Har blitt hacket på samme vis som peterandrej. Kom hjem i går etter et lite reiseopphold og oppdaget dette i dag ved en ren tilfeldighet. Har akkurat brukt et par timer på å rydde opp – ikke akkurat en artig 17. mai feiring
Det som har skjedd er at hacker-jævelen har benyttet seg av et sikkerhetshull og opprettet en eller to mapper med navn med vilkårlige bokstaver som eksempelvis ”ahllw”. I denne mappen ligger de to filene idi.php og m.txt. Jævelen har også klart å forandre filrettighetene til 777 for index.php. Deretter har kødden skrevet inn en rekke lenker til index.php på et par av nettstedene som er hacket men ikke alle. Etter datoene å dømme ser det ut til at lenkelisten rulles ut over tid til de ulike nettstedene som er hacket. Sleipt som bare faen.
En mulig fiks.
Etter å ha studert angrepet på nettsteder jeg har liggende på egen server hos servetheworld ser jeg at det er kun de sidene som har mappen cp installert som er hacket. Det er tydeligvis her sikkerhetshullet ligger. H-Sphere panelet med cp-mappen, en images-mappe og filen login.html opprettes automatisk når du oppretter et nytt nettsted på server. Disse kan med trygghet fjernes om du ikke absolutt trenger dem. Etter et kjapt googlesøk ser jeg at andre har opplevd det samme og konkludert på samme vis. Se:
esuli.it » adsttnmq1/sdioyslkjs2 attack
Anbefaler alle som har H-Sphere installert om å sjekke nettstedene sine. Det første du gjør er å sjekke om index.php har filrettighetene 777. Har den det er det bare å sette i gang å rydde opp.
• Last opp index.php fra backup eller fra lokal stasjon.
• Slett filmappe med rare bokstaver som har kommet til den siste tiden.
• Rett filrettighetene til 644 for index.php
• Slett deretter cp mappen og tilhørende login.html
Vet enda ikke om dette er den korrekte fremgangsmåten. Det får tiden vise.
