Hei Jeg fikk nylig en e-post fra Domeneshop, der mitt webhotell er sperret grunnet utnyttet sikkerhetshull. - Noen som har opplevd dette før? - Hva kan jeg gjøre for at dette ikke skjer igjen? ---------------------------- Hei. Denne meldingen er automatisk generert. Vennligst les meldingen nøye og utfør alle endringene. Vi har oppdaget at sikkerhetshull i ditt webhotell har blitt misbrukt av datakriminelle. Av hensyn til sikkerhet og tjenestestabilitet har vi derfor dessverre sett oss nødt til å sperre webtilgang til websidene dine for andre. Besøkende blir møtt med en pop-up som forklarer at websidene er til vedlikehold, og man må ha følgende brukernavn og passord for å komme forbi denne: "Fjernet" Vi har foretatt en automatisk sikkerhetssjekk av filområdet på ditt webhotell, som har sjekket om du har skadde/skadelige filer, og om du har kjent programvare med kjente sikkerhetshull. Nedenfor følger en oppsummering av dette, og en veiledning til deg om hva du må gjøre for å få ryddet opp. ------------------------------------------------------------ Skadelig innhold ------------------------------------------------------------ Sjekken har avdekket skadelig innhold, oversikten er lagt i følgende fil på ditt hjemmeområde (utenfor www-mappen): damaged-files.txt For hver fil står det et stikkord som sier noe om hva problemet kan være, samt hvilke(t) linjenummer det gjelder. Vær obs på at det kan være mer skade enn dette, automatikken er ikke perfekt. Undersøk nærliggende filer og mapper. ------------------------------------------------------------ Usikker programvare ------------------------------------------------------------ Sjekken har avdekket usikker programvare, oversikten er lagt i følgende fil på ditt hjemmeområde (utenfor www-mappen): old-software.txt Denne viser hvilke usikre programmer vi har funnet, hvilken versjon de har, og hvor de fins i webhotellet ditt. Vær obs på at det kan være mer usikker programvare på ditt webhotell, vi har ikke full oversikt over all programvare som finnes, og kan ikke sjekke alt. ------------------------------------------------------------ Veiledning - rekkefølgen er viktig ------------------------------------------------------------ 1. Logg inn på www.domeneshop.no og endre MySQL-passord for webhotellet. Bruk "Lag passord"-knappen for å få et unikt passord, ikke bruk dette passordet til andre ting enn MySQL. 2. Oppdater alle konfig-filer på webhotellet med det nye MySQL-passordet. Innholdet av alle konfig-filer er i hendene på de datakriminelle. 3. Hvis du har WordPress, så må du bytte ut hemmelighetene i wp-config.php, "Autentiseringsnøkler og salter" (engelsk: "Authentication keys and salts"). Informasjon om hvordan du gjør dette står i klartekst i filen wp-config.php. 4. Rydd opp på webhotellet og fjern all skadelig kode. 5. Undersøk filer og mapper. Dersom du finner noen filer du ikke vet hva er eller gjør, så bør du fjerne filene. 6. Hvis du har programvare som "ikke er i bruk" på webhotellet, så må du slette programvaren fra webhotellet. Det er ikke nok å deaktivere programvaren, all programvare som ligger på webhotellet kan misbrukes utenfra. 7. Oppdater også ALLE passord for ALLE brukere av ditt CMS (f.eks. Drupal, Etomite, Joomla, WordPress, osv.). Alle passord må være unike også her, og ikke i bruk på andre nettsteder eller til andre formål. 8. Slett brukere som du ikke kjenner til. 9. Sjekk at ingen falske epostadresser eller hjemmesider er angitt for de legitime brukerne. 10. Sjekk at du følger god sikkerhetsskikk for admin-navn og admin-passord. Admin-brukeren kan brukes til å legge inn skadelig programvare på ditt nettsted. 11. Oppgrader tilleggsmoduler (components, extensions, modules, plugins o.l.). Pass på kompatibiliteten til programvaren. 12. Oppgrader din programvare til siste tilgjengelige versjon uten kjente sikkerhetshull. 13. Oppgrader også temaer/maler (themes). 14. Husk å både deaktivere og slette tilleggsmoduler og temaer/maler du ikke bruker. Etter at du har ryddet opp og oppgradert, kan du sende oss en epost for en sikkerhetsgjennomgang. Det er viktig at du da kan gjøre skriftlig rede for hvilke tiltak du har gjort, og i hvilken rekkefølge, for å unngå at dette gjentar seg. Hvis det er steg du ikke har utført, eller du har gjort ting i annen rekkefølge, så må du begrunne dette, slik at vi kan vurdere om det er trygt. Vi kan dessverre ikke ta imot muntlig redegjørelse. Med vennlig hilsen Domeneshop / Kundeservice
Vi i Servebolt utøver samme praksis. Det du burde gjøre er å holde CMS etc oppdatert, bruke sterke passord, ikke ha "admin" osv som superadmin brukernavn osv. Er det WordPress det er snakk om?
Kan være WP selv (som du vet om alt, rett fra admin dashbord) eller moduler som WP bruker. Men mest sannsynlig er det en gammel plugin. Hvis du installerer plugin "redirection" så oppdager du lett kjente hull - bots prøver seg på de og hvis du ikke har akkurat det plugin eller themet installert får du en 404 som redirection plukker opp.
De filene som heter damaged-files.txt og old-software.txt. Hva står det i de? Eller dvs., der står det om problemene
Den kom sannsynlig med noen plugins - deribland en slider og en pagebuilder plugin? Du kan sjekke listen, men som DS skriver (tror jeg) er problemfilene listet i .txt filen de nevner?
Sårbarheten her kan være så mye. Men en host reagerer først på en hacket nettside når den starter eksempel å sende ut store mengder med spam eller er mye virus der eksempel. Var mange hackete nettsider vi ikke oppdaget også. ( Jobber for noen av Norges største hosting firmaer) Thema ifra Themeforest følger gjerne med plugins osv. Endre wp-admin login, ha et sikkert passord, installer wordfence, ikke bruke admin som brukernavn. Alt dette er jo alt nevnt i tråden her. Men har du først blitt hacket så er det en tidskrevende prosess å rydde opp om man ikke vet hva de har hacket? Eller hva de har gjort. Restore fra backup er enkleste mulighet mange ganger.
Send meg filene damaged-files.txt og old-software.txt så skal jeg se om jeg kan hjelpe deg. tonny@tonny.no
