Archief - united albanian hackers uah

S

Stimpy

Legacy Member

• 3 feb 2011

• #1

Mijn ftp account is "gehacked", hoogst waarschijnlijk door een trojan die de gegevens doorstuurt naar een hackersgroep.

In de logs staan toestanden zoals
Hacked By UAH-Crew / United ALBANIA Hackers

Members : Hackeri-AL - LoocK3D - b4cKd00r ~

Fuck All Lamer'z in the world! >>>>>>>>>>>>

en op de server ongewenste files zoals fon.php uah.txt hotest.php en users.php

Ik zet het hier want iemand moest het toevallig maar eens herkennen hé.

Anyway, AVG heeft geen infecties gevonden. Weet er iemand over welk virus dit kan gaan? Of een antivirus aanraden?

T

TiZon

Legacy Member

• 3 feb 2011

• #2

Waar is die FTP-account? Staat die op een server? Bij jou lokaal?

Toevallig geen user zonder pasw?
Kans ik groter dat ze u gebrute-forced hebben of dat ze een flaw in de software van uw FTP hebben gebruikt.
Wat voor FTP-server?

S

Stimpy

Legacy Member

• 3 feb 2011

• #3

tis bij een hostingbedrijf dus ik weet de technische details allemaal niet.
al mijn sites zijn "besmet" dus wss dat ze mijn username en pw konden sniffen ofzo?
antivir en avg hebben geen infecties gevonden
client = filezilla

T

TiZon

Legacy Member

• 3 feb 2011

• #4

Probleem ligt niet bij u ze. Neem contact op met uw hoster. Het is goed mogelijk dat heel de server er gewoon van heeft.

Ze moeten maar een backup terug zetten en de boel beter beveiligen...

S

Stimpy

Legacy Member

• 3 feb 2011

• #5

Kan het niet zijn dat ik met een virus zit dat mijn ftp username en pw gesnift heeft?
Ben nu met verschillende aant scannen maar er wordt niks gevonden.
Ik kan ook niet bewijzen dat de oorzaak bij hun ligt hé? 't Gaat alleen om mijn sites.

T

TiZon

Legacy Member

• 3 feb 2011

• #6

Zeg dat ze eens hun ftp-access logs opvragen. Daarin kunnen ze zien van welk ip het komt, dan moeten ze maar eens kijken hoe vaak dat IP vanalles heeft geprobeerd.
Google ook je wachtwoord eens.

Sniffen kan, maar dan nog kan je daar weinig aan doen hoor. Je FTP over SSL duwen kan wel, maar dan moet de server het ondersteunen.

S

Stimpy

Legacy Member

• 3 feb 2011

• #7

Volgens de hosting zit ik met een virus dat zodra ik inlog op mijn ftp, mijn ftp gegevens doorgestuurd worden naar die hackers of whatever.
Dus die zegt: scan uw pc op virussen, verwijder ze en dan kunnen we uw account weer activeren.
Maar ik vind geen virussen dus dan houdt het idd een beetje op voor mij.

S

Stimpy

Legacy Member

• 3 feb 2011

• #8

Sites bollen weer.. nu zien of het zich ni terug voordoet

c

copycat

Legacy Member

• 3 feb 2011

• #9

Zou me raar lijken dat ze daar via een virus op uwe pc of zo zijn achtergekomen.
Waarschijnlijk zijn hun servers gewoon niet optimaal beveilgt en hebben ze gewoon brute force gebruikt om het te hacken en wil de host dat niet toegeven.

Moest het nu toch terug hacked worden, zet filezilla op andere pc en log met je current pc niet in op je ftp. Zo kan je dan toch al uitsluiten dat het aan je pc ligt.

En inderdaad zoals andere al hebben gezegd vraag aan hun voor SSL.

S

Stimpy

Legacy Member

• 3 feb 2011

• #10

"Het probleem is sowieso uw account. Daar komt niemand anders in. Alle users hebben hun eigen map waar enkel zij rechten op hebben."

't zijn ook alleen mijn sites die besmet waren. Vind het vreemd.

T

TiZon

Legacy Member

• 3 feb 2011

• #11

Idd, denk ook dat de fout bij de hoster ligt.
Het is niet dat je een total PC-noob bent hé...

En zo verschrikkelijk moeilijk is het niet om die boel te sniffen...
Brute-force hebben ze ook nog niet uitgesloten...

S

Stimpy

Legacy Member

• 4 feb 2011

• #12

Van hosting ken ik zoveel ook niet hoor.
Blijkbaar was mijn account weer de server plat aan 't leggen.
Weer disabled nu..

waarom denken jullie dat het probleem bij de hosting ligt? Dan zouden toch alle sites die er gehost worden er last van hebben?

c

copycat

Legacy Member

• 4 feb 2011

• #13

Stimpy zei:

Van hosting ken ik zoveel ook niet hoor.
Blijkbaar was mijn account weer de server plat aan 't leggen.
Weer disabled nu..

waarom denken jullie dat het probleem bij de hosting ligt? Dan zouden toch alle sites die er gehost worden er last van hebben?

Klik om te vergroten...

Wat je kan doen om het uit te sluiten dat het aan u pc ligt is filezilla op een andere pc zetten en even alleen via die pc je ftp managen.
Als na een week je site nog niet terug hacked is dan zal het inderdaad wel aan je pc liggen.

En dring aan bij hun voor SSL of SSH zo kan je ook al packet sniffing uitsluiten.

S

Stimpy

Legacy Member

• 4 feb 2011

• #14

Idd, ze zijn het nu aan het opkuisen en ik ga niet meer inloggen op de ftp (gebruik dat toch niet zoveel, eens de site er staat wordt die niet zo vaak aangepast) en dan zien wat er gebeurt.

had dat gestuurd naar host en krijg dit antwoord:
"Dat is de bedoeling ja dat dit vanavond gebeurt. Maar dat wil niet zeggen dat we uw site kunnen terug actief zetten, want dan ligt de server binnen de korste keren terug plat."

Dat snap ik niet. Als zij het opkuisen en ik kom er niet meer aan, dan kan dat toch terug actief gezet worden?

Update: hij bedoelt: nu niet online, na de opkuis wel.

T

TiZon

Legacy Member

• 4 feb 2011

• #15

Inderdaad, vraag ook dat ze je credentials(username/pasw) veranderen hé.

S

Stimpy

Legacy Member

• 5 feb 2011

• #16

er zit een exploit in de software van mijn webshop.
Ben deze nu aan het updaten.. 't was dus toch "mijn schuld".