Da Hardware-nettverket ble angrepet

Vi fortalte tidligere i uken om at "ubudne gjester" hadde vært på besøk på en av våre servere. Mer konkret, den serveren som hoster en rekke av Hardware.no sine søstersider. "Innbruddstyvene" overskrev indeks-filer, typisk forsidene på de respektive nettstedene, men også forsidene på tester og andre artikler. Disse indeks-filene ble overskrevet med et bilde som inneholdt antiamerikansk propaganda.

Siden de som brøt seg inn faktisk gjorde skade på materiell, velger vi å kalle disse for "crackere". En cracker er en som bryter seg inn i andres datasystemer for å volde skade, for å fremme personlig vinning etc. Crackere opererer ut i fra et "ondsinnet" perspektiv, og benytter seg av teknikker og verktøy som allerede er kjente og tilgjengelige.

Man kan kanskje si at dette var et "snilt" angrep, i og med at ikke enda større skade ble voldt. I etterkant av denne hendelsen måtte det likevel en relativt stor arbeidsinnsats til. Dette inkluderte å gjenopprette filer fra sikkerhetskopier og foreta full reinstallasjon av operativsystem og programvare på serveren.

Hvorfor ble så Hardware.no sine søstersider angrepet? Vel, det har neppe noe med innholdet på sidene å gjøre. Crackere angriper alt mellom himmel og ord, fra offentlige nettsteder til mer kommersielle foretak. Det gjelder bare å finne frem til en server som er sårbar for angrep.

I dette tilfellet var det noe i utgangspunktet så uskyldig som et lite PHP-skript som åpnet døren til serveren vår. Flere av våre søstersider, Hardware.no inkludert, har i lengre tid benyttet et PHP-skript for å gjennomføre spørreundersøkelser (polls). Nærmere bestemt er det skriptet Advanced Poll 2.0.2 som er skyld i at vi ble cracket i går. Det viser seg nå at dette skriptet har hatt et alvorlig sikkerhetshull siden oktober i fjor. Mer detaljert informasjon her og her.

Sikkerhetshullet i Advanced Poll gav crackerne mulighet til å legge inn et såkalt "rootkit". Dette rootkittet åpnet for bakdører, samt la inn "trojaniserte" versjoner av en del verktøy for systemovervåking, for å skjule seg bedre. Det finnes en måte å omgå dette sikkerhetshullet på som vi vil kikke nærmere på, men inntil videre har vi fjernet dette PHP-skriptet fra alle sidene våre.

Angrepet ble utført av en gruppe som har som hobby å "deface" sider på denne måten, for å få status i "wannabe-hacker"-miljøet. Mye tyder på at angrepet hadde sin opprinnelse i Brasil. Vi er i besittelse av logger fra angrepet som inntrengerne ikke klarte å slette, men trolig har angrepet foregått fra en maskin som tidligere er blitt cracket.

Til syvende og sist er det selvsagt det enkelte nettsted, eller drifter av et sådant, sitt ansvar å påse at sikkerheten til enhver tid er opp til pari. Hardware.no med søstersider har iallfall nå fått en kraftig vekker, som vil føre til strengere sikkerhetsrutiner her i gården i fremtiden.

Det er enda ikke avgjort om vi på noen måte vil forfølge hendelsen ytterligere.

Saken kan diskuteres i forumet vårt.

PS: I skrivende stund er søstersidene våre og enkelte "feeder" tatt ned, på grunn av reinstallasjon av OS og programvare. De vil etter planen være tilbake på nett i løpet av dagen.

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen