Gehacked (3)

Ik heb tijd gehad om de logfiles eens nader te inspecteren… en inderdaad! Mijn apachelogs hebben een verhaal te vertellen! Zo tussen 12u30 en 13u – tijdens mijn lunch – gebeurden er op 13 september allerlei rare activiteiten. Ik zie een ip-adres mijn site over en over refreshen. Op zich kon ik er niet uit opmaken wat er gaande is. Daarvoor zijn de files, jammer genoeg, te beperkt. Tot opeens de eerste melding naar de Hacked By the Maniac opduikt. Dat was van een tweede ip-adres. Even verder zie ik dan van het eerste ip dat er gesurft werd naar mijn site vanaf zone-h.net/defaced. Daar vond ik een mirror waar de HTML code van mijn verminkte site is opgepleurd! Blijkbaar om te pronken hoe 3733t ze wel niet zijn met hun werk.

Een whois commando leert mij dat beide ip’s behoren tot de iprange van TurkTelekom (what’s in a name). Omdat de website waar bezoekers automatisch naartoe werden doorgesjasd Turks was, lijkt het mij dat ik hier de twee boosdoeners heb gevonden.

Dat de apachelogs niets vertelden verontrusten mij ergens wel een beetje want zo kan ik niet achterhalen wat er mis is. Misschien zijn ze binnengebroken via FTP? Maar aan die logfiles geraak ik blijkbaar niet: ik heb wel de mogelijkheid om ze te downloaden via mijn administratiepaneel, maar de facto weigert hij dat te doen. Niet fijn! Visuele inspectie van mijn FTP ruimte leert mij dat er geen files zijn aangepast. Maar dat wil natuurlijk niets zeggen. En over MySQL logs beschik ik al helemaal niet. Hoewel ik voor elke databank een aparte user maak met een sterk paswoord. Het lijkt me dus vrij sterk dat ze via daar zouden zijn gekomen.

Ik heb ondertussen een mailtje met het stukje apachelog naar de helpdesk gestuurd. Ik ga het hier niet publiekelijk posten maar geïnteresseerden mogen mij anders wel een mailtje sturen. Misschien ontdekken anderen wel een patroon en het is een kans om hieruit te leren!