Hej
vad skall man göra när ens site har blivit hackad?
www.ninaz.com
varför hackar man en privat släktforskarsite för?
vad skall jag göra??

/nina

För det första ska du inte ta det personligt. Hackers är ganska sällan ute efter att förstöra för dem som har siten. Det finns naturligtvis undantag, men för en "privat släktforskarsite" så borde det rimligtvis inte vara så.

För det andra så ska du kolla om de har tagit bort allt material, eller bara bytt ut din index.html-fil, för att kolla om du måste använda dina backuper.

Sen är det viktigaste att ta reda på hur de kunde hacka siten. Har du en dålig server, ett dåligt lösenord (har du ett lösenord på något sätt kopplat till ditt namn eller någon annan information om dig så kan du nog betrakta det som ganska dåligt)?

Har du lösenordet uppskrivet någonstans, är det samma lösenord du har till något annat etc.?
Den primära delen av hacking går nämligen ut på att få tag i lösenord på något sätt (och gissning är definitivt inte uteslutet). Ser du till att ha datorn fri från trojaner, keyloggers etc., har ett tillräckligt specialiserat lösenord, inte skickar det till någon via internet, etc. så är det nog inte det som är problemet.

Kolla då på koden - kan någon ha gjort sql injections eller liknande?

Och som sagt - det sista du ska kolla på är serverprogramvaran. Har du senaste versionen brukar det väl vara hyfsat säkert.

Spara ner den hackade sidan (som bevis)
Ladda upp ditt original igen, så att sidan fungerar som den ska.
Sen är frågan, studera din sida, hur kan den ha blivit hackad? Har du egen webbserver? Om inte, anmäl det till webbhotellet om de har någon säkerhetsbrist. Kontrollera din kod hur säker den är, kan man t.ex. utnyttja sql-injection? Om du har egen server, använd bra brandvägg, antivirus och antispyware-program.

Dax att spåra upp nöten nu. Sidan han har lämnat som bokmärke har IP 70.84.96.162. Efter lite sök så kan vi se att det troligen är en server baserad i Amerika. Här är lite mer info:

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

NetRange: 70.84.0.0 - 70.87.127.255
CIDR: 70.84.0.0/15, 70.86.0.0/16, 70.87.0.0/17
NetName: NETBLK-THEPLANET-BLK-13
NetHandle: NET-70-84-0-0-1
Parent: NET-70-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-07-29
Updated: 2005-03-24

TechHandle: PP46-ARIN
TechName: Pathos, Peter
TechPhone: +1-214-782-7800
TechEmail: abuse@theplanet.com

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
OrgAbuseEmail: abuse@theplanet.com

Men går vi in på sidan WwW.SiberKorsaN.NET och tittar så är det troligen inget större community av hackers, utan ett litet gäng ligister.

Abuse-anmäl det hela till den som har ansvaret för deras server och få hjälp av dem att spåra personen. Om du har sidan på ett webbhotell, be att de kollar i sin logga om de kan hitta ett aktuellt ip-nummer, vem som kan ha hackat sidan. Gå sen till polisen och anmäl. Så skulle jag ha gjort.

jag har min sida vid www.digikom.net
har mailat dem men inte fått något svar ännu.
Jag kollade i alla fall på mina filer i servern och där låg en index.htm som inte var min och som
var ändrad kl. 02 inatt. Tog bort den, (laddade hem den till mitt skrivbord... det kan väl inte vara
något virus i den väl ???) och sen var min sida tillbaka.
som sagt, jag är inte så duktig på kodning och jag vet inte vad sql-injection är för något?
Hur kan jag kolla om min kod är ok?

[edit]
nu fick jag svar från digikom:

Du återställer dina filer från nattens backup som du hittar under
filhanteraren, sedan kan du också byta lösenord för konto. Sedan måste du
kontrollera hur dom har kommit in och de vanligaste är

1. man har något upladningsscript på sin sida eller liknande
2. Man använder frontpage och har givit alla rättigheter till sidan 3. Man har en fomr av virus i sin dator som gör att dina lösenord skickas vidare till hackare.


/nina

Loggar inte digikom HTTP-förfrågningarna? I så fall skulle de kunna kolla vilka förfrågningar som har skickats till din sida och därmed även hur hackarna har fått in sin sida.

<b>Kolla då på koden - kan någon ha gjort sql injections eller liknande? </b>

SQL injections är möjliga på sajten, men det kan väl inte ge möjlighet till uppladdning eller redigering av filer?

kan någon hjälpa mig att förklara vad digikom menar när de skriver så här:

De skrev: "Man använder frontpage och har givit alla rättigheter till sidan 3."
Då svarade jag: jag använder inte frontpage utan notepad.

Då fick jag tillbaka: "Du har ju alternativ nr 3 som är vanligt."

?????? Vad menar dom? Jag har mailat och frågat dom men det tar ju evigheter
innan de svarar.

/nina

Alternativ 3:
<b>3. Man har en fomr av virus i sin dator som gör att dina lösenord skickas vidare till hackare. </b>

Det handlar om att du fått s k spyware, som ser vilket användarnamn och lösenord som skickas till servern när du lägger upp dina filer. Sedan skickas informationen till andra ute på nätet så att de kan hacka sidan.

Ok dom menade så... men jag har inte några virus eller spyware, kollade senast för 2 timmar sedan och hittade ingenting..

Vad jag förstått så kan du använda antingen FTP eller HTTP för att ladda upp filer till din webbplats. Du använder själv FTP. Är detta korrekt?

Det vi vet är att hackaren laddade upp en fil, men vi vet inte hur, det är det vi vill ta reda på. Vi vet dock att det kan ha hänt via antingen FTP eller HTTP (iofs kan det ha hänt på något annat sätt också, men det är mindre troligt, och då är det definitivt utanför din kontroll).

Vad vi behöver då är att titta i loggfilerna för FTP och/eller HTTP. Har du tillgång till dessa? Det är vanligt (mer vanligt) att man har tillgång till loggfilerna för HTTP, medan man nästan aldrig har tillgång till loggfilerna för FTP.

Om du har tillgång till HTTP loggfilerna, men ej kan förstå dem, så får du gärna skicka dem till mig, kgafvert [at] ilopia.com, så ska jag titta på dem så fort som möjligt.

För övrigt så tycker jag ditt webbhotell verkar aningen nonchalanta (av det vi fått se här). Även om detta skulle vara orsakat av dig (du har konfigurerat något fel), så borde de vara intresserade av att hjälpa dig så mycket det går. De är ju väldigt självsäkra på att ingenting är felkonfigurerat på deras webserver när en "hackare" har skrivrättigheter hos en kund.

jag använder FTP
mailade digikom kl 18 igår och har ännu inte fått svar. De kanske inte jobbar
på helgerna..
de skrev att jag kunde byta lösenord, men jag vet inte vart någonstans jag skall göra
det och vilket lösenord de menar. Kanske är det lösenordet när man loggar på FTP:n som
dom menar?

Nu fick jag från digikom:

Hej

För din information

Jag har kommit fram till vilket ipnr som er hacking av sidan komm från, så
jag vidtar åtgärder mot detta.

Så nu verkar de ordna sig i alla fall. :-)

/nina

Bra det :)

Kör ett ad-awareprogram så du rensar datorn ordentligt. Sen installerar du en bra brandvägg och stryper åt all onödig trafik. Till slut så skapar du ett användarkonto med begränsade rättigheter på som du använder när du ska arbeta mot nätet. Då slipper du 97% av allt skit som finns ute. :)

Hej
jag kör regelbundet virusprogram och har haft brandvägg sedan flera år tillbaka. Min sambo är systemtekniker så han vet vad som behövs :-)
Tack för all hjälp ändå !!

mvh Nina