Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Hvad hacker hackere i en webshop?
14 views
Skip to first unread message
Kurt Hansen
Jan 17, 2013, 3:40:32 AM1/17/13
to
Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
blevet hacket og nu misbruges til udsendelse af spam. Og s� skriver de,
nok s� genialt, at jeg skal l�se problemet, hvorefter de vil �bne igen.
Shoppen er baseret p� osCommerce,k�rer p� Apache p� et webhotel hos
Unoeuro og bruger mySQL/php.
Hvad i alverden g�r jeg? Jeg ved ikke hvordan de er kommet ind, men
sp�rgsm�let er ogs� mere HVAD de har gjort.
Har de �ndret i databasen, placeret nogle fjendtlige filer eller ...?
Og hvad kan jeg g�re ved det?
Selvf�lgelig har jeg skrevet de samme sp�rgsm�l til Unoeuro's support
(man kan ikke ringe til dem), men hvorn�r jeg f�r svar og hvad det
kommer til at indeholde, er endnu uvist.
--
Venlig hilsen
Kurt Hansen
blevet hacket og nu misbruges til udsendelse af spam. Og s� skriver de,
nok s� genialt, at jeg skal l�se problemet, hvorefter de vil �bne igen.
Shoppen er baseret p� osCommerce,k�rer p� Apache p� et webhotel hos
Unoeuro og bruger mySQL/php.
Hvad i alverden g�r jeg? Jeg ved ikke hvordan de er kommet ind, men
sp�rgsm�let er ogs� mere HVAD de har gjort.
Har de �ndret i databasen, placeret nogle fjendtlige filer eller ...?
Og hvad kan jeg g�re ved det?
Selvf�lgelig har jeg skrevet de samme sp�rgsm�l til Unoeuro's support
(man kan ikke ringe til dem), men hvorn�r jeg f�r svar og hvad det
kommer til at indeholde, er endnu uvist.
--
Venlig hilsen
Kurt Hansen
Stig Johansen
Jan 17, 2013, 7:37:27 AM1/17/13
to
Kurt Hansen wrote:
> Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
> blevet hacket og nu misbruges til udsendelse af spam. Og s� skriver de,
> nok s� genialt, at jeg skal l�se problemet, hvorefter de vil �bne igen.
Ked af at sige det, men det er dit ansvar at have sikker kode.
> Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
> blevet hacket og nu misbruges til udsendelse af spam. Og s� skriver de,
> nok s� genialt, at jeg skal l�se problemet, hvorefter de vil �bne igen.
> Shoppen er baseret p� osCommerce,k�rer p� Apache p� et webhotel hos
> Unoeuro og bruger mySQL/php.
> Hvad i alverden g�r jeg? Jeg ved ikke hvordan de er kommet ind, men
> sp�rgsm�let er ogs� mere HVAD de har gjort.
Differencen fort�ller pr�cis hvad de har gjort/lagt.
HVORDAN de er kommet ind m� du selv finde ud af, da det er en
sikkerhedsbrist.
Hvis du har en udf�rlig log (hvilket de f�rreste har), kunne du backtrace
til 'h�ndelsen'.
> Har de �ndret i databasen, placeret nogle fjendtlige filer eller ...?
du finde inspiration her:
http://wopr.ws/storm.monitor/
> Og hvad kan jeg g�re ved det?
Det bedste er nok at finde en backup fra sidste 'clean install', og tage den
derfra.
> Selvf�lgelig har jeg skrevet de samme sp�rgsm�l til Unoeuro's support
> (man kan ikke ringe til dem), men hvorn�r jeg f�r svar og hvad det
> kommer til at indeholde, er endnu uvist.
--
Med venlig hilsen
Stig Johansen
Arne Vajhøj
Jan 19, 2013, 1:18:14 PM1/19/13
to
On 1/17/2013 3:40 AM, Kurt Hansen wrote:
> Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
> blevet hacket og nu misbruges til udsendelse af spam. Og så skriver de,
> Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
> nok så genialt, at jeg skal løse problemet, hvorefter de vil åbne igen.
>
> Shoppen er baseret på osCommerce,kører på Apache på et webhotel hos
> Unoeuro og bruger mySQL/php.
>
> Hvad i alverden gør jeg? Jeg ved ikke hvordan de er kommet ind, men
> spørgsmålet er også mere HVAD de har gjort.
>
> Har de ændret i databasen, placeret nogle fjendtlige filer eller ...?
>
> Og hvad kan jeg gøre ved det?
>
> Selvfølgelig har jeg skrevet de samme spørgsmål til Unoeuro's support
> (man kan ikke ringe til dem), men hvornår jeg får svar og hvad det
> kommer til at indeholde, er endnu uvist.
1) Hent en kopi af din database ned
2) Check om data er OK - hvis du ved at problemerne startede dag T kan
du gøre det lidt nemmere ved at sammenligne med din backup fra
dag T-1
3) Hvis data ikke er OK skal de renses for snavs
4) Saa checker du om der er kommet nye versioner af osCommerce i
forhold til den du bruger - det er der sikkert
5) Hvis der er en nyere version henter du den
6) Så skal du gennem alle dine tilretninger/plugins:
- de skal virke med den nyeste version of osCommerce
- de skal ikke indeholder sikkerhedshuller (kig specielt efter
SQL injection og upload af kode der kan ende med at blive udført)
7) Tilret som nødvendigt
8) Slet alt på web hotellet
9) Upload det hele (osComemerce, tilretninger/plugins, data)
10) Bed UnoEuro om at lukke op igen
11) Kryds fingre
Arne
Kurt Hansen
Jan 20, 2013, 12:27:57 AM1/20/13
to
Den 17/01/13 09.40, Kurt Hansen skrev:
> Unoeuro og bruger mySQL/php.
>
> Hvad i alverden gør jeg? Jeg ved ikke hvordan de er kommet ind, men
> spørgsmålet er også mere HVAD de har gjort.
>
> Har de ændret i databasen, placeret nogle fjendtlige filer eller ...?
>
> Og hvad kan jeg gøre ved det?
>
> Selvfølgelig har jeg skrevet de samme spørgsmål til Unoeuro's support
> (man kan ikke ringe til dem), men hvornår jeg får svar og hvad det
samme hack ramt andre brugere af samme shopsystem.
Missæren skyldes, at noget har opdaget er gæster (der ikke er logget
ind) har mulighed for at bruge "Tell a friend". Den funktion sætter de
så i gang med at sende spam ud.
"Tell a friend" er deaktiveret (faktisk fjernet helt og de tilhørende
filer slettet), sitet er sammenlignet med en backup fra lige før
problemet opstod og der blev ikke fundet mistiænkelige filer eller
indhold, så nu har udbyderet åbnet igen og det kører tilsyneladende
smertefrit.
> Unoeuro har meddelt mig, at en webshop er blevet lukket ned fordi den er
> blevet hacket og nu misbruges til udsendelse af spam. Og så skriver de,
> nok så genialt, at jeg skal løse problemet, hvorefter de vil åbne igen.
>
> Shoppen er baseret på osCommerce,kører på Apache på et webhotel hos
> nok så genialt, at jeg skal løse problemet, hvorefter de vil åbne igen.
>
> Unoeuro og bruger mySQL/php.
>
> Hvad i alverden gør jeg? Jeg ved ikke hvordan de er kommet ind, men
> spørgsmålet er også mere HVAD de har gjort.
>
> Har de ændret i databasen, placeret nogle fjendtlige filer eller ...?
>
> Og hvad kan jeg gøre ved det?
>
> Selvfølgelig har jeg skrevet de samme spørgsmål til Unoeuro's support
> (man kan ikke ringe til dem), men hvornår jeg får svar og hvad det
> kommer til at indeholde, er endnu uvist.
Tak for input. Problemet er tilsyneladende løst og i mellemtiden har
samme hack ramt andre brugere af samme shopsystem.
Missæren skyldes, at noget har opdaget er gæster (der ikke er logget
ind) har mulighed for at bruge "Tell a friend". Den funktion sætter de
så i gang med at sende spam ud.
"Tell a friend" er deaktiveret (faktisk fjernet helt og de tilhørende
filer slettet), sitet er sammenlignet med en backup fra lige før
problemet opstod og der blev ikke fundet mistiænkelige filer eller
indhold, så nu har udbyderet åbnet igen og det kører tilsyneladende
smertefrit.
Stig Johansen
Jan 21, 2013, 2:08:45 AM1/21/13
to
Kurt Hansen wrote:
> Tak for input. Problemet er tilsyneladende løst og i mellemtiden har
> samme hack ramt andre brugere af samme shopsystem.
Det er bot'er der udnytter sådanne huller, og trawler gennem nettetttt i
> Tak for input. Problemet er tilsyneladende løst og i mellemtiden har
> samme hack ramt andre brugere af samme shopsystem.
såkaldte 'blind attacks'.
> Missæren skyldes, at noget har opdaget er gæster (der ikke er logget
> ind) har mulighed for at bruge "Tell a friend". Den funktion sætter de
> så i gang med at sende spam ud.
>
> "Tell a friend" er deaktiveret (faktisk fjernet helt og de tilhørende
> filer slettet), sitet er sammenlignet med en backup fra lige før
> problemet opstod og der blev ikke fundet mistiænkelige filer eller
> indhold, så nu har udbyderet åbnet igen og det kører tilsyneladende
> smertefrit.
Jeg har set eksempler på websteder hvor der var helt op til 470
'malwarefiler' placeret på domænet.
0 new messages