Hacker angreb på et af landets store webhoteller
I forbindelse med oprydningen af en kundes websted har vi efterfølgende konstateret at et af de store webhoteller i Danmark er inficeret med hackersoftware, i stor stil, vi har testet på en del af de kunder som tilsyneladende hænger sammen i dette linknetværk, vi spottet ca. 75. websteder der har fået implementeret link tyveri fra websitet, disse ligger alle på samme webhotel, derudover er der også spottet få tilsvarende i samme netværk fra andre webhoteller, dog i mindre udstrækning.
Men det formodes at der er tale om væsentligt højere antal af websteder der er inficeret.
Hvordan ser det ud?
Et af signalerne på der er noget galt er placering af rodmapper, som har underlige navne.
Eksempelvis.: xnyel – dvtys – plotd – alnpo osv.
Grunden til at navngivningen varierer på mapperne skyldes at webhotellet har sværere ved at rydde op ved søgning efter specifikke navne mv. på hele serveren og sletning af uheldig kodning.
Filerne i disse directories hedder f.eks. navne som.: 6184857618447.txt – 534496534471.txt mv. disse filnavne er også forskellige på de forskellige domæner der er inficeret.
Derudover ligger der styringsfiler i disse directories.
Det er ikke nok at fjerne disse mapper alene, der indgår afhængigt af webstedstype, kodningselementer som er indsat i systemets corefiler, disse filer skal også renoveres ved udbedring af problemet.
Så en god ide er at bruge et FTP program og lige teste roden på sit website. Se efter om der ligger mapper med navne som ikke passer ind i den normale struktur på websitet.
På dette webhotel som vi har kontakt til er der tale om et rootkit, uanset hvad de svarer og benægter, så er adgangen til serveren sket igennem en total serveradgang og ikke kun et script på en enkelt kundes website.
Relaterede emner: