---

Hej alle.

Her i weekenden har der været hijacking (eller hvad det nu hedder) af alle
Unoeuro's (NT) servere.

Det viser sig ved, at samtlige html og asp filer bliver sendt med et
indledende <script> tag, som naturligvis henviser til en eller anden slags
malware til sidst.

Det bekymrende er, at man intervenerer på selve HTTP responsen, og ikke ved
at lægge, eller rette, filer på serveren.

Endnu mere bekymrende er, at man tilsyneladende kan 'fjernstyre' lortet.
Det startede fredag aften, måske en times tid, og så væk igen.
Et par timer lørdag, væk igen, og igen søndag, og så væk igen.

Når jeg skrive væk igen, er det <script> injectionen, og ikke malwaren.

Men hvordan gør de det?

Umiddelbart tænker jeg på et ISAPI filter, men det skal jo konfigureres ind
i IIS.

Intervenering på netværkslaget er også en mulighed, men vil det ikke være
for bøvlet at sortere HTTP responses fra.

En lille proxy måske ?

Men kort og godt, findes der fortilfælde hvor man på den måde inficerer
samtlige sider qpå samtlige servere hos en given udbyder?

Jeg har ikke noget med Unoeuro at gøre og har i sagens natur heller ikke
adgang til serverne, så jeg spørger blot af nysgerrighed.

Men særdeles alvorligt er det, da der er tale om _virkelig_ mange sider og
domæner, så 'kundemassen' er stor.

--
Med venlig hilsen
Stig Johansen