|
| hvad sker der på min hjemmeside Fra : bask |
Dato : 25-01-06 08:31 |
|
Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
Optimizer. Og se nu hvad der sker på www.baskholm.dk
-:(( Børge
| |
Leif Neland (25-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 25-01-06 10:04 |
|
bask wrote:
> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
> Optimizer. Og se nu hvad der sker på www.baskholm.dk
Ja, der er vist nogen, der prøver at lægge en phishing-hjemmeside til paypal
ind...
Leif
| |
Ukendt (25-01-2006)
| Kommentar Fra : Ukendt |
Dato : 25-01-06 10:16 |
|
bask wrote:
>
> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
> Optimizer. Og se nu hvad der sker på www.baskholm.dk
Der mangler angivelse af character encoding og doctype. Desuden
er farverne grimme. Men jeg går ikke ud fra, at det er det, du
vil have mig til at lægge mærke til.
--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);
| |
bask (25-01-2006)
| Kommentar Fra : bask |
Dato : 25-01-06 12:29 |
|
Tak for svarene. Til Leif N vil jeg sige: hvordan slipper jeg at med
dette phishing-forsøg - såfremt det da er et sådant?
Og Kasper - jeg forstår nok ikke ganske hvad du mener, men ser nok en
vis form for humor i dit svar. I øvrigt var det ikke farverne du
skulle lægge mærke til, de er vist min egen sag.
:-| Børge
| |
Leif Neland (25-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 25-01-06 13:45 |
|
bask wrote:
> Tak for svarene. Til Leif N vil jeg sige: hvordan slipper jeg at med
> dette phishing-forsøg - såfremt det da er et sådant?
>
Afhænger lidt af hvordan du har adgang til serveren,
ftp/ssh/webdav/frontpage...
Tager en backup af mappen med de inficerede filer, og noter tidspunktet de
er lavet.
Fjerner "fremmede" filer.
Læser din backup med de rigtige filer ind.
Læser i loggen om du kan se, hvad der er sket på det tidspunkt, filerne er
lagt ind.
Lav evt mappen read-only for webserver-brugeren.
Kan brugere uploade filer via en form på hjemmesiden? Du skal sikre dig at
man ikke ved at kalde upload-scriptet (det, der modtager data) fra en
fremmed side eller med specielle filnavne kan lokke upload-scriptet til at
lægge filen udenfor den mappe, du har angivet.
Kontroller at du kun modtager den type filer, du forventer.
Kan man f.ex. uploade billeder, så check at det rent faktisk er et billede,
med getimagesize f.ex.
Ellers kan man uploade et php-script, og så bliver det udført, når man
"viser" billedet.
Fjern tilladelsen til udførsel af cgi/php i din upload-mappe:
Lav/rediger .htaccess i upload-mappen, og skriv
php_flag engine off
RemoveHandler .cgi
RemoveHandler .pl
Dette kan også laves i en "<directory ..../uploaddir>" i httpd.conf, hvis du
har adgang til den, men det har du næppe, hvis det ikke er din egen server.
Vær nøje med at "rense" alt input fra brugeren, før du udfører operationer
på det.
Et eksempel:
Der kan sendes en fil til en adresse, brugeren indtaster.
Det gøres ved at udføre "cat fil | mail $user"
Nu indtaster den onde bruger sin emailadresse som bad@guy.dom; rm -r /
Er scriptet ikke lavet ordentligt, vil det blive til "cat fil | mail
bad@guy.dom; rm -r /"
Semikolon adskiller kommandoer, og efter mail er sendt, køres "rm -r /" og
alt ser slettet på serveren...
Der er mange muligheder...
Leif
| |
Anders (25-01-2006)
| Kommentar Fra : Anders |
Dato : 25-01-06 13:03 |
|
bask wrote:
> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
> Optimizer. Og se nu hvad der sker på www.baskholm.dk
Har du kontaktede din web host og forklaret situationen? Hvis ikke var
dette nok en god ide.
| |
Holst (25-01-2006)
| Kommentar Fra : Holst |
Dato : 25-01-06 13:31 |
|
Anders wrote:
>>Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
>>min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
>>min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
>>Optimizer. Og se nu hvad der sker på www.baskholm.dk
>
> Har du kontaktede din web host og forklaret situationen? Hvis ikke var
> dette nok en god ide.
Jeg spørger måske dumt, men hvad er det, vi skal se?
Når jeg kigger på siden får jeg følgende tekst og ikke andet
Mathias B. Askholm´s Homepage
Dansk Side
English Site
B. Mathias Askholms
Genealogisk Granskning / Genealogically Investigations
FastCounter by LinkExchange
foruden lidt grafik til tælleren.
| |
Leif Neland (25-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 25-01-06 13:57 |
|
Holst wrote:
> Anders wrote:
>
>>> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
>>> min hjemmeside. Det er helt galt med php - der bl.a. slulle
>>> indeholde min slægtsforskning. Det hele begyndte med at der
>>> "manglede" en Zend Optimizer. Og se nu hvad der sker på
>>> www.baskholm.dk
>>
>> Har du kontaktede din web host og forklaret situationen? Hvis ikke
>> var dette nok en god ide.
>
> Jeg spørger måske dumt, men hvad er det, vi skal se?
>
Klik på
> Genealogisk Granskning / Genealogically Investigations
http://www.baskholm.dk/phpgedview/
Der er en form, der kan sende breve, sandsynligvis phishing breve...
Jeg prøvede at sende til en dummy-postkasse, jeg har, og formen skriver:
You r going to hell for spamming paypaltest@xxxxx.dk...sent (rUnViRuS you r
fucked)
Unable to include the config.php file. Make sure that . is in your PHP
include path in the php.ini file.
Så der er definitivt nogle rødder indblandet. Med mindre det er Askholm
selv, der vil kunne sende spam ud
Leif
| |
Anders Larsson \(fje~ (25-01-2006)
| Kommentar Fra : Anders Larsson \(fje~ |
Dato : 25-01-06 14:11 |
|
Fik du ændret password, rettigheder m.v. efter gedview biblioteket var åbent
for browsing/læsning af alle filer - inkl. config filer ?
--
MVH Anders (8900)
Det er fordi det er nemmere at læse - vi læser jo ikke nedefra og op.
Hvorfor skal man skrive svaret under det man svarer ?
..
| |
Leif Neland (25-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 25-01-06 14:30 |
|
bask wrote:
> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
> Optimizer. Og se nu hvad der sker på www.baskholm.dk
>
>
Se at få fjernet det skript. der ligger i /gedview, det fungerer og kan
sende spam.
Jeg kan "desværre" ikke se, hvad der står i det, fordi det bliver stoppet af
mit spamfilter
Leif
| |
Ukendt (25-01-2006)
| Kommentar Fra : Ukendt |
Dato : 25-01-06 14:42 |
|
bask wrote:
>
> Og Kasper - jeg forstår nok ikke ganske hvad du mener, men ser nok en
> vis form for humor i dit svar. I øvrigt var det ikke farverne du
> skulle lægge mærke til, de er vist min egen sag.
Nu er det dårlige valg af farver jo det mest iøjnefaldende på
den side. Og du har stadig ikke sagt noget om, hvad det ellers
var man skulle lægge mærke til.
--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);
| |
Niels Callesøe (25-01-2006)
| Kommentar Fra : Niels Callesøe |
Dato : 25-01-06 18:32 |
|
Kasper Dupont wrote in
<news:43D78039.5D47A030@expires.08.mar.2006.kasperd.net.invalid>:
>> Og Kasper - jeg forstår nok ikke ganske hvad du mener, men ser
>> nok en vis form for humor i dit svar. I øvrigt var det ikke
>> farverne du skulle lægge mærke til, de er vist min egen sag.
>
> Nu er det dårlige valg af farver jo det mest iøjnefaldende på
> den side. Og du har stadig ikke sagt noget om, hvad det ellers
> var man skulle lægge mærke til.
Nogen har haxed hans genealogi-side. Giggle siger det kørte et populært
genealogi-program (phpgedview). Programmets site siger at det "havde"
nogle sikkerhedshuller, der nu er væk... Lige pt. kører sitet en
paypal-phish generator med defekter, ser det ud til.
Børge:
Slet. Start forfra. Jeg håber du har noter, men ellers kan du jo glæde
dig over at det "sjove" ved genealogi er at gøre det hele fra bunden
(igen).
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php
This space for rant.
| |
Christian E. Lysel (25-01-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 25-01-06 20:08 |
|
bask wrote:
> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
> Optimizer. Og se nu hvad der sker på www.baskholm.dk
Du bruger måske noget gammelt og hullet software og bliver straffet for det.
Hvilken version havde du installeret?
Kik evt. på http://www.phpgedview.net/ men den "nyhed" er over 1 måned
gammel.
...
20 Dec 2005 - SunTzu Hacker/Worm Attack Patch
There is currently a hacker/worm targeting PhpGedView websites.
You should upgrade to version 3.3.8 immediately, or download the patch
files. If you are running PGV version 4.0 beta 3, DO NOT apply the patch
below!!!! This patch is for 3.3.x (preferably 3.3.7) ONLY. If you're on
any version of 4.0 other than beta3 or Future Branch CVS, you should
upgrade to beta3 or Future Branch CVS IMMEDIATELY. The patches have
already been incorporated into these versions. There are NO patches for
earlier versions of 4.0.
If you're on PGV 3.3.x or even version 3.1 or 3.2, we strongly suggest
that you update to the latest version of PhpGedView 3.3.7 and then
download and apply all 4 patch files located here:
https://sourceforge.net/tracker/index.php?func=detail&aid=1386434&group_id=55456&atid=477081.
Copy file 'authentication_index.php' to subdirectory 'includes'. Copy
the other files to the main directory where PGV is installed.
There are NO patches for PGV versions earlier than 3.3.x, so you MUST
upgrade before you apply the patches mentioned above.
| |
Leif Neland (25-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 25-01-06 22:34 |
|
Christian E. Lysel wrote:
> bask wrote:
>> Jeg er efterhånden bange for at nogen udefra er begyndt at pille ved
>> min hjemmeside. Det er helt galt med php - der bl.a. slulle indeholde
>> min slægtsforskning. Det hele begyndte med at der "manglede" en Zend
>> Optimizer. Og se nu hvad der sker på www.baskholm.dk
>
> Du bruger måske noget gammelt og hullet software og bliver straffet
> for det.
> Hvilken version havde du installeret?
>
>
> Kik evt. på http://www.phpgedview.net/ men den "nyhed" er over 1 måned
> gammel.
>
Det var måske en ide at abonnere på phpgedview-announce for at være sikker
på at få den slags info:
http://lists.sourceforge.net/lists/listinfo/phpgedview-announce
Leif
| |
bask (26-01-2006)
| Kommentar Fra : bask |
Dato : 26-01-06 12:08 |
|
Bortset fra farverne så havde jeg en phpgedview liggende med
slægtshistorie. Den er blevet udskiftet med et eller andet snavs, som
jeg har forsøgt at komme af med. Den kommer frem hvis man klikker på
linket til genealogi.
en efterhånden desperat
Børge
der på ingen måde ønsker at sende spam eller andet djævelskab ud.
| |
Leif Neland (26-01-2006)
| Kommentar Fra : Leif Neland |
Dato : 26-01-06 13:14 |
|
> Bortset fra farverne så havde jeg en phpgedview liggende med
> slægtshistorie. Den er blevet udskiftet med et eller andet snavs, som
> jeg har forsøgt at komme af med. Den kommer frem hvis man klikker på
> linket til genealogi.
>
> en efterhånden desperat
>
Hvorfor fjerner du det ikke bare?
Er der problemer, må udbyderen da kunne hjælpe.
Det er jo heller ikke i hans interesse at hans server bliver brugt til at
sende spam. Håber jeg da...
Leif
| |
bask (26-01-2006)
| Kommentar Fra : bask |
Dato : 26-01-06 12:10 |
|
Genealogien ligger et halt andet sted, som jeg plejer at overføre til
php, det er ikke der problemet ligger.
Børge
| |
bask (27-01-2006)
| Kommentar Fra : bask |
Dato : 27-01-06 17:28 |
|
Så videt jeg kan se nu er det lykkedes for min sysman at få genskabt
siden nogenlunde - det er endnu en del at gøre, men det set pænere ud
end før.
) Børge
| |
|
|