Kan någon hjälpa? webshop hackad

[lasseroth]

Min shop http://www.gamlalampor.com har en fil 1images som innehåller en massa html adresser.
Jag laddade hem dom för att titta vad det är
dom har adresser som 7teen.com
öppnar man en sådan så visar den en sådan där sida som låtsasscannar och rekommenderar köp av ett fuskscanningsprogram.
Jag försökte radera men misslyckades den sitter där som root, medan alla andra filer är /customer...
Om jag fattar det rätt så har den rättigheter som jag inte kan komma åt att ändra, är det så?
Dessutom när jag försökte radera med filezilla så kraschade den filezilla. Fönstret bara blinkar till och försvinner.
Jag gjorde en total avinstallation , omstart och nyinstallation men den kraschar.ideer om varför?
Installerade istället gftp, men lyckas inte radera.
Jag har lyckats döpa om filen till 1imageshack , detta gick trots saknade rättigheter.
Om den är som root, betyder väl det att den crackat lösenordet till sidan och inte lösen till webshopen?
Detta betyder i så fall att webhotellet har för dålig säkerhet eller?
Dom kan naturligtvis radera den på webhotellet, men det dröjer ju till måndag.
Jag är livrädd att Google skall scanna sidan och upptäcka att den är hackad och då spärra den.
Råd och hjälp?

[ajja]

Det här är säkerligen inget råd du vill ha.
Om man misstänker att en server är hackad (minsta lilla misstanke) så är det bara att formatera och bygga upp nytt igen, från grunden med nya användarnamn och lösenord (starka lösenord, inga ord som man kan hitta i ett lexikon) samt att generera nya ras-nycklar och att kasta in alla systemkritiska filer i ett chroot-jail. Det finns inget annat sätt, punkt, och det bör göras omedelbart.
Det är ingen konst för den som kommit åt rot-lösen att lägga in andra crackade verktyg som ser ut exakt som de som du hade från början vilket gör att de kan dölja vad som helst utan några större bekymmer.

Så allt nytt och sedan in med din friska backup av själva web-platsen, som du naturligtvis har liggande på en säker plats.

Du kan inte lita på verktyg som fuser, chrootkit, aide osv, eller filer av typen /etc/*, /var/log/* efter som de med stor sannolikhet har blivit utbytta mot crackarens egna verktyg/filer.

[andol]

Du säger att den elaka filen ägs utav root?

Fast är alltså på ett webbhotell? Då har väl inte du, ditt konto eller din webbplats root-rättigheter?

Alternativt har missförstått någonstans nu?

[lasseroth]

Nä, så tänkte jag också, eftersom det är rooträttigheter så ligger det väl utanför min förmåga.
Det måste väl betyda att dom kommit in via ftp lösen eller ännu högre upp?
Allt jag har ligger ju i /customers och det är väl därför jag inte kan radera.
Dessa är ju inte som vanliga ungdomshackers, dom vill inte skada som jag fattar det.
Dom vill lägga sina sidor hos andra för att inte bli upptäckta, eller?
Så dom kan väl ligga där till måndag när hotellet öppnar.
Jag tror inte heller att det påverkar webshopen som sådan, jag är nog bara ofrivillig host åt något annat.
Det enda jag är rädd för är om Google upptäcker något konstigt och spärrar sökningen.
Sedan kan jag inte för mitt liv begripa hur detta kunde påverka filezilla och kraschen.
Om det är så så skulle det betyda att ubuntu/linux hos mig, men även andra kan ha problem.
To be on the safe side så gör jag en nyinstallation av ubuntu imorgon tycker ni inte det?

[andol]

Du har alltså bara tillgång till kontot via (s)ftp?

Är du säker på att filen ägs utav root, eller gissar du bara det eftersom du inte har rättigheter till den?

(Skulle annars kunna vara så att den ägs utav den användare som kör webbservern? Skulle inte vara helt otroligt givet att de har utnyttjat ett hål i din webshop.)

[lasseroth]

Alltså, jag blir ännu mera konfunderad nu
Det hela ligger i en mapp 1 images (nu omdöpt till 1imageshack)
underden ligger en mapp y som verkar tom och paralellt en fil som heter gaml.zip.
Verkar det inte snarare som hotellet på något sätt krånglat till det?
Jag tog hem zipfilen och packade upp den för att se vad det var och då var det som sagt www adresser
på olika sexsidor. Det kan väl inte vara någon mening att lägga upp zipfiler?
Den kanske inte är hackad utan en screw up från hotellets sida när dom lade upp sidan?
Den är nyupplagd eftersom jag bytt från windows och windowsdatabas till Linux dito.
Det känns nästan som om den (zipfilen) kan ha dykt upp samma dag som databasen skapades.
Jag är ingen expert varken på säkerhet eller något annat.
Det kanske kan få en förklaring på måndag.
Knstigt att den heter gaml.zip och att adressen är gamlalampor

[andol]

Återigen, kan du på något vis lista filrättigheterna? Kan du säga vad det är för användare som egentligen äger mappen/filerna?

[lasseroth]

hoppas bilden visas

[lasseroth]

lösen till webshopen består av 31 bokstäver och siffror blandat så jag tror inte dom kommit in via lösen.

[andol]

Ahh, mappen ägdes verkligen utav root. Då har jag svårt att se hur det kan ha med din webshop att göra.
(Med reservation för att de utav någon anledning kör sin webbserver som root-användaren.

I och med att du har bytt namn på mappen borde du inte behöva vara orolig för att Google, eller andra, ska råka stöta på den.

Tror inte det finns så mycket mer det går att göra/felsöka utan att kontakta webbhotellet. Ty jag antar att du inte har tillgång till serverloggar i någon form?

[lasseroth]

nä jag har inte tillgång till något.
får väl vänta till måndag.
Några tankar ang. att filezilla kraschade någon?

[Putte]

Lite nyfiken, vad kom du fram till efter att ha pratat med webhotellet?

[Daniel Nylander]

address: City Network Hosting AB
address: Borgmastaregatan 18
address: SE-371 34 Karlskrona
address: Sweden
e-mail: mb@citynetwork.se
phone: +46 455 615 029

[lasseroth]

dom har inte tagit tag i det än. jag har fått mail att det skall undersökas.
Lovar att återkomma när och om jag får veta något
Jag ligger hos box.se

[lasseroth]

Det enda meddelande jag fått är att dom tagit bort filen och eventuellt skall installera om servern.
Jag har alltså inte fått någon förklaring till det inträffade.

[Daniel Nylander]

Det låter oroväckande uselt.
Jag skulle flyttat till ett mycket mer etablerat webbhotell som faktiskt har någon form av support och känsla

[lasseroth]

Känsla, ja det har jag ingen kompetens att bedömma.
Dom är däremot mycket bra i övrigt.
Lågt pris, jag har säkert 15 konton hos dom. Aldrig problem att komma fram på telefon, svarar snabbt på mail.