Hack min webserver indtil mandag

For god ordens skyld: Læg lige en hilsen til eksperten-brugerne på forsiderne på begge sites, inden folket går i gang med at teste sikkerheden, så vi får bekræftet, at du rent faktisk står bag siderne. :)

Safe Browsing
Diagnostic page for viovertres.dk

What is the current listing status for viovertres.dk?

    Site is listed as suspicious - visiting this web site may harm your computer.

    Part of this site was listed for suspicious activity 2 time(s) over the past 90 days.

What happened when Google visited this site?

    Of the 4 pages we tested on the site over the past 90 days, 4 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2008-12-31, and the last time suspicious content was found on this site was on 2008-12-31.

    Malicious software includes 3 trojan(s). Successful infection resulted in an average of 7 new processes on the target machine.

    Malicious software is hosted on 2 domain(s), including whitebiz.cn/, palech.com/.

    1 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including winesamile.cn/.

    This site was hosted on 1 network(s) including AS29671 (SERVAGE).

Has this site acted as an intermediary resulting in further distribution of malware?

    Over the past 90 days, viovertres.dk did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

    No, this site has not hosted malicious software over the past 90 days.

How did this happen?

    In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

Next steps:

    * Return to the previous page.
    * If you are the owner of this web site, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Center.

og

Safe Browsing
Diagnostic page for micmusic.dk

What is the current listing status for micmusic.dk?

    Site is listed as suspicious - visiting this web site may harm your computer.

    Part of this site was listed for suspicious activity 2 time(s) over the past 90 days.

What happened when Google visited this site?

    Of the 3 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-01-01, and the last time suspicious content was found on this site was on 2008-12-31.

    Malicious software is hosted on 1 domain(s), including palech.com/.

    This site was hosted on 1 network(s) including AS29671 (SERVAGE).

Has this site acted as an intermediary resulting in further distribution of malware?

    Over the past 90 days, micmusic.dk did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

    No, this site has not hosted malicious software over the past 90 days.

How did this happen?

    In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.

Next steps:

    * Return to the previous page.
    * If you are the owner of this web site, you can request a review of your site using Google Webmaster Tools. More information about the review process is available in Google's Webmaster Help Center.

Så burde du ikke få styr på dine sider først ?

Og når man går ind på din egen side:
http://www.serverservice.dk/
...får man den her:

Anmeldt angrebswebsted!
Dette websted (www.serverservice.dk) er blevet anmeldt som et angrebswebsted og er blokeret jævnfør dine sikkerhedsindstillinger.

Angrebswebsteder forsøger at installere programmer som stjæler private oplysninger, bruger din computer til at angribe andre, eller skade dit system.

Nogle angrebswebsteder distribuerer med fortsæt skadeligt software, men mange andre er kompromitteret uden viden eller accept fra webstedets ejere.

Ja det ser som sagt fordi de har været hacket og er belevet blokeret af firefox og google - men de er rene nu . jeg smider lige en velkomsthilsen ind på forsiden til jer som accept.
MVH Dennis

Så er der lagt en velkomshilsen på de 2 sider og der er givet tilladelse til at teste sikkerhed.
Jeg vil gøre værkstedshuset.dk klar senere idag. Værkstedshuset er det største cms jeg har kørende med bl.a forum , galleri , forskellige brugere har mulighed for at indsætte artikler m.m , men den venter lige til den er klar med database.
De andre 2 er i php uden mysql.

Der er, formentlig utilsigtet, adgang til:
http://www.micmusic.dk/access_log
http://www.micmusic.dk/log.txt
http://www.micmusic.dk/templates/greenland/images/readme.txt
http://www.micmusic.dk/templates/greenland/readme.txt

Du bruger Apache 2.2.3 - Der er adskillige sikkerhedshuller i den, med mindre du altså kører med backports af security patches.

Det samme med den mod_ssl du kører.

Du bør sætte session.use_only_cookies = 1 i php.ini

Fjern denne: http://www.viovertres.dk/phpinfo.php

Der er adgang til port 10000 (Webmin) og 3306 (MySQL). Er det virkelig nødvendigt at de står åbne for alle?
Min ISP blokker for port 25, så den kan jeg ikke checke, men forhåbentlig er den ikke åben for andet end adgang fra localhost?

Nå jeg har rettet i de filer du linker til - underligt at jeg ikke kan gøre det via min ftp , men kun direkte på serveren.

Nå men hvad kan du/I  anbefale af versioner af apache og mysql - jeg kan se at der i mellemtiden er sket noet med mine musql filer så hvis nogle har fundet et hul her må de gerne komme frem med hvad jeg bør gøre

1. Hvilken version af apache bør jeg anvende - eller hvad bør jeg gøre?
2. Bør jeg tilføje apache-mod-security http://www.howtoforge.com/apache_mod_security ?

Tak for hjælpen so far

MVh Dennis

Nå , men I må gerne komme med svar - jeg lukker herfra

Jeg er nødt til at geninstallere da der er for mange problemer med forskellige services og jeg har selv godt af at prøve det igen for at få rutine.

I må gerne lægge svar jer der har hjulpet.

Jeg har sat min firewall op så den kun godkender min egen ip til min remote services.
for andre er der adgang til port 80 - for en enkelt vil der være adgang til ftp , men det er ikke helt klar endnu.

Jeg har installeret en anden ssh og anvender putty - mine passwords er komplekse - jeg opgraderer apache til  nyeste version.

er der andre ting jeg bør tage hensyn til ?

mod_ssl og andre apache moduler du benytter skal også være up to date mht sikkerheds patches.
PHP skal konfigureres rigtigt. Dvs safe mode skal på. Use only cookies skal på. Du kan også deaktivere php funktioner du ikke bruger: http://www.starhost.ro/Linux-Tutorials/php-hardening.html
Apache skal konfigureres rigtigt: Feks punkt 6 i denne guide http://xianshield.org/guides/apache2.0guide.html

Ud over det er der jo nærmest ikke nogen grænse for hvad du kan hælde på af Intrusion Detection (Feks Tripwire), antivirus/rootkit, og andre gode sager.

Hvad kan I anbefale af antivirus i Debian ?

ja jeg er igang med at konfigurere php m.m for at få mere sikkerhed. Den er offline lige nu - jeg måtte lave en total reinstallation i nat fordi der var problemer i Mysql og jeg var uheldig med en kommando i prompten - gaaab , jeg er træt idag .

MVH Dennis og tak for hjælpen