PDA

Bekijk Volledige Versie : Phishing site



wdv
20/08/06, 14:50
Beste WHT'ers,

Ik sta voor een raadsel. Vandaag is de site van 1 van onze klanten gehacked, nou is dat nog niet zo bijzonder (klanten draaien wel vaken een lek php scriptje), alleen kan ik niet echt vinden hoe de hacker erin is gekomen en al helemaal niet hoe enkele phishing files zijn geupload.

Het gaat om een site waar helemaal geen PHP gebruikt wordt, het kan dus niet een PHP exploit zijn. Verder heb ik ook mod_security draaien die onder andere wget requests tegenhoudt. Het viel mij op dat het spul geupload was onder een _vti_cnf mapje, misschien dus een frontpage exploit? Het gaat hier overigens om een FreeBSD bak met DirectAdmin. De hoofdmap waaronder de phishing pagina's staan heet PayPalaccountupdate.

Iemand enig idee hoe deze exploit erop komt? Kon namelijk ook niks op Google vinden.

edit: Ik zie zojuist dat FrontPage extensions niet enabled zijn op de betreffende domeinnaam. Geen PHP, geen frontpage.. rara hoe kan dit? :)

edit2: In de access/error logs is overigens ook niks terug te vinden.

Digiover
20/08/06, 15:22
Makkelijk te raden FTP wachtwoord? Andere scripting enabled (CGI, soort-van-ASP)?

wdv
20/08/06, 15:30
Of het een makkelijk te raden FTP wachtwoord is weet ik niet ;) De gebruikersnaam is niet echt voor de hand liggend. CGI staat in ieder geval wel aan.

Volgens mij is de hacker een Zweed, aangezien ik in de logs zie dat een Zweeds IP iedere dag even komt checken of het er nog allemaal is.

edit: De betreffende sites heeft verder geen CGI bestanden. Het zou trouwens kunnen dat FrontPage nu op disabled staat omdat de site nu ook suspended is.

dsigning
20/08/06, 17:18
hoe staan de map rechten, mischien staat alles open.

noescom
30/08/06, 11:55
Execute rechten op /tmp misschien?

X-Hosted
30/08/06, 12:07
Heb het ook pas gehad, was er via ftp in gekomen.. klant had een ook niet voor de hand liggende gebruikesnaam, maar als ftp wachtwoord 'admin' :X

Kwam de gebruikersnaam toevallig (deels) voor in de domein naam?

FTP logs al doorzocht? gewoon even op de naam van de map zoeken, wie weet :)

DennisWijnberg
30/08/06, 12:15
Vaak je gebruikersnamen als denniswijnb01 ofzo...Dan is dat nog wel te raden...

eweps
30/08/06, 12:43
Wij hebben hetzelfde probleem gehad, waarschijnlijk is je server gewoon niet goed beveiligd en hebben ze deze sites er met ssh opgezet.

firewall en BFD installeren helpt al een hoop!

jinxedworld
30/08/06, 12:50
Als mensen via ssh zomaar binnen kunnen komen zou ik toch eens je sshd gaan upgraden cq dichttimmeren.