Backdoor-kod via e-postformulär [LÖST]

[e-son]

Jag blev just utsatt för ett attackförsök. Någon skickade backdoor-kod via kontaktformuläret på min sajt. Skulle behöva hjälp att tyda koden för att få reda på syftet lite mer exakt. Var det ett försök att implementera koden i mitt php-script, för att kunna infektera besökare? eller var det en attack mot mig personligen, och min PC?

Jag behöver veta mer för att kunna skydda mig, och för att utröna om det finns säkerhetshål i mitt php-script!

Kontakta mig gärna personligen om du inte vill ha en dialog via forumet!

E-post till mig

Edit:

Jag har naturligtvis rensat både kod och databas som en ren säkerhetsåtgärd! Ingen fara att besöka sidan alltså.

Edit2:

Min sajt-kod blev aldrig infekterad, kan jag konstatera efter mer noggrann undersökning. Frågorna ovan kvarstår dock.

[e-son]

Attacken verkar ha gått ut på att kapa mitt mail-konto, men jag behöver fortfarande hjälp av någon kunnig att tyda koden, för att bli helt säker. Mina kunskaper räcker helt enkelt inte till för den här sortens kod.

Hur som helst verkar det inte ha varit en attack riktad mot själva sajten.

[jarru]

Hur ser e-post servrarna ut ?

X-Spam-Score ? ,, Eller Spamassasin. ?

Du kan ha fått knasboll den vägen..

[e-son]

Glöm det. Det är inget server-/spamfilterfel, utan regelrätt attackkod som matats in i mitt kontaktformulär. Dessbättre misslyckades det, och själva koden vidarebefordrades istället av webbhotellet till mitt g-mailkonto... precis som vilket mail som helst.

[Wheninrome]

Var är/hur ser koden ut då? Kan du maila/visa den så vi kan bedöma?

[e-son]

Du får ursäkta, men jag tror inte det är så lämpligt att lägga ut attackkod i forumet. Bortsett från det, så behöver jag inte fler spekulationer utan hjälp av någon programeringskunnig för att utröna exakt vad koden gör... eller var tänkt att göra.

Jag kan ju visa formatet i alla fall...

[php]eval(base64_decode('LångRadMedBase64Kod'));die();[/php]

Jag har naturligtvis översatt base64-raden till normaltext för att se vad det är.

Webbhotellet är totalt ointresserade av att hjälpa till. Istället försöker man få det till att det är jag som har dålig koll på mitt php-script, och att det måste finnas säkerhetshål där... detta utan att dom ens tittat på vare sig fulkoden eller mitt script.

Kan väl säga att jag börjar förstå dom som dissar One.com, och överväger starkt att flytta samtliga domäner som jag har något inflytande över.

Edited May 17, 2011 by e-son

[e-son]

Fick just ett meddelande från One.com...

Natten till onsdag kommer vi att uppgradera vissa delar av vårt nätverk.

Eftersom ditt webbutrymme ligger på en server som påverkas av denna uppgradering finns det risk för viss nedtid eller instabilitet för din hemsida mellan 02.00 och 04.00 CET 18 maj 2011.

...en tillfällighet som ser ut som en tanke?

[Marion]

Fick just ett meddelande från One.com...

...en tillfällighet som ser ut som en tanke?

Det mailet fick jag också, dom gjorde dock samma underhåll även för en månad sedan.

Jag känner instinktivt att enbart din klagan skulle få dom att agera

[e-son]

Jo dom bytte hårdvaran för någon månad sedan.

[jarru]

Det sitter fortfarande servrar någonstans.

Tankegången är att det inte ska hända igen.

Koden ska inte igenom..

Svårt att förklara såhär.

[Rune.K]

Du måste kontrollera i din php-kod så att endast godkända tecken kan användas i ditt epostformulär, annars är du kokt.

[e-son]

[Löst] Det var ett misslyckat försök att få tillgång till mitt e-postkonto... förmodligen för att använda det för spam-utskick.