Webhotell sperret pga. aktivt utnyttede sikkerhetshull

En tråd i 'Generell snakk' startet av Martin Ravndal, 23 Aug 2017.

  1. Martin Ravndal

    Martin Ravndal Medlem

    Innlegg:
    652
    Hei o_O

    Jeg fikk nylig en e-post fra Domeneshop, der mitt webhotell er sperret grunnet utnyttet sikkerhetshull.
    - Noen som har opplevd dette før?
    - Hva kan jeg gjøre for at dette ikke skjer igjen?

    ----------------------------
    Hei.

    Denne meldingen er automatisk generert. Vennligst les meldingen nøye
    og utfør alle endringene.

    Vi har oppdaget at sikkerhetshull i ditt webhotell har blitt misbrukt
    av datakriminelle.

    Av hensyn til sikkerhet og tjenestestabilitet har vi derfor dessverre
    sett oss nødt til å sperre webtilgang til websidene dine for andre.

    Besøkende blir møtt med en pop-up som forklarer at websidene er til
    vedlikehold, og man må ha følgende brukernavn og passord for å komme
    forbi denne:

    "Fjernet"

    Vi har foretatt en automatisk sikkerhetssjekk av filområdet på ditt
    webhotell, som har sjekket om du har skadde/skadelige filer, og om
    du har kjent programvare med kjente sikkerhetshull.

    Nedenfor følger en oppsummering av dette, og en veiledning til deg om
    hva du må gjøre for å få ryddet opp.


    ------------------------------------------------------------
    Skadelig innhold
    ------------------------------------------------------------

    Sjekken har avdekket skadelig innhold, oversikten er lagt i følgende
    fil på ditt hjemmeområde (utenfor www-mappen):

    damaged-files.txt

    For hver fil står det et stikkord som sier noe om hva problemet kan
    være, samt hvilke(t) linjenummer det gjelder.

    Vær obs på at det kan være mer skade enn dette, automatikken er ikke
    perfekt. Undersøk nærliggende filer og mapper.



    ------------------------------------------------------------
    Usikker programvare
    ------------------------------------------------------------

    Sjekken har avdekket usikker programvare, oversikten er lagt i
    følgende fil på ditt hjemmeområde (utenfor www-mappen):

    old-software.txt

    Denne viser hvilke usikre programmer vi har funnet, hvilken versjon de
    har, og hvor de fins i webhotellet ditt.

    Vær obs på at det kan være mer usikker programvare på ditt webhotell,
    vi har ikke full oversikt over all programvare som finnes, og kan ikke
    sjekke alt.

    ------------------------------------------------------------
    Veiledning - rekkefølgen er viktig
    ------------------------------------------------------------

    1. Logg inn på www.domeneshop.no og endre MySQL-passord for
    webhotellet. Bruk "Lag passord"-knappen for å få et unikt passord,
    ikke bruk dette passordet til andre ting enn MySQL.

    2. Oppdater alle konfig-filer på webhotellet med det nye
    MySQL-passordet. Innholdet av alle konfig-filer er i hendene på
    de datakriminelle.

    3. Hvis du har WordPress, så må du bytte ut hemmelighetene i
    wp-config.php, "Autentiseringsnøkler og salter" (engelsk:
    "Authentication keys and salts"). Informasjon om hvordan du gjør
    dette står i klartekst i filen wp-config.php.

    4. Rydd opp på webhotellet og fjern all skadelig kode.

    5. Undersøk filer og mapper. Dersom du finner noen filer du ikke vet
    hva er eller gjør, så bør du fjerne filene.

    6. Hvis du har programvare som "ikke er i bruk" på webhotellet, så må
    du slette programvaren fra webhotellet. Det er ikke nok å
    deaktivere programvaren, all programvare som ligger på webhotellet
    kan misbrukes utenfra.

    7. Oppdater også ALLE passord for ALLE brukere av ditt CMS (f.eks.
    Drupal, Etomite, Joomla, WordPress, osv.). Alle passord må være
    unike også her, og ikke i bruk på andre nettsteder eller til andre
    formål.

    8. Slett brukere som du ikke kjenner til.

    9. Sjekk at ingen falske epostadresser eller hjemmesider er angitt
    for de legitime brukerne.

    10. Sjekk at du følger god sikkerhetsskikk for admin-navn og
    admin-passord. Admin-brukeren kan brukes til å legge inn skadelig
    programvare på ditt nettsted.

    11. Oppgrader tilleggsmoduler (components, extensions, modules,
    plugins o.l.). Pass på kompatibiliteten til programvaren.

    12. Oppgrader din programvare til siste tilgjengelige versjon uten
    kjente sikkerhetshull.

    13. Oppgrader også temaer/maler (themes).

    14. Husk å både deaktivere og slette tilleggsmoduler og temaer/maler
    du ikke bruker.

    Etter at du har ryddet opp og oppgradert, kan du sende oss en epost
    for en sikkerhetsgjennomgang.

    Det er viktig at du da kan gjøre skriftlig rede for hvilke tiltak du har gjort, og i hvilken rekkefølge, for å unngå at dette gjentar seg.

    Hvis det er steg du ikke har utført, eller du har gjort ting i annen
    rekkefølge, så må du begrunne dette, slik at vi kan vurdere om det
    er trygt.

    Vi kan dessverre ikke ta imot muntlig redegjørelse.


    Med vennlig hilsen
    Domeneshop / Kundeservice
     
  2. thoaud

    thoaud Country manager @ Servebolt

    Innlegg:
    224
    Vi i Servebolt utøver samme praksis.
    Det du burde gjøre er å holde CMS etc oppdatert, bruke sterke passord, ikke ha "admin" osv som superadmin brukernavn osv.

    Er det WordPress det er snakk om?
     
  3. Martin Ravndal

    Martin Ravndal Medlem

    Innlegg:
    652
    Takk for godt tips :)

    Ja, det er Wordpress.
     
  4. Pong

    Pong Jeg selger sʇɥƃıluʍop :)

    Innlegg:
    3.454
    Kan være WP selv (som du vet om alt, rett fra admin dashbord) eller moduler som WP bruker.

    Men mest sannsynlig er det en gammel plugin.
    Hvis du installerer plugin "redirection" så oppdager du lett kjente hull - bots prøver seg på de og hvis du ikke har akkurat det plugin eller themet installert får du en 404 som redirection plukker opp.
     
  5. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    Kan du ikke liste opp de pluginsene du kjører her i denne tråden?
     
  6. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.931
    De filene som heter damaged-files.txt og old-software.txt. Hva står det i de? Eller dvs., der står det om problemene :)
     
  7. Martin Ravndal

    Martin Ravndal Medlem

    Innlegg:
    652
    Jeg har kun installert dette dette designet: Themeforest - Newspaper
     
  8. Pong

    Pong Jeg selger sʇɥƃıluʍop :)

    Innlegg:
    3.454
    Den kom sannsynlig med noen plugins - deribland en slider og en pagebuilder plugin?
    Du kan sjekke listen, men som DS skriver (tror jeg) er problemfilene listet i .txt filen de nevner?
     
  9. Marius_J

    Marius_J Certified Ethical Hacker

    Innlegg:
    475
    Sårbarheten her kan være så mye. Men en host reagerer først på en hacket nettside når den starter eksempel å sende ut store mengder med spam eller er mye virus der eksempel. Var mange hackete nettsider vi ikke oppdaget også.

    ( Jobber for noen av Norges største hosting firmaer)

    Thema ifra Themeforest følger gjerne med plugins osv.

    Endre wp-admin login, ha et sikkert passord, installer wordfence, ikke bruke admin som brukernavn. Alt dette er jo alt nevnt i tråden her.

    Men har du først blitt hacket så er det en tidskrevende prosess å rydde opp om man ikke vet hva de har hacket? Eller hva de har gjort.

    Restore fra backup er enkleste mulighet mange ganger.
     
    Martin Ravndal liker dette.
  10. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.931
    Martin Ravndal liker dette.
  11. thoaud

    thoaud Country manager @ Servebolt

    Innlegg:
    224

Del denne siden