Min server blev hackad i fredags

[caption id=“attachment_471” align=“alignleft” width=“131” caption=“Hackad server”][/caption]

I fredags kväll blev servern som då hostade den här bloggen hackad. Elakingen valde ett perfekt tillfälle då det var första helgen på evigheter som jag inte skulle ha tillgång till tid och dator på flera månader. Man kan väl i och för sig anta att det inte var helt slumpmässigt att välja en fredagskväll.

Om någon med detektivambitioner vill grotta lite så har man, på alla index.html och index.php, lagt till en iframe som pekar på safe-host.info och försökt lägga till adsense-annonser med id:

ca-pub-7816532367971838

Dessutom pekades alla loggfiler om till dev/null, men jag antar att det är ett standardförfarande när man vill dölja sin framfart.

Jag hade inte upptäckt intrånget på länge om det inte vore för att en del index.php blev sönderskrivna. När jag googlade runt för att få lite hjälp att se vad som hänt fick jag tips om root-användarens .bash_history  Där kunde jag se lite av vad hackaren försökt göra.

Tyvärr har jag ingen som helst koll på hur han (Hur stor är sannolikheten att det är en tjej?) gjorde för att få root-access så jag utnyttjade en av fördelarna med virtuella miljöer och startade en ny server där jag installerat absolut bara det jag behöver för att visa webbsidorna.

Riktigt smidigt med molntjänsten hos CityNetwork att man kan starta och stoppa serverinstanser lite som man vill. Det gjorde att jag kunde ha den gamla servern igång samtidigt som jag flyttade över en site i taget utan att behöva betala för en till server under någon längre tid.