Mystiske hackerangreb hos Surftown-kunder: Hvordan kommer de ind?

Illustration: Virrage Images/Bigstock
Skjulte hackerangreb rammer websider over en bred kam, på samme IP-adresser, uanset CMS. Det har ført til spekulationer om, at hackere har admin-adgang hos Surftown.

Der er mange måder, en hjemmeside kan blive hacket på. Kører man med et populært CMS med mange tilføjelser, skal både CMS og tilføjelserne være opdaterede, hvis man vil undgå potentielle huller og dermed adgangsveje for hackere.

Men alligevel mener en web-ekspert, at der må være noget andet på færde i mange af de angreb, han har set og afhjulpet. Billedet er nemlig, at hackerne bryder ind, uanset hvilket CMS, der ligger på siden, og også hvis der bare er placeret statiske HTML-sider.

»Jeg har set mange websites på samme IP-adresse, som er blevet hacket i samme omgang. Og så er hackerne ikke gået ind via Wordpress, men enten via FTP-adgang eller gennem administrationssystemet med root-adgang,« siger Rene Madsen, der med sit firma Online Marketing har arbejdet med websider og webteknik siden 1995.

Læs også: Pas på - hackere skjuler kode på danske hjemmesider

Hvis det er sket gennem FTP-adgang, har hackerne enten gættet eller opsnappet FTP-passwordet, måske via malware på webside-ejerens computer, så det ikke hjælper noget at ændre password. Men Rene Madsen hælder mere til, at hackere har fået sneget sig ind backend hos webhotellet, for den slags bølger af angreb hænger ikke sammen med, at hackerne først skulle have plantet malware hos alle de forskellige webside-ejere.

»Det må være sket gennem root-adgang. Det kan ikke lade sig gøre ellers,« mener han.

Han har set samme problem hos flere forskellige hosting-firmaer, men det seneste eksempel var hos Surftown, og Version2 har derfor forholdt webhotellet problemet.

Svaret lyder, at der ikke er hackere, som har adgang til Surftowns administrationssystemer.

»Vi har omfattende overvågning af vores systemer, så hvis der var et angreb i gang, ville de røde lamper blinke. Og det gør de ikke,« siger Kresten Bach Søndergaard, kommunikationschef hos Surftown, til Version2.

Én gang har Surftown været ramt af hackere, som havde root-adgang til kundernes websider, medgiver han, men det blev hurtigt opdaget og stoppet.

»Det var tilbage i 2010, hvor alle lamperne blinkede, så vi kunne stoppe det meget hurtigt,« siger Kresten Bach Søndergaard.

Han peger også på, at der ikke har været en stigning i antallet af hackede sider, som Surftown selv opdager blandt kundernes websider. Firmaets abuse-afdeling sender i snit ti advarsler ud om dagen til kunderne, og var der et stort angreb i gang, ville det også kunne mærkes her, forklarer kommunikationschefen.

Halvdelen af 20 tilfældige sider var ramt

Rene Madsen er dog ikke overbevist om, at der ikke er et problem hos Surftown, som giver hackerne for let spil. Og at der ikke er flere tilfælde, som Surftown selv opdager lige nu, forklarer han med, at det er svært at opdage hackerkoden med automatiske systemer. Desuden har hackerne opereret længe og har ikke sat et ekstra stort angreb ind lige nu.

For at demonstrere problemet, har han derfor taget fat i en enkelt server hos Surftown og gennemgået sider fra samme IP-adresse manuelt. Det har med en smule arbejde bragt en stribe inficerede websider frem i lyset:

www.gamersparadise.dk

www.jobyggefirma.dk

www.energikontor.dk

www.norbovinduer.dk

www.voresrejsetilusa.dk

www.julecirkus.dk

Og det er bare et lille udsnit, han på kort tid har samlet sammen, forklarer han. Det tager nemlig lidt tid at finde frem til de ramte sider, fordi man skal gøre det manuelt. Ud af 20 tilfældigt udvalgte sider, han tjekkede, var omkring halvdelen ramt.

»Det tyder jo på, at der er rigtig mange sider, som er angrebet. Det handler ikke bare om en Wordpress-installation, der er ramt, eller kunder med malware på computeren, der opsnapper FTP-passwordet,« mener Rene Madsen.

Er du kunde hos Surftown og er blevet hacket med skjult kode? Eller er du ramt, men har din webside hostet hos andre udbydere? Skriv dine oplevelser i debatten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kresten Bach Søndergaard

Jeg følger naturligvis med i sagen her på Version2 og på Google+ hvor Simon Riisager torsdag påpegede at et af hans sites var blevet hacket. Der har været konstruktiv kritik og mange gode råd til hvad vi bør gøre for at sikre vore kunder mod angreb i tråden, som man kan følge her: https://plus.google.com/112419166072887224496/posts/FCUoH1MSJdJ

Siden i fredags har vi haft teknikere på sagen, og vi gennemtrawler pt manuelt vores brugeres konti for at kortlægge problemernes omfang. Suspekt IP trafik og utallige mappestrukture er blevet gennemgået de seneste dage for at spore kilden til de problemer flere kunder har. Dette er en del af vores procedure når vi undersøger abuse-sager.

Der vil komme en udmelding fra os senere i dag, når jeg kender konklusionerne på arbejdet. Uanset om der findes et sikkerhedshul hos os eller et mønster i hackernes ftp-misbrug vi kan hjælpe vore kunder til at sikre sig imod imod, vil vi drage de nødvendige konsekvenser for at sikre vore kunder bedst muligt mod hackere.

Jeg vil gerne sige tak til René, Simon og de øvrige, der har bidraget i tråden på Google. Vi tager problemet meget alvorligt og arbejder hårdt på sagen.

venlig hilsen
Kresten Bach Søndergaard
Kommunikationschef
Surftown

  • 6
  • 0
Lars Andersen

Hvis det som antydet er surftown der er hacket, og det ikke er CMS relateret, så er diskussionen vel let at afgøre?

Tilbage står at nyt indhold er uploadet over ftp/sftp/smb/nfs eller lignende protocol. Og så er det bare ned at læse timestamps på filer, og sammenholde med logs!
Så det er bare med at få snuden ned i logfilerne!

Især ville jeg kigge på sites med statisk indhold, her må det være særlig nemt at se.

Edit : jeg mener naturligvis, at man i logs nemt kan se om det er brugerens egen login der er brugt, fra hvilket IP, osv.

  • 0
  • 3
Lars Rasmussen

Jeg opgav fuldstændig for noget tid siden at få min PHPBB3 til at køre uden at den blev hacket.
Den var opdateret til seneste version, jeg skiftede både admin og ftp passwords, geninstallerede PHPBB3 flere gange, men efter få dage blev den blot hacket igen. Jeg var noget undrende overfor supporten på surftown, men ifølge dem var det blot sådan det var med CMS'er og lignende kundeinstallationer.
Jeg har oplevet lignende med min wordpress installation, men efter tilsvarende handlinger forsvandt problemet igen.
Og så skulle jeg derefter bruge lang tid på at komme ud af Googles bad-site database, så min side og andre linkede sider kunne besøges igen.

  • 0
  • 0
Albert Jensen

Jeg havde 3 sites hos Surftown der blev hacket i 2010. Tilsyneladende af russiske hackere. Mit gæt var at de var kommet ind via FTP. Der var tale om ændringer i statiske HTML sider. Jeg kontaktede derfor Surftown for at høre om de havde logning af FTP trafikken. Det havde de ikke, hvilket kan undre. HTTP trafikken der er 1 million gange mere omfattende logges, men ikke FTP, der ellers ville kunne kaste lys over om hackerne var kommet den vej ind, eller havde direkte adgang til Surftowns servere. Meddelelsen fra Surftowns support var, at det 100% var mit problem. Det kunne kun være fordi hackere havde opsnappet mit FTP password. Det fandt vi så aldrig ud af, fordi der manglede FTP logs.

  • 2
  • 0
Jesper Kildebogaard

Rene Madsen har sendt mig flere adresser på websider, der er ramt:

1kokkedal.dk,
aalborg-hik.dk,
amagerkoreskole.dk,
amagerstrandparkrundt.dk,
askm.dk,
camping-plus.dk,
uddannelseskompagnet.dk,
vespaparts.dk,
cisgnordic.net,
lineandersen.dk,
arise.dk,

vh.

Jesper, Version2

  • 0
  • 0
Michael Bojsen

Jeg skrev flg. til dem for noget tid siden:

Mig: "Der er blevet lagt to PHP exploit scripts ind på hhv. http://XXX/blnui/pxo.php og http://XXX/ghi.php

Da jeg ligger på Windows kan disse ikke umiddelbart køres, men de er dukket op!"

De svar jeg fik var flg. (jeg har klippet dem sammen).

Support: "Mener du at I ikke selv har lagt disse op?
Det minder om et forsøg på at lægge inficerede filer op.

Heldigt at serveren da ikke kan afvilke php."

Mig: "Nej, vi har ikke selv lagt disse op... Kan du se hvilken bruger der har lagt
dem op og hvornår (også gerne IP)?"

Support: "Dette er desværre ikke noget vi kan tilbyde at tage frem, da dette tager lang tid for driften.

Hvis det er meget vigtigt for dig, kan vi høre om de vil sætte en time af til det.
Dette tager de i så fald 1250 DKK for."

Mig: "Det lyder utroligt at det er mig der skal betale for at finde ud af hvilket
sikkerhedshul I har på Jeres servere, men hvis det er Jeres politik så er
der jo åbenbart ikke så meget at gøre ved det."

Support: "Jeg har nu læst din mail grundigt igennem og ud fra problemets beskrivelse, vil jeg vurdere at problemet
ikke ligger i manglende sikkerhed på vores server, men skyldes enten et sikkerhedshul på din hjemmeside, eller
en virus på en computer, der har adgang til dine FTPoplysninger hos os"

  • 5
  • 0
steen jensen

Vi er flere der oplever underlige trafikmønstre og trafik på vores sider.
IP-Support.dk har over de sidste par måneder gentagende gange oplevet underligt trafikmønster og admin forsøg fra Russiske og Tyrkiske ip-adresser. Allerværst omkring månedsskift.
Vi og kollegaers sites der også hostes hos Surftown oplever stort set kraftige symmetriske fald i antal besøgende hvis vi sammenligner vores trafiktal. Mens de sider vi ikke har hos Surftown bare buldre videre uden synderlig påvirkning. Desværre afviser Support vores henvendelser hver gang som noget udenforstående.
Vores kollegas side er ipadvisor.dk

  • 0
  • 0
René Madsen

De sidste hacker installationer jeg har fjernet er oprettet i core filer i CMS delen, her er de indsat, og hentes ind i footeren med en include kommando fra CMS systemet, og henter eksterne data via disse koder.

Hackerkoden er oprettet i forskellige filer, og koden er blandet sammen med den eksisterende kode, som findes i den pågældende fil.

Jeg har tidligere fjernet andre typer af hackersoftware, her var der tale om mappeversioner, de kan være placeret alle steder på websitet, i images mappen og i alle andre mapper.

Mappeversionerne som jeg har set, er alle navngivet unikt, hvilket betyder at filer og mapper ikke ligner hinanden, derved er det svært at søge efter dem på serverniveau, man skal ned på den enkelte installation, og se om der er oprettet noget.

I 2010 har jeg skrevet lidt om et lignende tilfælde.: http://blog.onlinemarketing.dk/hacker-angreb-pa-et-af-landets-store-webh...

Et par fif til SurfTown

Begynd med at lede efter spor til disse websites og IP adresser…

Link- cloakerne hentede data til de tre websites, som jeg renoverede i weekenden, det skete eksternt fra de viste domæner - Serveren er placeret i Tyskland på følgende webhotel.: zexotek.de/de/pub/

De berørte dataudvekslingssites ligger på disse IPadresser.: 37.1.220.143, 37.1.217.144, 37.1.223.133

openmonitor1.net/generator_index_3/generator.php
webcontrol1.net/check/control_no_redirect.cgi
webdefense1.net/Check/StatC/Stat.php

De bor sikkert under falsk navn…. Deres DNS er freedns, så det tyder på de bare bruger en dunk i Tyskland. Der er sikkert tale om Kinesere eller Russere.

Ejerforhold på et af domænerne.

BEMÆRK.: Privacy-Protect.cn

Domain name: openmonitor1.net
Registrant Contact:
Privacy-Protect.cn
Henry Nguyen Gong contact@privacy-protect.cn
+33.0466583875 fax: +33.0466583875
26 Rue Jean Reboul
Nimes Languedoc-Roussillon 30900
fr

Administrative Contact:
Henry Nguyen Gong contact@privacy-protect.cn
+33.0466583875 fax: +33.0466583875
26 Rue Jean Reboul
Nimes Languedoc-Roussillon 30900
fr

Technical Contact:
Henry Nguyen Gong contact@privacy-protect.cn
+33.0466583875 fax: +33.0466583875
26 Rue Jean Reboul
Nimes Languedoc-Roussillon 30900
fr

Billing Contact:
Henry Nguyen Gong contact@privacy-protect.cn
+33.0466583875 fax: +33.0466583875
26 Rue Jean Reboul
Nimes Languedoc-Roussillon 30900
fr

DNS:
freedns1.registrar-servers.com
freedns2.registrar-servers.com
freedns3.registrar-servers.com
freedns4.registrar-servers.com
freedns5.registrar-servers.com

  • 4
  • 0
Kim Schulz

Nu kender jeg ikke til surftowns opsætning, men hvis de ikke har 110% styr på mappeadgang (Eller at bruger har mulighed for at lave fuld read/write adgang til deres rod-mappe) så kan en enkelt kompromiteret side være årsag til det hele. Jeg har set php shell scripts som ved kørsel gennemsøger maskinen (hvor den har adgang) for at finde php, .htm(l) og lignende filer og så indsætte kode på passende steder i dem - med cloaking selvfølgelig.
Lignende har jeg set ske med wordpress, drupal og joomla plugins som sneg sådanne scripts ind på serveren.
Kunne det tænkes at være noget sådanne?

  • 0
  • 0
Eva Hjorth Larsen

Her i huset er vi mangeårige kunder hos Surftown og oplever, at de har et problem og det har de haft jævnligt siden 2010.

I marts havde vi igen besøg af uvedkommende på nogen af vore mange domainer hos Surftown og skrev dengang til Surftown:


Kære Surftown

Det er meget bekymrende at opleve, at rigtig mange af mine og konens Surftown domainer har haft besøg af hackere, som har haft held til at oprette mapper og fylde disse mapper med skidt og lort.

Vi har mange domainer hos jer og et hurtigt tjek på vore Surftown domainer viser, at flg. er ramt;

  • Condip.dk
  • Fangenergien.dk
  • Compromi.dk
  • Sitetools.dk
  • Giffengaffen.dk
  • Stikket.dk.

Fakta er, at I HAR et problem!

På en lille halv time har jeg via google søgning + opslag i domaine testeren fundet at flg. domainer også har problemet.

  • tfi.dk
  • andys.web.surftown.se
  • gavik.dk
  • ekonomilotsen.se
  • lystenstone.dk
  • latiner.dk
  • berlin-lejlighed-leje.web.surftown.dk
  • faeroerne.dk/
  • musashi-shotokan.dk
  • d15973290.u202.surftown.dk
  • dvm.dk
  • kennith.dk
  • grevy.dk
  • herningskate.dk
  • monokultur.dk
  • gudenaagruppe.dk
  • oksevejsyd.dk
  • cskk.dk
  • coachingacademics.dk
  • ljungsoftware.dk
  • niklaes.com
- dreistel.dk

Efter halvanden måned fik vi det endelige svar fra Surftown:

"Vi har nu undersøgt sagen grundigt, og fundet frem til at der er tale om såkaldt SERP-hijacking.
Dette problem ligger ikke hos Surftown, men forårsages derimod hvis hackeren får fat i FTP log ind oplysningerne til FTP serveren til den enkelte kunde.
Dette kan ske hvis hackeren eksempelvis opsnapper log ind oplysningerne på usikre netværk.
Der er desværre derfor ikke noget Surftown kan gøre yderligere ved dette problem, udover at være mere opmærksomme på dette."

Det sørgelige er egentlig, at når man skriver til supporten, så kender man allerede svaret på forhånd og ved også inderst inde, at ingen på Surftown tager anmeldelsen alvorligt. Sådan virker det i alt fald for os som kunder. Problemet skal fornægtes, for det koster kunder at erkende, at man har et problem.

Jeg formoder også, at det er derfor Surftown heller ikke giver ramte, men uvidende kunder besked. Første gang problemet opstod, vedlagde jeg nemlig også en lang liste over ramte domainer til supporten, og spurgte om de ville kontakte ejerne. Svaret var, at det ville de ikke. Så den opgave lå hos mig. Det gav ikke respekt for Surftown.

Her i huset er konklusionen at Surftown har et problem, men ikke viljen til at ville løse det. (for det kan vel næppe være evnerne)

Det er rigtig synd og skam, for Surftown har ellers tjent os godt i mange år, men sagen er at nu går vi andre steder hen, når nye domainer indkøbes.

Og på alle vore Surftown domainer er der kommet vagtfirma på, nemlig Google webmasterværktøj. Det forhindrer jo ikke problemet i at opstå, men det gør dog, at man kan handle, når problemet er der.

For problemet ER reelt og det er hos Surftown problemet er - om de så kan lide det eller ej!

  • 1
  • 0
Niklas Pedersen

Jeg kan se min mosters domæne er skrevet på en liste længere oppe. Jeg har selv lavet hendes side for mange mange år tilbage i Stones Webwriter, uden noget som helst brug af dynamisk kodning. Koden er ikke gemt i noget FTP program eller deslige, det ligger printet på papir hjemme hos hende og indtastes den ene gang om året der skal rettes noget på den (i øvrigt meget grimme ;) hjemeside.

Så hvis det domain er inficeret, så er der ikke et sekundts tvivl om at nogen har fuld skrive adgang til domæner hos Surftown. For der er intet PHP kode på det domæne, så det er ret så simpelt.

Jeg ville normalt have logget ind på FTP'en for at se hvem der ejer filerne, og hvilke rettigheder der er på hendes hjemme mapper og ud fra det kunne konstatere et af følgende:

1) Hjemme mappen giver alle skrive adgang (777). Surftown har et seriøst problem hvis de har sådan en opsætning.
2) Hjemme mappen giver gruppe skrive adgang (770) og andre brugere er med i den gruppe. Surftown har også et seriøst problem med den opsætning.
3) Hjemme mappen giver kun min bruger adgang (700). Så er det med stor sikkerhed at deres servere er rooted på den ene eller anden måde. Surftown har et enormt stort problem.

Er der nogen der kan bekræfte hvordan deres rettigheds opsætning er på ens homedir? Så kan vi hurtigt udelukke punkt 1 og 2 ;).

  • 2
  • 0
Per Krarup

Har lige checket mit domæne hos Surftown og fandt en mappe med en suspekt PHP-fil. Der var ikke umiddelbar adgang til mappen da den ikke var oprettet med mit bruger ID. Dette viser at nogen har uautoriseret adgang til systemet.

Jeg gad ikke lige skrive til supporten - de har tilsyneladende ret travlt. For to dage siden afsluttede de et "issue" der stod åbent i over 3 uger.

  • 1
  • 0
Anonym

Jeg kender (heldigvis) meget lidt til surftown. Men:

ftp ftp.surftown.dk
Connected to ftp.surftown.dk.
220 ProFTPD 1.3.0 Server (Debian) [212.97.132.32]

ProFTPD 1.3.0 er fra 2006! Google og find selv en lang række af kendte exploits.

  • 9
  • 1
Anonym

Jeg troede også FTP var en meget død sild (ligesom jeg troede 10 kr/mdr hosting var det), men der er åbenbart en målgruppe stadig. Den beslutning er nok taget i marketingafdelingen.

  • 0
  • 0
Anonym

Hvis kunderne ikke kan finde ud af at bruge det/omstille sig, kan det måske blive ret dyrt (for surftown) - forestiller jeg mig, man tænker.

Men uanset bør man jo i det mindste holde sin valgte platform ajour.

  • 1
  • 0
Finn Aarup Nielsen

Jeg ser ingen version 1.3.0 af proftpd på Debians pakkearkiv. Den ældste understøttede er vel 1.3.3? http://packages.debian.org/stable/proftpd-basic
Debian Lenny havde vist 1.3.1 http://www.debian.org/security/2011/dsa-2191.da.html og dens sikkerhedsopdatering ophørte i januar 2012. Man skal vist helt tilbage til Debian Etch for at finde 1.3.0. Der har ikke været sikkerhedsopdatering til denne version i to et halvt år.

Det ser ud som om der har været en overordentlig mængde sikkerhedsopdatering til ProFTPD gennem tiden: http://search.debian.org/cgi-bin/omega?DB=da&P=ProFTPD

ProFTPD 1.3.0 Server (Debian) på ftp.surftown.dk virker påfaldende.

  • 5
  • 0
Kresten Bach Søndergaard

I lyset af debatten her på version2 og Google+ er det blevet tydeligt for os, at vores håndtering af abuse ikke lever op til vores egne ambitioner om at levere branchens bedste service. Og det vil vi!

Konkret kommer vi til at lægge en mere offensiv linje overfor den type abuse. Vi vil minimere risikoen for at kundernes konti misbruges, så vores kunder får en bedre oplevelse med den service vi leverer.

Vi har foretaget en udvidet gennemgang af vores servere og alle vores webhoteller. Som flere også påpeger i debatten opdager en kunde typisk ikke hvis man er udsat for misbrug, der ikke ses synligt på websitet. I de seneste dages gennemgang har vi fundet flere webhoteller, hvor der fandtes suspekte php-filer eller andre tegn på misbrug.

Vores analyser af logfiler bekræfter at på de berørte webhoteller har misbrugeren med sikkerhed uploadet data via kundens FTP-adgang. Personen kan herefter lægge PHP-kode på webhotellet, der giver mulighed for at redigere og uploade indhold på webhotellet uden brugerens vidende.

Da en kunde typisk ikke opdager dette, har vi taget konsekvensen og rydder op for alle de kunder, vi har identificeret på tværs af vores servere.

Vi har gennemgået vores interne procedurer og vurderet, hvor vi kan sætte ekstra ind i fremtiden. Vi udvider vores serviceniveau i fht. at beskytte kunder mod misbrug og forbedrer vores evne til at afhjælpe sagerne, både for de kunder der anmelder det og for de kunder, der evt. ikke har opdaget, at de er udsat for misbrug.

Tiltag inkluderer bl.a.:

  • Udvidet log-fil analyse ved abuse henvendelser
  • Højere krav til kodeord
  • Udvidet scanning for ondsindede mapper og filer på tværs af servere
  • Ny dynamisk IP-blokkering

Det her betyder at vores kunder fremover skal opleve, at vi i større omfang hjælper med at afdække abuse og identificerer en konkret løsning på misbrug de udsættes for.

  • 2
  • 0
Jesper Nielsen

wsl1.surf-town.net
CentOS release 5.8 (Final)
ProFTPD 1.3.2e Server

Jeg har fået indsat fremmed kataloger med reklame links og indsat RewriteRule i .htaccess, standart svar fra support. "Din egen skyld, du har sikkert virus!"

Burde jeg ikke arbejde på at flytte til anden udbyder eller egen server?

  • 0
  • 0
Steen Thomassen

Nu er VPS lidt af en anden løsning - bl.a. at man kan administrer den - jeg har selv VPS. Men mange som bruger et webhotel til hosting kan ikke styre en VPS eller det er for dyrt til en simpel hjemmeside. Så for dem er VPS ikke en god løsning som et alternativ for et webhotel med FTP.

  • 0
  • 0
Oliver A Sparholt

Altid Surftown.

Man sidder og feder den med sin kaffe og det snart frokost - MEN SÅ.. ringer en kunde med meget loyalitet men med 3 vps'er hos surftown som surftown har lagt ned.. Man kan end ikke genstarte vps'erne.. Hey ingen ip'er kan pinges - IGEN. suk

Rettelse: noget kan pinges igen nu men skulle man vente et par dage til deres "revolution" er forbi børnesygdomme...

  • 2
  • 1
Birthe Søjberg

Engang var jeg webmaster på ellebaek1.dk. Den var håndkodet i html, og hosted på Surftown. På et tidspunkt i 2010 opdagede jeg en fremmed mappe -faczw- med mange undermapper, der lå på serveren. Jeg skyndte mig at slette dem og spurgte efterfølgende supporten på Surftown, der foreslog, at det kunne være min kontaktformular. Så spurgte jeg i nogle fora om hvordan det kunne ske, og fik nogle gode svar
Som det vist tydeligt fremgår af mit indlæg, så har jeg mindre end lidt forstand på det her, men jeg ville lige give mit bidrag.
Søger man på ellebaek1.dk+cialis, f.eks. så får man stadig en masse hits på sider, der linker til ellebaek1.dk.

  • 0
  • 0
Christina Aros

Jeg har for 3 gang konstateret at min webside som er lavet i wordpress men hosted hos surftown er inficeret. Jeg har gjort alt hvad jeg kunne for at sikre mig mod dette og har rettet henvendelse til surftown flere gange for at gøre dem opmærksom på at det må ligge hos dem og hver gang er svaret at det er noget jeg selv skal ordne.. Jeg spørger bare: hvordan?

Jeg har haft IT eksperter til ats e på min side og lige meget hjælper det! må indrømme at jeg meget snart flytter fra surftown

  • 1
  • 0
Christina Aros

Som jeg tidligere har påpeget overfor Surftown ville det klæde jer, at meddele kunderne når I opdager angreb på vores sider. Nu er det 3 gang på under 5 måneder, at jeg oplever angreb på min side, hvor I lukker siden ned uden at give besked. Jeg har tidligere påpeget at fejlen lå hos surftown og ikke wordpress som I flere gange har beskyldt som værende årsag til angrebene på min side.
Jeg må indrømme, jeg finder det utroligt utilfredsstillende at serviceniveauet hos Surftown først eksiterer eller lad os sige opgraderes, når der kommer offentlig bevågenhed på problemerne.

Ser frem til en webside der fungerer.
God weekend
Christina Aros

  • 0
  • 0
Thomas Christensen

Jeg er netop blev ramt af et angreb på mine sites hos Surftown. Her har hackeren fået højere priviligier end jeg har, og har fået placeret filer, jeg ikke kunne slette. En af disse - faktisk en mappe - ved navn /1/1.txt/ var særlig ondsindet. Da jeg forsøgte at slette den via ftp udløste den en sletning af samtlige filer på mit webhotel (+10 domæner). Hvis jeg tilgik mappen via en browser fik jeg vist en Linux rod-mappe.

Surftown kan/vil ikke restore og er generelt apatiske, flabede og langsomme i deres support. De har fjernet de filer, jeg ikke selv kunne fjerne, og har efterfølgende fortalt mig, at de ikke kan se tegn på hackerangreb. Sikke nogen amatører. Jeg flytter.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize