at nogle har opnået root adgang til selve maskinen mere end nogen er gået ind via FTP (eller med en FTP bruger der har adgang til hele filsystemet)
|
it-arbejde.dk - specialister i middleware og server-side softwareudvikling, J2EE konsulent og Django.
Classic ASP |
Tjoee, men det får man nok aldrig nogen til at indrømme ..... |
|
Hej Jeg havde en grim oplevelse den anden dag, du kan være udsat for det samme, selvom det måske ikke hjælper dig, men det kan forklare det. Min niece fik lov at sidde og surfe spil og børnesider på min arbejdspc (stor fejl). Da jeg fik pc'en igen var der dukket en bjælke op omkring noget "buy antivirus now..." - typisk malware. Nå, jeg fik det fjernet og troede alt var godt.... Desværre havde ormen (kan desværre ikke husket navnet), gået ind i min totalcommander og nuppet alle ftp konti der som lå med host og password (3 styks) og sendt dette videre. En bot havde logget ind i disse 3 websteder, og lagt et stykke kode i bunden af samtlige javascript filer. Hvis jeg var dig ville jeg minutiøst gennemtjekke ALT hvad du har af .js filer og også evt. de andre filer. Det er forholdsvis let at se på timestampet på filerne, hvilke der er ændret på det tidspunkt det er sket. Men hold da op, det er et stort arbejde at få det ryddet op igen. Heldigvis havde jeg en frisk backup af 2 af de 3 sider, og heldigvis var det mindre vigtige sider... de vigtige har jeg ikke lagt i totalcommander med password. Mvh. Jens
|
Jens, er du ikke lige rar at sende mig en privat besked med dit navn og adresse, så er der nemlig to flasker rødvin på vej til dig! Jeg har lige gået min kunde lidt på klingen, og det viser sig, at han tidligere har praktiseret, at lægge nogle filer ud på serveren via FTP og så hentet disse filer igen fra forskellige maskiner, også via FTP og med Totalcommander. Da jeg i sin tid opdagede der var noget galt, fik vi flyttet sitet til en ny server og med ny adgangskode. Denne adgangskode fik kunden så efterfølgende ændret til den "kendte" som han jo kunne huske, og vupti, så var den gal igen. Præcis som du beretter, så var alle JS filer ændret, så med din lille historie her tror jeg det er årsagen til til hele. Tusinde tak for bidraget! |
Opret bruger