ftp gehacked

vrijdag 8 april 2011 11:36

Acties:

0 Henk 'm!

Topicstarter

onze ftp server is ergens deze week gehacked. en wordt nu (Gedeeltelijk) gebruikt als google page rank iets ofzo.

Er staan heleboel kleine files met bulten steekwoorden in, en alle index.html en index.php files zijn aangepast, en bevatten nu onderaan deze tekst:

code:

1	<img heigth="1" width="1" border="0" src="http://imgaaa.net/t.php?id=10746419">

Nu willen we natuurlijk weten hoe ze binnen zijn gekomen, maar ik kan er niet achter komen.
Wat me opvalt is dat in de ftp log gewoon alle transacties staan. Ze zijn dus gewoon door de voordeur binnen gekomen, en hebben van (ons enige) ftp account gebruik gemaakt.

Hiervan verander ik regelmatig het wachtwoord, en deze laat ik niet slingeren. Nu heb ik hem vorige week nog aangepast, dus ik kan me niet voorstellen dat het gewoon slordigheid is.

Ik zit dus te denken aan een hack of een fout in cpanel of pureftpd.

Onze hoster gebruikt cpanel versie 11.28.87-RELEASE_51188. Dit is bijna de laatste, en hier zijn volgens mij ook geen exploids voor.

Onze website heb ik volgens mij ook veilig gebouwd (zonder rare includes en alles sql injectie safe)
Verder sluit ik dat ook uit, omdat er anders geen info in de ftp log zou staan.

onze ftp server (gehost bij een hostingsbedrijf) is pureftp,

code:

Response:   220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Response:   220-You are user number 2 of 50 allowed.
Response:   220-Local time is now 10:30. Server port: 21.
Response:   220-This is a private system - No anonymous login

We kunnen zo niet zien welke versie, maar ik kon niet zo 123 exploids vinden voor pureFtp

Hoe kan ik dit probleem nou het beste tackelen?

This message was sent on 100% recyclable electrons.

vrijdag 8 april 2011 11:38

Acties:

0 Henk 'm!

EDIT

Meest voorkomende oorzaak is een virus op de computer waarop deze FTP login gebruikt is.
Ik zou dat als eerste nakijken

vrijdag 8 april 2011 11:41

Acties:

0 Henk 'm!

MAZZA

Barbie is er weer!

Zoek eens op win32/kryptik.

vrijdag 8 april 2011 11:42

Acties:

0 Henk 'm!

BasieP

Topicstarter

EDIT schreef op vrijdag 08 april 2011 @ 11:38:
Meest voorkomende oorzaak is een virus op de computer waarop deze FTP login gebruikt is.
Ik zou dat als eerste nakijken

ja ik kwam deze site tegen:
http://www.easy-coding.de/ftp-virus-imgaaa-net-t9070.html

en daarop zeggen ze dat ook.
Nu heb ik hier op mijn laptop avg draaien en up2date, en die zegt niks.

Op mijn desktop thuis zou het best kunnen dat ik niet zo up2date ben....
Als ik mijn password wijzig van mijn login, en deze niet op mijn desktop gebruik zou ik alweer een deur dichtgezet hebben (dat wil niet zeggen dat ik me desktop niet hoef te cleanen)

This message was sent on 100% recyclable electrons.

vrijdag 8 april 2011 11:42

Acties:

0 Henk 'm!

asing

Als je FTP server in de logs aangeeft welk ip adres inlogt, kan je die blokkeren

.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

vrijdag 8 april 2011 11:43

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

De PC's waar vanuit ingelogt is naar de FTP zou ik ook direct nakijken, kans dat daar dus gewoon een keylogger tussen zat.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

vrijdag 8 april 2011 11:51

Acties:

0 Henk 'm!

BasieP

Topicstarter

asing schreef op vrijdag 08 april 2011 @ 11:42:
Als je FTP server in de logs aangeeft welk ip adres inlogt, kan je die blokkeren .

dat kan ik dus volgens mij niet in cpanel. Dat wilde ik inderdaad ook al doen, maar kon de knop niet vinden.

SinergyX schreef op vrijdag 08 april 2011 @ 11:43:
De PC's waar vanuit ingelogt is naar de FTP zou ik ook direct nakijken, kans dat daar dus gewoon een keylogger tussen zat.

ja ik doe dat dus maar vanaf 2 pc's
me laptop en me desktop, en me desktop ga ik dus inderdaad even scannen zo. Ben benieuwd welke sites ik allemaal nog meer in mijn filezilla heb staan. Die zullen ook wel geinfecteerd zijn nu.

This message was sent on 100% recyclable electrons.

zaterdag 9 april 2011 15:40

Acties:

0 Henk 'm!

WoC

BasieP schreef op vrijdag 08 april 2011 @ 11:51:
[...]

dat kan ik dus volgens mij niet in cpanel. Dat wilde ik inderdaad ook al doen, maar kon de knop niet vinden.

[...]

De knop voor de FTP logs? Die had je toch al? Misschien afhankelijk van de hoster, maar als ik kijk in cPanel bij FTP accounts, dan staat daar een "special account" tussen om je logs te benaderen. Als je daarmee inlogt, kun je je FTP logfile downloaden. In die FTP logfile staan IP adressen en usernames van de verbindingen met de FTP server.

Je zou dan enkele IP-adressen kunnen blokkeren via de "IP Deny Manager" in cPanel (geen permanente oplossing natuurlijk, maar je kunt dan even bezig). Die knop staat gewoon in "home" onder "security".

zaterdag 9 april 2011 21:41

Acties:

0 Henk 'm!

Sando

Sandoichi

BasieP schreef op vrijdag 08 april 2011 @ 11:51:
[...]

Ben benieuwd welke sites ik allemaal nog meer in mijn filezilla heb staan. Die zullen ook wel geinfecteerd zijn nu.

Ja, een malwaretje hoeft je filemanager xml maar te pakken en heeft de wachtwoorden van al je sites. Drie jaar geleden werd al verzocht om een master password in Filezilla maar dit verzoek wordt door de developers afgewezen met redenen als:

"a keylogger would simply sniff your master password"
"you should encrypt your home partition"
"Other projects too opt to store the passwords in plaintext"
"stop using Windows"
"master passwords would not be a 100% solution"

-update-

Ik zou zeggen heb je een trac accountje, bedenk eens een goede slagzin. Laatste reactie is van mij (8 mnd geleden).

[ Voor 8% gewijzigd door Sando op 09-04-2011 21:43 ]

🇪🇺 Buy from EU (GoT)

zaterdag 9 april 2011 21:49

Acties:

0 Henk 'm!

bastian433

misschien geen onmiddelijke oplossing maar:
scan ook eens met een www.superantispyware.com en/of nod32
mcafee en norton zijn volgens mij alleen maar groot geworden door veel reclame...

dinsdag 12 april 2011 19:57

Acties:

0 Henk 'm!

BasieP

Topicstarter

Sando schreef op zaterdag 09 april 2011 @ 21:41:
[...]

Ja, een malwaretje hoeft je filemanager xml maar te pakken en heeft de wachtwoorden van al je sites. Drie jaar geleden werd al verzocht om een master password in Filezilla maar dit verzoek wordt door de developers afgewezen met redenen als:
"a keylogger would simply sniff your master password"
"you should encrypt your home partition"
"Other projects too opt to store the passwords in plaintext"
"stop using Windows"
"master passwords would not be a 100% solution"
-update-

Ik zou zeggen heb je een trac accountje, bedenk eens een goede slagzin. Laatste reactie is van mij (8 mnd geleden).

yup heb trac accountje, al eens tegen de botheid van die ontwikkelaars aangelopen idd..

issue met hidden files (.) gelukkig nu wel gefixed

This message was sent on 100% recyclable electrons.

vrijdag 15 april 2011 11:36

Acties:

0 Henk 'm!

Bigfoot87

Twee jaar geleden heb ik precies het zelfde probleem gehad... alle door mij beheerde websites lagen plat na het openen van een geïnfecteerd PDF-bestand.

Wat ik gedaan heb om er helemaal van af te komen en herhaling te voorkomen:

1. Schone Windows installatie (drastisch, maar wilde geen enkel risico lopen op meer schade).
2. Het programma SecureFX gebruiken voor het beheren van mijn FTP-servers i.p.v. Filezilla.
3. Alle wachtwoorden van de geïnfecteerde websites wijzigen.
4. Geen wachtwoorden meer opslaan binnen de FTP-manager maar deze handmatig invoeren bij verbinden.
5. Websites voor zover mogelijk herstellen of back-ups terug zetten.

Quatt Duo | Marstek 5.12kwh - V151 - HWP1

zaterdag 16 april 2011 19:53

Acties:

0 Henk 'm!

--help

Draai je Pure-FTP versie lager dan 1.3.0? Deze heeft idd een lek. In dat geval -> herinstalleren. 'ls -lahs' werkt ook niet waarsch. en dit voorspelt weinig goeds. Doe eens een rootkithunter check dus.

Onderwerpen