Hoeveel veranderingen per seconde denk je dat die host verwerkt, met z'n 270.000 websites?? Defacen is meestal niets anders dan 1 bestand overschrijven met je eigen versie... Hetzelfde als dat een klant dus zelf zijn homepage update...
Als de servers een probleem hadden ontdekt en een alarm hadden afgegeven, was de hack dus niet gelukt... 't Is een beetje hetzelfde als met een virusscanner, die moet eerst een virus herkennen, voordat er een melding gegeven kan worden...
Handmatige detectie door een sysadmin??? Een bestand via script laten overschrijven, hoe lang zal dat duren??? Webservers kunnen enkele honderden, zo niet duizenden verzoeken per seconde afhandelen en het bestand is maar een paar bytes groot... Laten ze zeggen, 500 requests per seconde, rekent wel makkelijk... Dan is het script dus zo'n 400 seconden bezig geweest... 7 Minuten, knappe sysadmin die dat zo snel merkt, als dze überhaupt al aanwezig was...
11:30am EST Update
If you have a backup of your site, you may upload your index.php files to correct this. You may need to do this for each directory.
(
Bron)
Ja, is dus een simpel search-and-replace scriptje geweest...
Dan nog zou je kunnen scannen, Het is best knap dat dan ineens 200.000 gebruikers binnen 10 min alle index.html/php pagina's aanpassen. Daar zou je een server wel op kunnen programmeren.
Ik kan me zelf namelijk niet indenken dat in 1 keer alle sites op je server zijn veranderd.. Kop op jongens.. en dat dan door een root user.
Daarnaast moet het scrip op root nivo draaien, Waarbij ik dan denk. zijn er geen andere servers in de buurt die de server scannen op onbekende scripts? vreemd gedrag? root acces? Volgens mij kan je naar een admin een mailtje laten sturen op het moment dat iemand root acces vraagt op een server.
Ook denk ik dat het hele root account omgegooid moet worden. bij installatie account naam voor de super admin verzinnen. Hoevaak is het niet op windows bakken gebeurd dat een hacker simple het administrator account aansprak? Na het wijzigen van deze user account bestond deze niet meer. Hackers moeten dan opzoek naar andere lekken. om buiten het administrator account toegang te krijgen tot het systeem.
Geef je helemaal gelijk, maar daar is bij InMotion dus blijkbaar niet goed over nagedacht... Ik vertel in mijn post niet hoe het optimaal zou moeten werken, ik vertel hoe ik denk dat het gebeurd is.. Als de host inderdaad alle beveiligingen ingebouwd had die jij noemt, was er waarschijnlijk minder aan de hand geweest...
Maar dan nog, zelfs met alle beveiligingen die je kan bedenken, kan het voorkomen dat een hacker op je servers komt... En eenmaal als root ingelogd, kan hij waarschijnlijk ook de scanner-service uitzetten... Tuurlijk had dan een mailtje naar de admin gestuurd moeten worden, maar laat hij nu net eerst de smtp-service onderuit trekken of het admin-adres veranderen... Je kan die scanner moeilijk ALLES laten tegenhouden, dan wordt beheer ook lastig...
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
14:29
13:23
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
Maar ja je bent lang niet de enige die dit doet
