Mivercon Security Forum
Ben ik gehackt ... of mijn provider? - Afdrukversie

+- Mivercon Security Forum (http://www.mivercon.be/forum)
+-- Forum: Beveiliging (/forum-30.html)
+--- Forum: Firewalls (/forum-32.html)
+--- Discussie: Ben ik gehackt ... of mijn provider? (/thread-1250.html)

Pagina's: 1 2


Ben ik gehackt ... of mijn provider? - 0dd0w - 18-03-2008 20:28




RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 19-03-2008 01:24




RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 19-03-2008 21:56

Hallo Miekiemoes,

Dank voor je uitgebreide reactie.

Ik lees in de links die je adviseert dat het de 'daders' vooral te doen is om passwords van games te bemachtigen. Dat is mogelijk bij mij ook het geval geweest aangezien de ilink verwijst naar pharmgame.ru: lijkt me iets met games, al bestaat die site niet eens. Hoe ze bij mij (als niet-gamer) terecht zijn gekomen, ik weet het niet.

Mijn sites bevatten niets dat exotisch is: het is een index.html dat een flashmovie oproept. De hele site bevindt zich in die flashmovie, is dus volledig html-vrij.

Blijft de vraag: moet ik mijn pc beter beveiligen (wat zorgwekkend is want lek) of moet mijn webspaceprovider de server beveiligen (wat ik niet minder zorgwekkend vind)? Oftewel: via welke ingang hebben ze die index.html bewerkt?

Groeten,
Odd0w.

p.s. excuses voor de html-code in mijn eerste tekst: kan niet de bedoeling zijn om pharmgame.ru hier te promoten Icon_redface


RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 19-03-2008 22:16

Dus buiten de verwijzing naar het swfbestand staat er niks in de index.html?
Nu, lijkt me beter dat je me even de link van je site doorstuurt naar me via PM hier. Maar daarvoor zal je eerst een extra post in deze thread moeten plaatsen aangezien je maar pas na 3 posts een Pm kan sturen (extra beveiliging hier).
Dan kan ik even kijken hoe ze er eventueel in geslaagd zijn.

Edit... welke applicatie gebruik je om je websites te maken + up te loaden? Gebruik je de laatste versies ervan? Want dit kan ook al een oorzaak zijn. Om maar even een voorbeeld te geven: http://www.adobe.com/devnet/security/security_zone/mpsb04-05.html
Dit is een oudere vulnerability, sindsdien zullen er nog wel bekend zijn.


RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 19-03-2008 22:46

Ik gebruik (uiteraard) Flash voor het maken van de swf's. Dreamweaver gebruik ik wel regelmatig maar niet voor de site die ik je zodadelijk via PM stuur. Uploaden doe ik met Core FTP Lite 1.3c Build 1447. Inderdaad nog al een oude versie maar ja: 'never change a winning team'. Ik upload overigens ook m'n andere sites hiermee op en die hebben (tot nu toe...) nog geen last van dit probleem.


RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 19-03-2008 23:31




RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 19-03-2008 23:55

Het moet niet gekker worden: ik zie nu (pas) dat eergisteren (17/03 om 12.11 uur) alle vijf html-bestanden die in de root van de site staan, gewijzigd zijn en inderdaad vol staan met dat xxxsextour.com-gedoe! widget.js en dom-common.js zijn mij volledig onbekend en worden ook niet opgeroepen in de index.html. Ik kan ze op de server ook niet vinden. Zoals gezegd: de site is volledig in Flash gemaakt, geen javascript, geen PHP, geen ASP. Het enige niet-Flashfile is de index. Tenminste, dat is mijn bedoeling.
Ik kan alle originelen weer terugzetten, en ook 'samedomain' veranderen in 'never', maar weet nog niet bij wie er nou ingebroken wordt en hoe ik dit kan voorkomen.


RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 20-03-2008 00:14




RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 20-03-2008 08:39

Nou, ik had al het vermoeden dat het lek niet bij mij zit, zeker omdat ik zie dat alle vijf html-files in de root besmet zijn: vier ervan zijn niet in gebruik voor de site (enkel index.html is dat) en drie ervan zijn inderdaad van one.com zelf.
miekiemoes schreef:gebruik je SSH om de files op de server te bekijken? Want gewone FTP toont niet alle bestanden
Ik heb WinSSHD zojuist gedownload en geinstalleerd maar heb nu geen tijd om het te onderzoeken (moet naar het werk, tja). Ik doe dat vanmiddag en post dan of ik hidden files gevonden heb.

Dit is mijn log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:28:10, on 20-3-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\iFinger\iFinger.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\Program Files\Hewlett-Packard\Embedded Security Software\PSDrt.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\PROGRA~1\iFinger\plugins\IE.ifp
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [accrdsub] "c:\Program Files\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [IFXSPMGT] c:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RegScanKing.exe] C:\Program Files\RegScanKing\RegScanKing.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: ackpbsc - c:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - c:\Program Files\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: OneCard - c:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Program Files\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel® Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - c:\WINDOWS\system32\flcdlock.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel® Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Intel® Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe

--
End of file - 14812 bytes


RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 20-03-2008 14:20

Hoi,

Ik zie alvast niks verdachts in je log hoor.

Ik weet dat Core FTP SFTP (SSH) ondersteund, maar weet niet of dit hetzelfde geval is in de lite versie die je hebt.
Kan je nergens selecteren in je Sitebeheer voor servertype: SFTP-SSH file transfer protocol?

Ik gebruik Filezilla (die gratis is) en die ondersteunt dit hoor. Als ik me niet vergis maakt het hier gebruik van PuTTY. WinSSHD ken ik niet/heb ik nog nooit gebruikt.


RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 20-03-2008 17:31

Ik heb even in Core FTP gekeken en inderdaad de optie gevonden om SSH/SFTP in te schakelen. Het is me alleen niet duidelijk waar dit voor dient. Want de vraag blijft: heeft het lek (zo noem ik het maar) te maken met mijn manier van uploaden of moet ik het bij m'n provider zoeken? Want als ik niet oppas verlies ik een klant die niet blij is met die porno-popups.Rant2


RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 20-03-2008 18:13




RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 20-03-2008 19:50

Ik ben de enige die de inloggegevens van de site heeft, en beheer deze voor de klant. Kan ook moeilijk anders: het is geheel gebouwd in Flash zonder CMS en (dus) doe ik zelf het onderhoud. Er is verder niemand die de codes heeft behalve ik.

Is er nog iets anders te proberen (de Write-properties van de online files uitzetten of zo) of moet ik toch de provider nog een keer benaderen?


RE: Ben ik gehackt ... of mijn provider? - Recep - 20-03-2008 20:06

Ik kom er ook even tussen Icon_cool 0dd0w, maak je ook gebruik van een controlepaneel (bv. Directadmin/Plesk)? Ik herinner me dat deze logs bewaren van zo een beetje alle acties. Misschien een idee om de Apache logs even door te spitten?


RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 20-03-2008 20:27

Recep schreef:Ik kom er ook even tussen Icon_cool 0dd0w, maak je ook gebruik van een controlepaneel (bv. Directadmin/Plesk)? Ik herinner me dat deze logs bewaren van zo een beetje alle acties. Misschien een idee om de Apache logs even door te spitten?

Gezellig, meer zielen meer vreugde (en mogelijk meer oplossingen) Icon_lol

Oei, dat zegt me niet veel. Tot nu toe bouw ik en upload ik 'gewoon' zonder speciale extra programma's. Directadmin en Plesk ken ik niet dus er zal vast geen logbestand aangemaakt zijn. Of kan ik die ook op een andere manier inzien/opvragen?
Toen het probleem zich voordeed heb ik overigens de provider gevraagd of zij geen logfiles hadden maar zij konden niets bijzonders vinden. Kan een provider weten wie of van waaruit de upload/wijziging hebben plaatsgevonden?


RE: Ben ik gehackt ... of mijn provider? - Recep - 20-03-2008 22:30

Als je provider gebruik maakt van Apache (die kans is erg groot) dan horen ze toch wel logs te hebben..


RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 25-03-2008 21:07




RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 27-03-2008 16:16




RE: Ben ik gehackt ... of mijn provider? - miekiemoes - 27-03-2008 16:30

0ddow, installeer eens Filezilla in plaats. Zo kan je ook zien wanneer bepaalde bestanden gewijzigd werden aangezien de datum/tijd in de preview worden weergegeven.
Ik ben er bijna zeker van dat het bij One.com ligt.....


RE: Ben ik gehackt ... of mijn provider? - 0dd0w - 27-03-2008 17:04