Getroffen door een hackscript?

Hi,

Ik kreeg onderstaand bericht van m'n hoster. M'n hoster is tevens een vriend van me. Het zijn een paar mails tot 1 post voor dit topic gesmolten:

Niet schrikken, maar iemand uit de Oekraïne heeft het wachtwoord voor gebruiker ... bemachtigd/gekraakt. Ik heb de server gecontroleerd, maar verder heeft deze persoon niets gedaan. Daarom kreeg je dus zojuist een nieuw wachtwoord toegezonden. Als je deze eenmalig wijzigt in je FTP-programma, loopt het allemaal met een sisser af. Trouwens: in het ergste geval hadden we een backup terug moeten plaatsen, dus niets aan het handje! Er zijn echt geen wijzigingen gemaakt. Volgens mij is er gebruik gemaakt van een scriptje dat alleen maar checkte hoe of wat. Hun actie is dus bij voorbaat in de kiem gesmoord. Het is dus echt een afgesloten hoofdstuk! Je kunt zelf helemaal niets doen. Zulke dingen gebeuren nu eenmaal. Deze keer was jij de gelukkige, alleen waren wij slimmer en snel

En nu zijn m'n vragen aan jullie:

Wat houd zo'n script in en wat is, doet en probeert zo'n script?

Is er een kans dat het weer gebeurd? En dit keer slaagt?

Kan ik zelf op de een of andere manier wat dan ook doen?

M'n website maakt gebruik van veel systemen zoals phpBB. Kan hier een fout inzitten? En zo ja, hoe kan ik dit testen? Of kan men via bijvoorbeeld phpBB enkel de database gegevens zien? Want phpBB heeft nooit wat m.b.t. m'n ftp gegevens gevraagd.

Ik hoop dat jullie z.s.m. op dit topic reageren,

Meestal wordt er gebruik gemaakt van shell bestanden die alles kunnen aanpassen.

Zou in ieder geval even je uploads nakijken of die wel helemaal veilig zijn.
Meestal zijn upload formulieren het probleem hierin, mocht dit niet zo zijn zou ik rkhunter laten installeren.

3x benadrukken dat er 'echt zekerste weten niks aan de hand is'. Hoop dat het een goede vriend van je is, ik zou voor de zekerheid alles even nalopen en je wachtwoord gewoon nogmaals wijzigen.

Je hebt scripts/programma's die hele websites op tienduizenden bestaande exploits kan scannen. Dus waarschijnlijk wordt dat bedoeld en tijdens dat proces werd diegene geblokkeerd oid? Heel onduidelijk bericht in ieder geval.

Iedere phpBB versie 3.0.x heeft geen bekende beveiligingsfouten. Maar het up to date houden van scripts is altijd wel handig

Rootkit hunter even laten scannen naar verdachte scripts op de linux server. Wellicht vindt hij iets.
(Log in om link te zien!)

Verder:
(Log in om link te zien!)

succes

En zorg er ook voor om je phpbb versie te verbergen zowel in de footer als in je script / meta gegevens. Exploits op googlen is zo gebeurd zeker als iemand weet welke versie je hebt ;) voordat je het weet heb je een sql injection erbij.

Veel scripts proberen ook gewoon met gebruikelijke gegevens zoals 'admin - admin' of dergelijke in te loggen. Zo kan het gebeuren dat er binnen een paar minuten duizenden keren geprobeerd wordt in te loggen. Zorg dus voor een fatsoenlijk wachtwoord met letters, hoofdletters, cijfers en het liefst nog een paar gekke tekens. Hoe ingewikkelder het voor jou te onthouden is hoe ingewikkelder het ook te kraken is :)