:strip_exif()/u/109857/ico2.gif?f=community)
Eén van mijn joomla sites is zojuist target geworden van een aanvaller. Een component RSForms was niet geupdate en ik vermoed dat het hem gelukt is een vulnerability te vinden. Hij had in ieder geval ongeveer 600 pogingen gedaan om iets te vinden. Direct mijn wachtwoorden gewijzigd en ook het databasewachtwoord gewijzigd. Was er vrij snel bij, want nog geen kwartier later merkte ik het op.
Wat voor schade kan iemand allemaal berokkenen in 15 minuten tijd met DB access. Het ziet er naar uit dat het een volledig geautomatiseerd script is geweest, dus ik vermoed veel. Hoe kan ik achterhalen of iemand uberhaupt DB access heeft gehad. Ik weet welk IP het was, want deze stonden in de table waar RSForm naartoe schrijft, maar nu ik zoek in de raw access log van CPANEL zie ik dat het leeg is vanaf 1 minuut nadat ik 600 form entries had. Deze zijn dus opzettelijk gewist.
edit:
Diff op filesnames en databasedumps zijn vrijwel identiek.
/edit
Verder niet een critical website verder, gaat om een geinige webshop met 6 producten. Zit wel iDeal op geconfigureerd, kan het kwaad als iemand mijn CERT files heeft? Lijkt mij niet dat ik geld kan kwijtraken, maar als de aanvaller een webshop wil opzetten met mijn account en CERT files is hij/zij vrij om dat te doen.
Wat voor schade kan iemand allemaal berokkenen in 15 minuten tijd met DB access. Het ziet er naar uit dat het een volledig geautomatiseerd script is geweest, dus ik vermoed veel. Hoe kan ik achterhalen of iemand uberhaupt DB access heeft gehad. Ik weet welk IP het was, want deze stonden in de table waar RSForm naartoe schrijft, maar nu ik zoek in de raw access log van CPANEL zie ik dat het leeg is vanaf 1 minuut nadat ik 600 form entries had. Deze zijn dus opzettelijk gewist.
edit:
Diff op filesnames en databasedumps zijn vrijwel identiek.
/edit
Verder niet een critical website verder, gaat om een geinige webshop met 6 producten. Zit wel iDeal op geconfigureerd, kan het kwaad als iemand mijn CERT files heeft? Lijkt mij niet dat ik geld kan kwijtraken, maar als de aanvaller een webshop wil opzetten met mijn account en CERT files is hij/zij vrij om dat te doen.
[ Voor 3% gewijzigd door HenkEisDS op 16-09-2012 21:39 ]