Da Hardware-nettverket ble angrepet

Vi fortalte tidligere i uken om at "ubudne gjester" hadde vært på besøk på en av våre servere. Mer konkret, den serveren som hoster en rekke av Hardware.no sine søstersider. "Innbruddstyvene" overskrev indeks-filer, typisk forsidene på de respektive nettstedene, men også forsidene på tester og andre artikler. Disse indeks-filene ble overskrevet med et bilde som inneholdt antiamerikansk propaganda.

Siden de som brøt seg inn faktisk gjorde skade på materiell, velger vi å kalle disse for "crackere". En cracker er en som bryter seg inn i andres datasystemer for å volde skade, for å fremme personlig vinning etc. Crackere opererer ut i fra et "ondsinnet" perspektiv, og benytter seg av teknikker og verktøy som allerede er kjente og tilgjengelige.

Man kan kanskje si at dette var et "snilt" angrep, i og med at ikke enda større skade ble voldt. I etterkant av denne hendelsen måtte det likevel en relativt stor arbeidsinnsats til. Dette inkluderte å gjenopprette filer fra sikkerhetskopier og foreta full reinstallasjon av operativsystem og programvare på serveren.

Hvorfor ble så Hardware.no sine søstersider angrepet? Vel, det har neppe noe med innholdet på sidene å gjøre. Crackere angriper alt mellom himmel og ord, fra offentlige nettsteder til mer kommersielle foretak. Det gjelder bare å finne frem til en server som er sårbar for angrep.

I dette tilfellet var det noe i utgangspunktet så uskyldig som et lite PHP-skript som åpnet døren til serveren vår. Flere av våre søstersider, Hardware.no inkludert, har i lengre tid benyttet et PHP-skript for å gjennomføre spørreundersøkelser (polls). Nærmere bestemt er det skriptet Advanced Poll 2.0.2 som er skyld i at vi ble cracket i går. Det viser seg nå at dette skriptet har hatt et alvorlig sikkerhetshull siden oktober i fjor. Mer detaljert informasjon her og her.

Sikkerhetshullet i Advanced Poll gav crackerne mulighet til å legge inn et såkalt "rootkit". Dette rootkittet åpnet for bakdører, samt la inn "trojaniserte" versjoner av en del verktøy for systemovervåking, for å skjule seg bedre. Det finnes en måte å omgå dette sikkerhetshullet på som vi vil kikke nærmere på, men inntil videre har vi fjernet dette PHP-skriptet fra alle sidene våre.

Angrepet ble utført av en gruppe som har som hobby å "deface" sider på denne måten, for å få status i "wannabe-hacker"-miljøet. Mye tyder på at angrepet hadde sin opprinnelse i Brasil. Vi er i besittelse av logger fra angrepet som inntrengerne ikke klarte å slette, men trolig har angrepet foregått fra en maskin som tidligere er blitt cracket.

Til syvende og sist er det selvsagt det enkelte nettsted, eller drifter av et sådant, sitt ansvar å påse at sikkerheten til enhver tid er opp til pari. Hardware.no med søstersider har iallfall nå fått en kraftig vekker, som vil føre til strengere sikkerhetsrutiner her i gården i fremtiden.

Det er enda ikke avgjort om vi på noen måte vil forfølge hendelsen ytterligere.

Saken kan diskuteres i forumet vårt.

PS: I skrivende stund er søstersidene våre og enkelte "feeder" tatt ned, på grunn av reinstallasjon av OS og programvare. De vil etter planen være tilbake på nett i løpet av dagen.

Les også
Påførte skader for 280 millioner
Les også
"Virusbeskyttelse" i Athlon 64 og Prescott
Les også
Saksøker over kopibeskyttelse
Les også
Frykter enda dårligere tider for datasikkerhet
Les også
Brikkesett med brannmur fra Nvidia
Les også
Massive angrep mot SCO webside
Les også
Alvorlig sikkerhetshull rammer Linux
Les også
Tilbyr gratis anti-virus
Les også
Politiet henlegger cracker-sak
annonse