Ziet eruit als een security lek (rootkit) op de server. Is het jouw server of?

Is het een shared hosting waar je die website host?
Was het een statische website of dynamisch met PHP of ASP?

De server zit bij K**.nl en host ik dus niet zelf. Ik heb alleen een reseller.
De site is een flash website.
Zie hier nog meer:

http://www.midame.nl/nieuwsbrief/index.html

Dan moet je Alexander even vragen? De hackmelding geeft namelijk aan dat er iemand op de server zelf zat de werken, al dan niet door een foutief script.

Ik kreeg heden een mail van Tom, waarvoor mij dank om mij even te attenderen op dit topic, echter word deze website NIET binnen mijn netwerk gehost. Maar het IP adres is van xlserver.net

Alvorens te roepen waar een website is ondergebracht zou het fijn zijn als dit eventjes gecheckt word voor hier met namen te gaan slingeren. Want hiermee zet je mijn bedrijf in een negatief daglicht terwijl dit niks met ons te maken heeft.

Dit ziet er uit als een lek op de server inderdaad, heeft de betreffende host wel recent de kernel geupdate want er is vrij recent (uit mijn hoofd medio augustus) een update geweest i.v.m. een kernel update.

En zelfs al zou je bij kn* zitten... dan is het nog steeds netter om het eerst bij hem te leggen dan hier iets te gaan roepen.

Het is inderdaad wel zo netjes even het hosting bedrijf te contacteren zodat er ook actie ondernomen kan worden. Hier op het forum posten zal je namelijk niet helpen bij het herstellen van de server.

Alexander,

Je heb gelijk, dit is inderdaad mijn fout. Midame is inderdaad de enige klant die extern host.
Bij deze mijn excuus en zal voortaan niet te snel posten,

[edit]
heb ook de naam aangepast

Dan rest er nu alleen nog een mailtje naar xlserver.net

De hacker heeft een email staan, dus wellicht kan je hem eens een email werpen en vragen hoe hij het precies gedaan heeft. Vaak gebeurd dit door een shell die op de website gekomen is waar de hacker verbinding mee kan maken en binnen kan komen. Ook sommige scripts hebben bugs waardoor zo iemand naar binnen kan. Zo waren een heleboel joomla sites gehacked een tijd geleden door een security bug.

Ik hoop dat het word opgelost en dat dit soort mensen worden bestraft.

De hackers portfolio http://search.conduit.com/Results.as...ctid=CT2304157 :P zo te zien is al een tijdje bezig aangezien Google het al geïndexeerd heeft

Wellicht ook een optie om /var/log/messages te bekijken als je geluk hebt is het bestand niet leeg gegooid anders kun je met grep "Invalid user" /var/log/messages verkeerd ingelogde SSH connecties kan bekijken vaak kom je dan mensen tegen die wachtwoorden aan het bruteforcen zijn geweest.

Ook handig voor andere forum members die ook een eigen linux server hebben en nog niet gehacked wezen, kijk regelmatig dit bestand na om eventeule bruteforcen attacks voor te blijven.

Wanneer het bestand niet leeg gegooid zijn, zou je kunnen gaan zoeken naar verdachte dingen en het ip adres(sen) achterhalen in de message logs.

Wanneer je het ip in de ripe database zoekt kun je misschien een abuse-email vinden waar je naar toe kan emailen met bewijs van de aanval en tevens de log en datum en tijd en natuurlijk het ip adres.


Tevens zijn de apache logs ook niet geheel onbelangrijk wanneer ook de referer weg geschreven werd.
Als je geluk hebt is dit bestand niet leeg gegooid.

Wanneer je dit bestand doorzoekt vind je misschien de site (referer) waarvan de shell requests van af zijn gekomen door een online dns lookup kun je dan vaak wel een hosting partij (vaak zijn dit free hosts) vinden waar je ook naar toe kan e-mailen.

Misschien ook een optie om hotmail support een email te sturen met de vraag of ze je het ip adres(sen) kunnen geven welke gebruikt wordt met het account van .
Waarschijnlijk krijg je deze niet in verband met privacy van hotmail maar misschien heb je geluk wanneer je de hack bewijzen mee stuurt

Succes

Zou allereerst de hoster maar eens mailen, beetje hoster pakt dit meteen op..

Gezien het type aanval is er een bestand aangepast, de hackers van tegenwoordig ruïneren niet je gehele site. Kijk even of je door een hacker van Zone-H gehacked bent, deze hebben meestal nog wel respect.

Het archief van Zone-H is hier te vinden.

Buiten het feit hoe die hacker binnen is gekomen is het een knap staaltje slecht server beheer in mijn ogen. Vooral als men een hele server weet te hacken. Het komt inderdaad vaker voor dat er een joomla site gehackt word maar veel mensen updaten hun script niet tijdig waardoor er allerhande bugs inzitten die misbruikt worden door hackers.

Ik ben ook geen voorstander van het gebruik van opensource scripts, gebruik liever iets wat op maat gemaakt is voor je of door je.