Een kennis van mij heeft een aparte pc voor z'n vakantie website draaien. Opeens kreeg die wel erg veel inkomend verkeer. Toen ben ik er eens naar gaan kijken. Na lang zoeken bleek er een verborgen ftp server te draaien. Hidden als proces taskmanger.exe sloot je deze af dan sloot je alleen windows taskmanager af. Er was een php backdoor geïnstalleerd en een verborgen ftp directory in system volume information, hier kon je met geen mogelijkheid in komen.
Met een speciaal programma taskexplorer kon ik het proces afsluiten en daarna de zooi uit het register halen. Na verder zoeken bleek dat zn security lek op een Duitse website stond samen met nog een hele waslijst aan bedrijven en universiteiten. Het lek bleek in de apatch webserver te zitten, en was gewoon publiekelijk gepost.
Via dat lek hadden ze dus een blackhat backdoor geupload en vervolgens weer een ftp geïnstalleerd.
In de hidden dir bleek dit te staan:
In totaal hadden ze 100Gb aan troep geupload, maar volgens de netlimiter logs nog amper wat gedownload Ik was er dus nog op tijd bij.
Vervolgens heb ik de hele boel maar geformatteerd omdat ik de trojan er niet uit kon krijgen(blackhat). Image terug gezet en daarna apache eens goed ingesteld en php voor de zekerheid maar uit gezet.
In de lijst stonden ook nog andere bedrijven die ook gehacked zijn en warempel eentje is zelfs een webhosting bedrijf.
http://XXX.XXX.207.21/xampp/index.php
http://134.XXX.XXX.21/deadhat.php
Met deze trojan konden ze vervolgens weer dingen uploaden en runnen.
Ik heb apache er maar een mailtje over gestuurd.
Iemand die nog een goed (gratis) alternatief weet om een website te draaien ? behalve onder linux dan ?
Met een speciaal programma taskexplorer kon ik het proces afsluiten en daarna de zooi uit het register halen. Na verder zoeken bleek dat zn security lek op een Duitse website stond samen met nog een hele waslijst aan bedrijven en universiteiten. Het lek bleek in de apatch webserver te zitten, en was gewoon publiekelijk gepost.
Via dat lek hadden ze dus een blackhat backdoor geupload en vervolgens weer een ftp geïnstalleerd.
In de hidden dir bleek dit te staan:
In totaal hadden ze 100Gb aan troep geupload, maar volgens de netlimiter logs nog amper wat gedownload Ik was er dus nog op tijd bij.
Vervolgens heb ik de hele boel maar geformatteerd omdat ik de trojan er niet uit kon krijgen(blackhat). Image terug gezet en daarna apache eens goed ingesteld en php voor de zekerheid maar uit gezet.
In de lijst stonden ook nog andere bedrijven die ook gehacked zijn en warempel eentje is zelfs een webhosting bedrijf.
http://XXX.XXX.207.21/xampp/index.php
http://134.XXX.XXX.21/deadhat.php
Met deze trojan konden ze vervolgens weer dingen uploaden en runnen.
Ik heb apache er maar een mailtje over gestuurd.
Iemand die nog een goed (gratis) alternatief weet om een website te draaien ? behalve onder linux dan ?
[ Voor 4% gewijzigd door moto-moi op 14-10-2005 00:23 ]
/u/85846/notepad4_resize.png?f=community)
:strip_exif()/u/14699/initial.gif?f=community)
:strip_icc():strip_exif()/u/57798/satelliteklein.jpg?f=community)
dus ik vraag me af of ze er al achter zijn.
:strip_icc():strip_exif()/u/97521/Avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/2538/Kermit4.jpg?f=community)
:strip_exif()/u/134619/tanuki.gif?f=community)
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
/u/48537/ktm_klein.png?f=community)
/u/64936/crop560fa53296a1c.png?f=community)
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
