Onderwerp: Spamscript DirectAdmin

Hallo allemaal,

Afgelopen weekend keek ik op Google hoe mijn website geïndexeerd werd en het viel mij op dat ik hele rare URL's krijg. Na controle op de webserver zag ik dat er een map contentsmain en bestanden do.php, folders.txt en list.txt waren aangemaakt. Ook was er bij de .htaccess een verwijzing bijgeschreven dat alles wat niet bestaat doorgesluisd moet worden naar contentsmain/go.php.

Omdat ik niet wist wat de situatie was heb ik afgewacht tot vandaag om mijn collega's te vragen wie deze bestanden heeft geplaatst. Nu bleek dat niemand op de server is geweest en ALLE pakketten van mijn Reseller DirectAdmin account deze bestanden bevatten.

Ik zit bij PCExtreme met een Reseller pakket dus ik nam direct contact op en kreeg onderstaand mailtje:

-------------------------------------------------------------
Navraag leert mij dat de bestandsrechten op de public_html directory op de reseller server door u dermate ruim ingesteld staan dat deze door iedereen beschreven kunnen worden;

reseller01:/home/****/domains/****.nl/public_html# ls -al total 104 drwxrwxrwx 48 durfopteva apache 4096 2010-07-31 10:23 .

reseller01:/home/vakbon/public_html# ls -al total 312
drwxrwxrwx 5 vakbon apache 4096 2010-07-31 10:20 .

Ik raad u daarom aan de websites te repareren of te herstellen uit een backup en de bestandsrechten voor directory's op 755 en voor bestanden op 644 te zetten.

Voor meer info over hoe deze bestandspermissies te corrigeren zijn wil ik u verwijzen naar onze community; http://community.pcextreme.nl/wiki/W...appen_geven%3F
-------------------------------------------------------------

Nu beweren zij dat IK de bestandsrechten van de public_html heb aangepast... WAAROM ZOU IK DAT DOEN?!?! en waarom op 22 accounts?!

Met een Reverse IP lookup kwam ik erachter dat ALLE 300 klantenpakketten van die server dezelfde bestanden bevatten. Ik geef dit aan, ik bel PXExtreme op maar ik lijk wel niet serieus genomen te worden. Hier een impressie van sites die de bestanden hebben en niet in mijn beheer zijn:

- http://www.vakantiebon.nl/do.php
- http://www.timoliehoek.com/do.php
- http://www.nootgevallen.net/do.php
- http://www.gsm-wallpaper.nl/do.php

Dit script genereert een enorm aantal pagina's met teksten die van een rare .ru site af komen. PCExtreme sluit mijn ticket en verwijt mij van een fout en ik ben bang dat al mijn wachtwoorden/klantgegevens op straat liggen!

Wat kan ik zelf ondernemen? Ik heb nooit de bestandsrechten van de public_html aangepast (zo gek ben ik ook weer niet) en het is overduidelijk dat ALLE pakketten deze bestanden bevatten.

Graag jullie input. Ik voel mij haast genoodzaakt alles daar weg te halen als ik zo in de maling word genomen.

Alvast bedankt...

Nog even een aanvulling op mijn vorige bericht, deze pagina's worden gegenereerd en als je zoekt op site:vs6.nl dan zie je ook hoe mijn Google Index is verpest:

http://vs6.nl/awU9lAkiy/

Ik krijg al commentaar van klanten waarbij opvalt dat Google Analytics vreemde statistieken genereert. Ik ben zo bang dat ik schade oploop met klanten...

Klinkt alsof er een trojan op jouw pc (of die van een van je collega's) staat, en de FTP inloggegevens doorgesluisd zijn naar bijvoorbeeld Rusland.
Zou als de bliksem FTP gegevens aanpassen (en daar NIET mee inloggen tot je zeker weet dat je PC geheel clean is!) en bij alle mensen die de FTP gegevens logischerwijs kunnen hebben de PC scannen op virussen.

Je hebt een dedicated server bij PC Extreme?
Kan het niet goed mogelijk zijn dat de server gehacked is en dat een kwaadwillige deze bestand rechten heeft aangepast.

Bij dedicated kan je natuurlijk altijd PC Extreme vragen om de server te onderzoeken tegen betaling of niet.
Zelf kan je uiteraard ook de bestanden weg gooien en de bestandrechten terug zetten.

Kortom, controleer je server zeer goed om hacks, check log bestanden etc. en ga kijken hoe dit probleem heeft kunnen ontstaan.

Oorspronkelijk geplaatst door MisterTL

Klinkt alsof er een trojan op jouw pc (of die van een van je collega's) staat, en de FTP inloggegevens doorgesluisd zijn naar bijvoorbeeld Rusland.
Zou als de bliksem FTP gegevens aanpassen (en daar NIET mee inloggen tot je zeker weet dat je PC geheel clean is!) en bij alle mensen die de FTP gegevens logischerwijs kunnen hebben de PC scannen op virussen.

Heb je mijn bericht gelezen? Ik heb een reseller pakket bij PCextreme en ALLE gebruikers op die reseller server hebben daar last van.

Ik kan vanaf mijn account toch niet accounts van andere klanten aanpassen?

Die lijst van domeinnamen die ik zojuist gaf zijn NIET in mijn beheer en zou ik daarom dus ook NIET aan kunnen passen. Toch bevatten deze exact dezelfde bestanden als bij mij op de server die spampagina's aanmaakt.

Ik heb GEEN beheer op de server en kan daarom ook niet zien wat de oorzaak is.

Excuses, daar heb ik inderdaad overheen gelezen.
Dan lijkt het me dat inderdaad het meest logische dat die server op een of andere manier gehackt is.
Als PCExtreme daar niet serieus op reageert, zou ik inderdaad uitkijken naar een andere hostingpartij.

Ik ben blij dat DirectAdmin gemakkelijk backups maakt maar wie zegt dat mijn MySQL databases niet gekopieerd zijn?

Hoe sta ik in mijn recht. Waar moet ik zometeen heen met de opgelopen schade? Ik zie de voorwaarden wel weer zo in elkaar steken dat zij zijn vrijgepleit en ik met de gebakken peren zit. Er staat veel waardevolle informatie in mijn database en ondanks wachtwoorden SHA1 gecodeerd zijn, is het eenvoudig deze te wijzigen en gegevens aan te passen.

Oorspronkelijk geplaatst door VS6

Hoe sta ik in mijn recht. Waar moet ik zometeen heen met de opgelopen schade? Ik zie de voorwaarden wel weer zo in elkaar steken dat zij zijn vrijgepleit en ik met de gebakken peren zit. Er staat veel waardevolle informatie in mijn database en ondanks wachtwoorden SHA1 gecodeerd zijn, is het eenvoudig deze te wijzigen en gegevens aan te passen.

Daar ben je toch mee akkoord gegaan toen je daar een pakket nam. Ik wil niet lullig doen, maar je loopt bij iedere host het risico dat een server gehacked wordt en wanneer het informatie is die absoluut niet bekend mag worden had je de voorwaarden beter moeten bestuderen.


Ik zou idd ook op zoek gaan naar een andere host

Zou zeggen bel ze even om het kalm duidelijk uit te leggen, als ze het dan nog niet serieus nemen dan weet je vast wel wat je te doen staat.
Daarnaast, lees de AV eens door. Nu doe je een aanname.

Vanochtend heb ik 2x gebeld en rustig de situatie besproken en ik zou hierover nog bericht ontvangen. Om 9:00 ben heb ik de eerste keer telefonisch contact opgenomen en 10:42 kreeg ik de melding dat ik met bestandsrechten heb lopen klooien en ik het maar uitzoek.

De ticket hebben ze meteen gesloten maar ik heb er nog wel op gereageerd dat ik met de reverse ip lookup zie dat alle klanten er last van hebben. Ook ben ik niet helemaal gek en beheer zelf ook wat servertjes dus als ik aan de bel trek, dan weet ik wel waar ik het over heb.

Om 12:20 nogmaals telefonisch contact opgenomen en ook duidelijk gemaakt dat als ik niet serieus word genomen ik genoodzaakt een andere host moet zoeken. Toen wilde ze ineens wel even kijken wat er aan de hand is.

Het is frustrerend wanneer je iets zelf niet in de hand hebt. Zij geven totaal geen duidelijkheid...

Algemene voorwaarden lees ik over het algemeen wel globaal door maar als ik eerlijk ben, ben ik er nog wel non-galant mee.

Zojuist (13:20) heeft PCExtreme contact opgenomen en duidelijk aangegeven er mee bezig te zijn en hebben een regeling getroffen om alle inspanning en eventuele schade te compenseren.

Hoewel er weinig duidelijkheid werd gegeven waren ze wel degelijk op de achtergrond bezig met het controleren. Echter was het wel pas na mijn 2e melding dat ik zag dat andere servers ook het probleem hadden de doorslag om tot nader onderzoek over te gaan. Op zich ook niet vreemd als je dagelijks tientallen meldingen krijgt alles direct serieus te nemen.

Ik hoop z.s.m. verslag te krijgen van wat de oorzaak is geweest, het is in ieder geval een geruststellend gevoel dat er professionals mee bezig zijn. Laten we hopen dat de schade beperkt is gebleven.

Oorspronkelijk geplaatst door VS6

Hoewel er weinig duidelijkheid werd gegeven waren ze wel degelijk op de achtergrond bezig met het controleren. Echter was het wel pas na mijn 2e melding dat ik zag dat andere servers ook het probleem hadden de doorslag om tot nader onderzoek over te gaan. Op zich ook niet vreemd als je dagelijks tientallen meldingen krijgt alles direct serieus te nemen.

Het is overigens "slechts" één machine die getroffen is.

Er wordt inderdaad hard gezocht naar de oorzaak.

We hebben inderdaad afgelopen vrijdag alle FTP wachtwoorden (preventief) gewijzigd van onze webhosting accounts, maar dat is vanwege de vele virussen die tegenwoordig opgeslagen FTP wachtwoorden stelen. Die wijziging (ik herhaal het nogmaals) was puur preventief, maar staat helemaal los hier van.

Het betreft hier een reseller server, waar de FTP wijziging is gebeurd op onze shared webhosting.

Ik kan me bij Wido aansluiten. Gestolen FTP wachtwoorden aan de gebruikerskant zie je vaker. Dit kan onmogelijk de verantwoordelijkheid van een webhoster zijn. Klanten moeten nu eenmaal zorgen voor een goede virusscanner, waardoor deze trojans geen wachtwoorden kunnen stelen. Zelfs overschakelen op SFTP zal hier niet tegen helpen wanneer wachtwoorden nog steeds ergens in plain-tekst worden opgeslagen bij klanten.

Oorspronkelijk geplaatst door Randy

Ik kan me bij Wido aansluiten. Gestolen FTP wachtwoorden aan de gebruikerskant zie je vaker. Dit kan onmogelijk de verantwoordelijkheid van een webhoster zijn. Klanten moeten nu eenmaal zorgen voor een goede virusscanner, waardoor deze trojans geen wachtwoorden kunnen stelen. Zelfs overschakelen op SFTP zal hier niet tegen helpen wanneer wachtwoorden nog steeds ergens in plain-tekst worden opgeslagen bij klanten.

Maar dat is in dit geval dus niet van toepassing... Het lijkt mij eerder een lek in DirectAdmin of een gekraakte login...

Oorspronkelijk geplaatst door Randy

Ik kan me bij Wido aansluiten. Gestolen FTP wachtwoorden aan de gebruikerskant zie je vaker. Dit kan onmogelijk de verantwoordelijkheid van een webhoster zijn. Klanten moeten nu eenmaal zorgen voor een goede virusscanner, waardoor deze trojans geen wachtwoorden kunnen stelen. Zelfs overschakelen op SFTP zal hier niet tegen helpen wanneer wachtwoorden nog steeds ergens in plain-tekst worden opgeslagen bij klanten.

Wat dat betreft heb je gelijk en dat is ook de reden dat we deze preventieve wijziging hebben gemaakt.

Maar in het geval van VS6 is er een server van ons slachtoffer geworden van een inbraak, daar zal ik ook geen doekjes om gaan winden, feiten zijn daar feiten.

De oorzaak zijn we nog aan het onderzoeken.