|
|
 | Jeg har haft fremmede på besøg på min webs~
Fra : Stampe |
Dato : 24-03-09 07:23 |
| | |
 Stig Johansen (24-03-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 24-03-09 13:54 |
|
Stampe wrote:
> Jeg har haft en ubuden gæst fra motenegro
> http://harlvig.dk/test/who_is.txt Det ser ud til at det er lykkes ham at
> logge på min ftp-server i kan se loggen her:
> http://harlvig..dk/test/ftp_log.txt
Hmm...
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> USER
newuser
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> 331
Password required for newuser
(000004) 23-03-2009 23:48:36 - (not logged in) (79.101.235.235)> PASS *****
(000004) 23-03-2009 23:48:36 - newuser (79.101.235.235)> 230 Logged on
Der er ikke tegn )i din log) på brute force, så havd laver en
brugerid=newuser og et tilsydeladende nemt password på din maskine?
> Endvidere har han oploadet en fil
> fm_php i kan se den her: http://harlvig.dk/test/fm_php.txt
>
> Kan nogen fortælle mig hvad ulykke han har lavet - Jeg har selvfølgelig
> lavet en ip Ban på IP adressen
I og med du har et hul kan han have lavet hvad som helst.
Luk hullet, fjern den fil du omtaler, og tjek *samtlige* filer på din
webserver for <script> og <iframe> injectiones m.v.
--
Med venlig hilsen
Stig Johansen
| |
Dan Storm (24-03-2009)
| Kommentar
Fra : Dan Storm |
Dato : 24-03-09 14:01 |
|
Stig Johansen skrev:
> Der er ikke tegn )i din log) på brute force, så havd laver en
> brugerid=newuser og et tilsydeladende nemt password på din maskine?
http://robsnotebook.com/xampp-ftp-remove-default-passwords
Kvalificeret bud ;)
--
Dan Storm - storm at err0r dot dk / http://err0r.dk
People who claim they don't let little things bother
them have never slept in a room with a single mosquito.
| |
 Stig Johansen (24-03-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 24-03-09 19:51 |
|
Dan Storm wrote:
> Stig Johansen skrev:
>> Der er ikke tegn )i din log) på brute force, så havd laver en
>> brugerid=newuser og et tilsydeladende nemt password på din maskine?
>
> http://robsnotebook.com/xampp-ftp-remove-default-passwords
>
> Kvalificeret bud ;)
Meget kvalificeret vil jeg sige - suk.
Det gør det sku nemt for de skide hackere - dem der laver den slags default
user/pass ved installationer skulle have et par velrettede slag over den
dertil indrettede med en våd søndagsberlinger ;)
--
Med venlig hilsen
Stig Johansen
| |
Stampe (25-03-2009)
| Kommentar
Fra : Stampe |
Dato : 25-03-09 08:23 |
|
"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:49c92bd0$0$90273$14726298@news.sunsite.dk...
> Dan Storm wrote:
>
>> Stig Johansen skrev:
>>> Der er ikke tegn )i din log) på brute force, så havd laver en
>>> brugerid=newuser og et tilsydeladende nemt password på din maskine?
>>
>> http://robsnotebook.com/xampp-ftp-remove-default-passwords
>>
>> Kvalificeret bud ;)
>
> Meget kvalificeret vil jeg sige - suk.
> Det gør det sku nemt for de skide hackere - dem der laver den slags
> default
> user/pass ved installationer skulle have et par velrettede slag over den
> dertil indrettede med en våd søndagsberlinger ;)
>
> --
> Med venlig hilsen
> Stig Johansen
Åhh yes hit me  Ja du har ret.. Nå men jeg har selvfølgelig slettet den
newuser nu, tak for input -jeg var bare ikke opmærksom på hvad det var for
en fætter -Ellers er jeg rigtig glad for FileZilla ftp-server.
Mvh
Allan
| |
Stig Johansen (25-03-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 25-03-09 11:48 |
|
Stampe wrote:
> Åhh yes hit me Ja du har ret..
Lige for en god ordens skyld, så var det Dan, der pinpointede problemet,
ikke mig.
--
Med venlig hilsen
Stig Johansen
| |
Dan Storm (25-03-2009)
| Kommentar
Fra : Dan Storm |
Dato : 25-03-09 12:22 |
|
Stig Johansen skrev:
> Meget kvalificeret vil jeg sige - suk.
> Det gør det sku nemt for de skide hackere - dem der laver den slags default
> user/pass ved installationer skulle have et par velrettede slag over den
> dertil indrettede med en våd søndagsberlinger ;)
Ganske enig :)
Problematikken er ofte at med sådanne løsninger, der skal gøre det så
nemt for brugeren som overhovedet muligt, stammer default users og
passwords ofte fra at brugerne stadig ikke kan få tingene til at virke.
Synes også man ser det i mange CMS, blogsystemer og lignende som man kan
installere på sin webserver.
--
Dan Storm - storm at err0r dot dk / http://err0r.dk
People who claim they don't let little things bother
them have never slept in a room with a single mosquito.
| |
Stampe (26-03-2009)
| Kommentar
Fra : Stampe |
Dato : 26-03-09 08:12 |
|
>
> Problematikken er ofte at med sådanne løsninger, der skal gøre det så nemt
> for brugeren som overhovedet muligt, stammer default users og passwords
> ofte fra at brugerne stadig ikke kan få tingene til at virke.
>
> Synes også man ser det i mange CMS, blogsystemer og lignende som man kan
> installere på sin webserver.
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
installation
http://hullet-valby.dk/php-info.php
Mvh
Allan
| |
Dan Storm (26-03-2009)
| Kommentar
Fra : Dan Storm |
Dato : 26-03-09 09:53 |
|
Stampe skrev:
> Månske en kunne give mig et par hint om hvad der skal ændres i min
> Apache installation
> http://hullet-valby.dk/php-info.php
Hvis det er din sikkerhed du er bekymret for, så er det eneste råd jeg
kan give dig at ikke have din phpinfo liggende til offentligt skue, da
den fortæller meget om det system du er på - og det behøver
defacere/hackere/crackere/whatever ikke vide noget om. Det er fint at
vise den frem til os (eller andre) hvis du har et udviklingsproblem, men
når den så er kigget efter, så fjerner du den igen.
Jeg vil nu hellere anbefale dig at google efter sikkerhedsemner med
xampp. Det vil med garanti give dig en bedre idé om hvor dine huller kan
være og hvad du skal rette til for at løse problemerne. Som regel er
Apache i sig selv ikke problemet, men hvad der ellers ligger på
serveren. Eksempelvis en default bruger (som er almen kendt) i FTP
serveren, uigennemtænkte serverside scripts og sådan noget.
--
Dan Storm - storm at err0r dot dk / http://err0r.dk
People who claim they don't let little things bother
them have never slept in a room with a single mosquito.
| |
Stig Johansen (26-03-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-03-09 11:24 |
|
Stampe wrote:
> Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
> installation
> http://hullet-valby.dk/php-info.php
Tænk i de baner, at jo mere *du* kan, jo mere kan *de*...
--
Med venlig hilsen
Stig Johansen
| |
Stampe (26-03-2009)
| Kommentar
Fra : Stampe |
Dato : 26-03-09 12:47 |
|
"Stig Johansen" <wopr.dk@gmaill.com> skrev i meddelelsen
news:49cb5812$0$90264$14726298@news.sunsite.dk...
> Stampe wrote:
>
>> Månske en kunne give mig et par hint om hvad der skal ændres i min Apache
>> installation
>> http://hullet-valby.dk/php-info.php
>
> Tænk i de baner, at jo mere *du* kan, jo mere kan *de*...
>
> --
> Med venlig hilsen
> Stig Johansen
ja den er jeg sådan set med på - men jeg kan ikke gennemskue hvad jeg
skal lukke af for og hvad der er et must på min web-server
Mvh
Allan
| |
LJ (30-03-2009)
| Kommentar
Fra : LJ |
Dato : 30-03-09 20:50 |
|
Men bortset fra det sikkerhedshul du har haft, så er det rimelig spændende
kode han har lagt ind.
Jeg vil umiddelbart gætte på, at den indeholder en keylogger funktion, som
bliver logget, og herefter flyttet til et placering i dit www dir, hvorfra
den så kan hentes.
Hvis alle de kræfter der der er lagt i den kode, var blevet brugt til
konstruktivt, så kunne den sende folk til Mars og hjem igen  )
LJ.
Den 24.03.2009 kl. 07:23 skrev Stampe SLET ask-service.dk> <"<ask">:
> Jeg har haft en ubuden gæst fra motenegro
> http://harlvig.dk/test/who_is.txt Det ser ud til at det er lykkes ham at
> logge på min ftp-server i kan se loggen her:
> http://harlvig..dk/test/ftp_log.txt Endvidere har han oploadet en fil
> fm_php i kan se den her: http://harlvig.dk/test/fm_php.txt
>
> Kan nogen fortælle mig hvad ulykke han har lavet - Jeg har selvfølgelig
> lavet en ip Ban på IP adressen
>
> Mvh
> Allan
--
Sendt med Operas banebrydende postklient:
http://www.opera.com/mail/
| |
Stampe (31-03-2009)
| Kommentar
Fra : Stampe |
Dato : 31-03-09 04:22 |
|
"LJ" <spam@mail.dk> skrev i meddelelsen news  .urmeoytdg32drg@giggosove...
> Men bortset fra det sikkerhedshul du har haft, så er det rimelig spændende
> kode han har lagt ind.
> Jeg vil umiddelbart gætte på, at den indeholder en keylogger funktion, som
> bliver logget, og herefter flyttet til et placering i dit www dir, hvorfra
> den så kan hentes.
> Hvis alle de kræfter der der er lagt i den kode, var blevet brugt til
> konstruktivt, så kunne den sende folk til Mars og hjem igen )
>
> LJ.
>
Nu har jeg jo slettet den der fm.php samt lukket hullet i min ftp-server,
men er der andre steder jeg skal søge efter ting han kan have lagt ind på
serveren?
Mvh
Allan
| |
Stig Johansen (31-03-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 31-03-09 06:01 |
|
Stampe wrote:
> Nu har jeg jo slettet den der fm.php samt lukket hullet i min ftp-server,
> men er der andre steder jeg skal søge efter ting han kan have lagt ind på
> serveren?
Du skal i princippet kigge efter alt på din server fra roden og nedefter.
Nu er det ikke til at vide hvad du har været ude for, men jeg har set
eksempler på man har oprettet ekstra directories, lavet 'uskyldige' .txt
filer, nye/ændrede .htaccess med rewrite rules etc.
I forbindelse med en incident på UnoEuro's servere var en del af
'komplekset' endda en javascript fil, der var camoufleret som .gif
Eller sagt på en anden måde, selv om det ser uskyldigt ud, behøver det ikke
være uskyldigt.
Ikke at det nødvendigvis påvirker din server, men du kan risikere at være
placeholder for andre angreb.
--
Med venlig hilsen
Stig Johansen
| |
|
|