mboost-dp1
Hvordan blev jeg hacket?
Jeg har en konto hos servage.net,hvor jeg har (havde) et par domainer hostet med tilhørende mail.
Jeg har opdaget at flere af mine domains var index.php eller index.html blevet udskiftet med en tekst i stil med "HAcked by...."
Nogle af mine sider var med wordpress, en enkelt Joomla, og et par stykker var bare plain html, et billede og lidt tekst, altså uden php, eller sql af nogen art.
Som udgangspunkt linkede de ikke til hinanden, eller havde ikke andet tilfælles end at de lå under samme konto på servage.
på servage havde jeg en konto med følgende info*
user: siliankaas
pass: Ty72Bq33 (bemærk store/små bogstaver samt tal)
Nu undre det mig hvordan "de" er kommet ind, for hvis det kun havde været en side, der måske var usikker pga. jeg havde glemt at opgradere wordpress, så kunne jeg måske forsåt det, men når det er alle mine sider - også dem hvor der ikke er php / sql (og derfor i følge min bedste overbevisning ikke muligt at lave sql injection) - undre det mig hvordan de er kommet ind!?
Som jeg ser det kan der så vel kun være 3 muligheder(?)
1.De har fået adgang til servage, og den vej kommet ind.
2.De har kørt brute force på min ftp account.
3.Der er en keykogger på min Pc'er.
Jeg har ikke særlig meget viden omkring hackning, og vil utrolig gerne lære af mine evt. fejl, så jeg kan undgå det i fremtiden eller nedsætte risikoen så meget så muligt. :-)
Når jeg tænker over det synes jeg bare ikke det giver mening.
Hvis det er nr 1 - ville der så ikke være en del på nettet der skrev om servage, jeg er vel næppe den eneste?
Hvis det er nr 2 - synes selv mit password er sådan rimelig sikker, og ud over password skal de jo også have mit brugernavn, og det har på ingen måde noget med mit domaine at gøre - altså er det da rimelig svært at gætte(?)
Nr 3 giver måske mest mening som jeg ser det - men bruger antivirus (den fra MS) og besøger ikke snuskede porno sider, samt ant keygen sites. Jeg har desuden scannet min computer med f.eks malwarebytes og spybot.
Derfor - er der nogen der kan forklare hvad der sansynligvis er sket, hvad jeg evt kunen gøre anderledes, hvordan jeg evt bør forholde mig lige nu (ja, jeg har ændret alle password).
*Opdigtet user /pass, men princippet.
Jeg har opdaget at flere af mine domains var index.php eller index.html blevet udskiftet med en tekst i stil med "HAcked by...."
Nogle af mine sider var med wordpress, en enkelt Joomla, og et par stykker var bare plain html, et billede og lidt tekst, altså uden php, eller sql af nogen art.
Som udgangspunkt linkede de ikke til hinanden, eller havde ikke andet tilfælles end at de lå under samme konto på servage.
på servage havde jeg en konto med følgende info*
user: siliankaas
pass: Ty72Bq33 (bemærk store/små bogstaver samt tal)
Nu undre det mig hvordan "de" er kommet ind, for hvis det kun havde været en side, der måske var usikker pga. jeg havde glemt at opgradere wordpress, så kunne jeg måske forsåt det, men når det er alle mine sider - også dem hvor der ikke er php / sql (og derfor i følge min bedste overbevisning ikke muligt at lave sql injection) - undre det mig hvordan de er kommet ind!?
Som jeg ser det kan der så vel kun være 3 muligheder(?)
1.De har fået adgang til servage, og den vej kommet ind.
2.De har kørt brute force på min ftp account.
3.Der er en keykogger på min Pc'er.
Jeg har ikke særlig meget viden omkring hackning, og vil utrolig gerne lære af mine evt. fejl, så jeg kan undgå det i fremtiden eller nedsætte risikoen så meget så muligt. :-)
Når jeg tænker over det synes jeg bare ikke det giver mening.
Hvis det er nr 1 - ville der så ikke være en del på nettet der skrev om servage, jeg er vel næppe den eneste?
Hvis det er nr 2 - synes selv mit password er sådan rimelig sikker, og ud over password skal de jo også have mit brugernavn, og det har på ingen måde noget med mit domaine at gøre - altså er det da rimelig svært at gætte(?)
Nr 3 giver måske mest mening som jeg ser det - men bruger antivirus (den fra MS) og besøger ikke snuskede porno sider, samt ant keygen sites. Jeg har desuden scannet min computer med f.eks malwarebytes og spybot.
Derfor - er der nogen der kan forklare hvad der sansynligvis er sket, hvad jeg evt kunen gøre anderledes, hvordan jeg evt bør forholde mig lige nu (ja, jeg har ændret alle password).
*Opdigtet user /pass, men princippet.
Har du været på et wifi fornylig og ikke brugt SSL til at logge på din mail?
Hvis de er kommet ind via SQL injection, er passwordet i din SQL database så den samme som til FTP?
Hvis de har haft adgang til at eksekvere kode via forskellige usikkerheder, så findes der forskellige PHP scripts der kan spawne en promp, som de har kunnet ændre filer med.
At de har kørt bruteforce på din FTP konto mener jeg er højest usandsynligt.
At de har keylogged dig er muligt, men hvorfor i alverden har de så kun brugt det til at deface din hjemmeside? Muligt, men jeg synes også det er usandsynligt man ville gøre det.
Hvis de er kommet ind via SQL injection, er passwordet i din SQL database så den samme som til FTP?
Hvis de har haft adgang til at eksekvere kode via forskellige usikkerheder, så findes der forskellige PHP scripts der kan spawne en promp, som de har kunnet ændre filer med.
At de har kørt bruteforce på din FTP konto mener jeg er højest usandsynligt.
At de har keylogged dig er muligt, men hvorfor i alverden har de så kun brugt det til at deface din hjemmeside? Muligt, men jeg synes også det er usandsynligt man ville gøre det.
fjols (2) skrev:Har du været på et wifi fornylig og ikke brugt SSL til at logge på din mail?
Mail account er ikke det samme som ftp login.
fjols (2) skrev:Hvis de er kommet ind via SQL injection, er passwordet i din SQL database så den samme som til FTP?
password er autogenereret og derfor heller ikke det samme.
fjols (2) skrev:Hvis de har haft adgang til at eksekvere kode via forskellige usikkerheder, så findes der forskellige PHP scripts der kan spawne en promp, som de har kunnet ændre filer med.
Også på tværs af bibiloteker hos en konto?
Jeg mener, hvis man siger der er en svagted på /home/user/blabla/www/me.net i noget php, kan man så tilgå
/home/user/blavla/www/anotherme.net ?
fjols (2) skrev:At de har kørt bruteforce på din FTP konto mener jeg er højest usandsynligt.
At de har keylogged dig er muligt, men hvorfor i alverden har de så kun brugt det til at deface din hjemmeside? Muligt, men jeg synes også det er usandsynligt man ville gøre det.
Det kan jeg heller ikke få til at gå op, men kan bare ikke se hvordan det ellers skal kunne lade sig gøre.
Chewy (3) skrev:Har du prøvet at spørge Servage om de har nogen ide om hvordan det har kunne ske?
Jeps, men de kan/vil/gider ikke gøre andet end at anbefale mig et godt password, og det mener jeg da jeg har.
siliankaas (4) skrev:Mail account er ikke det samme som ftp login.
Men jeg tænker man måske har kunnet finde ftp oplysninger på din mail.
siliankaas (4) skrev:Også på tværs af bibiloteker hos en konto?
Jeg mener, hvis man siger der er en svagted på /home/user/blabla/www/me.net i noget php, kan man så tilgå
/home/user/blavla/www/anotherme.net ?
Ja da. Især hvis de har fået spawnet en prompt med root adgang.
fjols (5) skrev:Men jeg tænker man måske har kunnet finde ftp oplysninger på din mail.
Ahh, ja ok, det er der måske en teoretisk mulighed for faktisk... så er spørgsmålet så om det er hvad det faktisk er sket - for servage køre ikke log over hvilke IP er der er tilgået ens account - eller de vil i hvert fald ikke oplyse det.
Det næste er så at jeg ikke køre på usikre wifi, og jeg altid SSL når jeg henter post.
fjols (5) skrev:Ja da. Især hvis de har fået spawnet en prompt med root adgang.
okay - har som sagt ikke så meget viden omkring server/php - så spørg fordi jeg er nysgerrig.
Alrekr (6) skrev:Jeg kan ikke lade være med at tænke, at kasperd ved hvordan det skete..
Derfor jeg spurgte i den tråd ;-) Men det er selvfølgelig korrekt at servage ikke er sansk, men tysk (eller er de Svenske)
fjols (7) skrev:Hvis du stadig har siderne online kan du jo prøve at køre SQL Map på dem for at se efter SQL injection svagheder.
De er ikke online mere, har dem ej heller lokalt - sandheden er at jeg ikke havde tid/lyst til at opdatere en blog om kæledyr/græs klipning, så jeg brugte muligheden og ryddede lidt op - efterfølgende er jeg bare nysgerrig.
siliankaas (8) skrev:Det næste er så at jeg ikke køre på usikre wifi, og jeg altid SSL når jeg henter post.
Så kan vi godt udelukke det, medmindre de er kommet på din email på en anden måde :)
siliankaas (8) skrev:De er ikke online mere, har dem ej heller lokalt - sandheden er at jeg ikke havde tid/lyst til at opdatere en blog om kæledyr/græs klipning, så jeg brugte muligheden og ryddede lidt op - efterfølgende er jeg bare nysgerrig.
Jeg er også nysgerrig ;)
Men når du ikke har siderne online mere, så er det desværre svært, måske umuligt, at finde ud af det med sikkerhed.
Efter at have søgt på google kan jeg se der har været en del Joomla og Wordpress exploits igennem tiden, så det kan også være sket den vej igennem.
fjols (9) skrev:Jeg er også nysgerrig ;)
Har skrevet til Servage igen, og pevet lidt over de ikke kan oplyse mig noget mere.
fjols (9) skrev:Men når du ikke har siderne online mere, så er det desværre svært, måske umuligt, at finde ud af det med sikkerhed.
ja det var måske dumt - gad bare ikke lige lade deres reklame blive online.
fjols (9) skrev:Efter at have søgt på google kan jeg se der har været en del Joomla og Wordpress exploits igennem tiden, så det kan også være sket den vej igennem.
Må jo tro på det - og håbe der ikke ligger en keylogger eller lig - er der nogle der kan anbefale nogle gode programmer udover dem jeg allerede har nævnt, jeg bør køre for at sikre mig?
siliankaas (1) skrev:Jeg har desuden scannet min computer med f.eks malwarebytes og spybot.
Bør man i grunden melde sådan noget til politiet?
Jeg ved godt de er ligeglade, og jeg ikke har mistet noget - ingen personfølsomme oplysninger er ude, og ingen nationer er i fare fordi det er sket, men princippet i det?
edit: I øvrigt tak for respons.
Er det dette en typisk måde at "hacke" hjemmesider på? Jeg mener - er det denne metode man oftest ser, eller hvordan (hvis man kan sætte det sådan op)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund