Toon posts:

Website offline gehaald door rsa.com > phising/fraude?

Pagina: 1
Acties:
  • 641 views

maandag 11 juni 2012 00:04

Acties:
  • SalimRMAF
  • Registratie: November 2005
  • Laatst online: 24-01 00:46

SalimRMAF

SpaceX - 4K

Topicstarter
Hoi allemaal,

Voor een vriend had ik een website opgezet, had dagelijks maar rond de 20 unieke bezoekers.

De FTP wachtwoord/user was eigenlijk hetzelfde als de domein...

Ook de inlog van Wordpress was admin/admin. :|

Ik weet niet zeker of het met dit^ te maken heeft, maar sinds gisteren is de site ontoegankelijk meer:

"This account has been suspended.
Either the domain has been overused, or the reseller ran out of resources."

Hier bleef het niet bij!
Ik heb ook een mail gekregen met de volgende informatie daarin:

-----------


From: <AFCC@rsa.com>
Date: 10 juni 2012 11:37:41 GMT+02:00
To: <xxxx@hotmail.com>
Subject: Fraudulent site - please shut down![Lloyds TSB 16xx9-1678xx]


Dear Team

It appears that your website almohsinin.com has been hacked by a fraudster. It is now hosting a phishing attack against Lloyds TSB.
Please remove the fraudulent folders/files as soon as possible and secure your website as it has been compromised.
Please note that it is possible that the fraudulent content is embedded in your website's legitimate files.

http://xx.com/uag2/st.php
http://xx.com/unp2/cul/st.php
http://xx.com/unp2/st.php
http://xx.com/win0/cul/st.php
http://xx.com/win0/st.php


In addition, please send us any source files of the attack.
Please let us know if you have any questions or need further assistance. We appreciate your cooperation.

Best Regards,

RSA Anti-Fraud Command Center
RSA, The Security Division of EMC
US Phone: +1-866-408-7525
Email: afcc@rsa.com
For more information about RSA's AFCC
http://www.rsa.com/node.aspx?id=3348

-------------

Punt is eigenlijk dat ik via de statistieken de afgelopen 2 weken een paar keer een "bezoeker" tegenkwam vanuit de UK die onbestaande paginas (voor mij) opriep zoals http://xx.com/unp2/st.php.

Ik heb niet echt een backup van de website...

Moet ik nu inloggen via DirectAdmin/FTP en alles verwijderen, een nieuwe CMS/installatie uitvoeren of heeft dit geen zin? Wat denken jullie?

Merci.. :(

Gulfstream G650

maandag 11 juni 2012 00:12

Acties:
  • Spacespider
  • Registratie: Augustus 2005
  • Laatst online: 17:55

Spacespider

Het lijkt me aannemelijker dat de webhoster je account gedisabled heeft dan RSA.

Hoe dan ook, ik zou zo snel mogelijk alle wachtwoorden wijzigen en inderdaad een herinstallatie doen van het CMS. Misschien kan je de website eerst nog even kopiëren zodat je later de content weer kan toevoegen?

maandag 11 juni 2012 00:13

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Neem contact op met je hoster.
Hopelijk valt de rekening die je straks krijgt nog mee.

En vergeet de huidige content, want die kun je niet meer vertrouwen.

en dat het op z'n zachts gezegd 'een beetje dom' is om default passwords op een publiekelijk beschikbare ftp/webserver bij een hoster te laten hoef ik denk ik niet te zeggen?

[ Voor 54% gewijzigd door alt-92 op 11-06-2012 00:15 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 11 juni 2012 00:13

Acties:
  • kKaltUu
  • Registratie: April 2008
  • Laatst online: 13-01 19:20

kKaltUu

Profesionele Forumtroll

Als je weet waar je het kan vinden: lekken fixen en strenger beveiligingsbeleid toepassen met misschien een overleg met de hoster.

WP is een veelgebruikt pakket en zolang er exploits zijn (en je lokale versie niet geupdated) wordt, zal je altijd een risico lopen. herinstallatie naar nieuwste versie en template terugzetten is wel een logische stap.

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.

maandag 11 juni 2012 00:13

Acties:
  • gambieter
  • Registratie: Oktober 2006
  • Niet online

gambieter

Just me & my cat

Wait, wut? De wachtwoorden zo makkelijk mogelijk raadbaar maken waar zelfs een kleuterscriptkiddie nog misbruik van kan maken, en dan verbaasd zijn?

Neem contact op met de hoster, vraag ze alles te verwijderen en plaats een backup terug. Ik hoop tenminste dat die er nog wel is. En zet het dan wel goed op qua wachtwoorden etc :)

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 11 juni 2012 00:16

Acties:
  • SalimRMAF
  • Registratie: November 2005
  • Laatst online: 24-01 00:46

SalimRMAF

SpaceX - 4K

Topicstarter
@Hierboven: Het was dan ook niet Mí'jN website. :+


Nja, ik kom directadmin niet meer binnen, en via filezilla heb ik geen toegang met de toegangscode die vorige week nog werkte... Zal de hosting eens een mailtje sturen dan. :)

[ Voor 14% gewijzigd door SalimRMAF op 11-06-2012 00:16 ]

Gulfstream G650

maandag 11 juni 2012 07:36

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 21-01 16:37

Equator

Crew Council

#whisky #barista

Dat lijkt me de meest logische stap ja. Contact opnemen, alles weg laten gooien (je weet nooit wat er nog meer gebeurd is) en opnieuw starten. Begin dan wel eerst met het instellen van een deugdelijk admin wachtwoord, en verander ook de default username van admin als het mogelijk is.

Laat ook eventuele wachtwoorden van MySQL veranderen.

Tenslotte zie ik weinig reden om dit topic open te houden. Het is dom geweest, je site is gehacked en je bent afgesloten. Leer ervan, en laat het niet weer gebeuren :)
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq