Hacker angreb på et af landets store webhoteller

Hacker angreb på et af landets store webhoteller

I forbindelse med oprydningen af en kundes websted, har vi efterfølgende konstateret, at et af de store webhoteller i Danmark er inficeret med hackersoftware, i stor stil, vi har testet på en del af de kunder, som tilsyneladende hænger sammen i dette linknetværk.

Vi har spottet ca. 75. websteder, der har fået implementeret link tyveri fra websitet. Disse websites ligger alle på samme webhotel, derudover er der også spottet få tilsvarende i samme netværk fra andre webhoteller, dog i mindre udstrækning.

Men det formodes, at der er tale om væsentligt højere antal af websteder, der er inficeret.

Hvordan ser det ud?

Et af signalerne på der er noget galt er placering af rodmapper, som har underlige navne.

Eksempelvis.: xnyel – dvtys – plotd – alnpo osv.

Grunden til at navngivningen varierer på mapperne skyldes, at webhotellet får sværere ved at rydde op ved søgning efter specifikke navne mv. på hele serveren og sletning af uheldig kodning.

Filerne i disse directories hedder f.eks. navne som.: 6184857618447.txt – 534496534471.txt mv. disse filnavne er også forskellige på de forskellige domæner, der er inficeret.

Derudover ligger der styringsfiler i disse directories.

Det er ikke nok at fjerne disse mapper alene, der indgår afhængigt af webstedstype, kodningselementer, som er indsat i systemets corefiler, disse filer skal også renoveres ved udbedring af problemet.

Så en god ide er at bruge et FTP program og lige teste roden på sit website. Se efter om der ligger mapper med navne, som ikke passer ind i den normale struktur på websitet.

På dette webhotel, som vi har kontakt til er der tale om et rootkit, uanset hvad de svarer og benægter, så er adgangen til serveren sket igennem en total serveradgang, og ikke kun et script på en enkelt kundes website.

Del nyheden!
Tilmelding nyheder