wdv
20/08/06, 14:50
Beste WHT'ers,
Ik sta voor een raadsel. Vandaag is de site van 1 van onze klanten gehacked, nou is dat nog niet zo bijzonder (klanten draaien wel vaken een lek php scriptje), alleen kan ik niet echt vinden hoe de hacker erin is gekomen en al helemaal niet hoe enkele phishing files zijn geupload.
Het gaat om een site waar helemaal geen PHP gebruikt wordt, het kan dus niet een PHP exploit zijn. Verder heb ik ook mod_security draaien die onder andere wget requests tegenhoudt. Het viel mij op dat het spul geupload was onder een _vti_cnf mapje, misschien dus een frontpage exploit? Het gaat hier overigens om een FreeBSD bak met DirectAdmin. De hoofdmap waaronder de phishing pagina's staan heet PayPalaccountupdate.
Iemand enig idee hoe deze exploit erop komt? Kon namelijk ook niks op Google vinden.
edit: Ik zie zojuist dat FrontPage extensions niet enabled zijn op de betreffende domeinnaam. Geen PHP, geen frontpage.. rara hoe kan dit? :)
edit2: In de access/error logs is overigens ook niks terug te vinden.
Ik sta voor een raadsel. Vandaag is de site van 1 van onze klanten gehacked, nou is dat nog niet zo bijzonder (klanten draaien wel vaken een lek php scriptje), alleen kan ik niet echt vinden hoe de hacker erin is gekomen en al helemaal niet hoe enkele phishing files zijn geupload.
Het gaat om een site waar helemaal geen PHP gebruikt wordt, het kan dus niet een PHP exploit zijn. Verder heb ik ook mod_security draaien die onder andere wget requests tegenhoudt. Het viel mij op dat het spul geupload was onder een _vti_cnf mapje, misschien dus een frontpage exploit? Het gaat hier overigens om een FreeBSD bak met DirectAdmin. De hoofdmap waaronder de phishing pagina's staan heet PayPalaccountupdate.
Iemand enig idee hoe deze exploit erop komt? Kon namelijk ook niks op Google vinden.
edit: Ik zie zojuist dat FrontPage extensions niet enabled zijn op de betreffende domeinnaam. Geen PHP, geen frontpage.. rara hoe kan dit? :)
edit2: In de access/error logs is overigens ook niks terug te vinden.