Hacket: Apache webserver bliver hacket over and over again!
Hej Exp!Svigerfar og undertegnede har en webserver kørende som hoster 12-13 sites!
Vi har et problem med at en af sites'ne bliver defaced med:
-----
HACKED BY
[billede]
rascalsatoe[no_spam]gmail.com"
-----
Hvis jeg så kigger på vores andre sites, så ligger de samme filer på hvert domæne, bare ikke de rigtige steder;
På de sites der ikke er "ramt" ligger filerne her;
/server/www/wwwroot/hotel/domain/
På det site der bliver ramt igen og igen ligger de her;
/server/www/wwwroot/hotel/hackeddomain/www/
Det der sker er at det ramte site index.php fil bliver renamet til index.php_rascal
Der bliver lagt 4 filer;
default.html
index.html
index.php
rascal.html
De er allesammen ens i kode!
http://www.bipbip.dk/rascal/ her kan i se et eksempel!
Vores server setup er:
WinXP SP2 med alle opdateringer
Apache/2.0.49 (Win32)
PHP Version 4.3.7 (SAPI)
MySQL 4.0.20a-nt
BulletProof FTP-Server 2.2.1 (build 11)
MailEnable 1.71
Symantec Antivirus
Spybot Search & Destroy
Jeg mener bestemt jeg havde installeret Sygate Personal Firewall, den er ikke lige at finde pt. kan det muligvis være det?
Det virker bare ikke som en der går ind og gør det manuel, for så ville pågældende vel gøre det ordentligt og deface alle siderne, altså ligge filerne de rigtige steder i alle mapperne!
Kan det evt. være en vira på ejeren af sitet, da han jo har FTP-prog med login liggende på hans comp?
