On Wed, Dec 7, 2011 at 7:12 PM, Andy Isaacson <span dir="ltr"><<a href="mailto:adi@hexapodia.org">adi@hexapodia.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On Wed, Dec 07, 2011 at 05:46:46PM -0800, Jeff Tchang wrote:<br>
> Definitely would be interested in knowing what you find.<br>
<br>
</div>Lots of 2 and 3 year old PHP scripts in globally accessible URLs.<br>
Probably one of them had a bug giving code execution or file upload;<br>
that was used to upload some obfuscated PHP, leveraged to upload<br>
.htaccess files that 301 and 302 requests over to a .ru spam<br>
site.<br>
<br>
Admin was using strong passwords, did not use unencrypted protocols (ssh<br>
and HTTPS for all admin access), and is unlikely to have keylogger<br>
malware on machines used to admin.<br>
<br>
It's possible that dreamhost has a larger compromise, but far more<br>
likely is that an ancient script gave access.<br></blockquote><div><br></div><div>Part of Dreamhost's value proposition for customers is that they'll extract a fresh Wordpress tarball and setup Apache for you.</div>
<div><br></div><div>I would hope that with that information that they could automatically upgrade outdated installs automatically. That said, I can understand how some would hate such a feature changing files out from underneath them.</div>
<div><br></div><div>--j</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<span class="HOEnZb"><font color="#888888"><br>
-andy<br>
</font></span></blockquote></div><br>