Webhotell sperret pga. aktivt utnyttede sikkerhetshull

Martin R

Medlem
Hei o_O

Jeg fikk nylig en e-post fra Domeneshop, der mitt webhotell er sperret grunnet utnyttet sikkerhetshull.
- Noen som har opplevd dette før?
- Hva kan jeg gjøre for at dette ikke skjer igjen?

----------------------------
Hei.

Denne meldingen er automatisk generert. Vennligst les meldingen nøye
og utfør alle endringene.

Vi har oppdaget at sikkerhetshull i ditt webhotell har blitt misbrukt
av datakriminelle.

Av hensyn til sikkerhet og tjenestestabilitet har vi derfor dessverre
sett oss nødt til å sperre webtilgang til websidene dine for andre.

Besøkende blir møtt med en pop-up som forklarer at websidene er til
vedlikehold, og man må ha følgende brukernavn og passord for å komme
forbi denne:

"Fjernet"

Vi har foretatt en automatisk sikkerhetssjekk av filområdet på ditt
webhotell, som har sjekket om du har skadde/skadelige filer, og om
du har kjent programvare med kjente sikkerhetshull.

Nedenfor følger en oppsummering av dette, og en veiledning til deg om
hva du må gjøre for å få ryddet opp.


------------------------------------------------------------
Skadelig innhold
------------------------------------------------------------

Sjekken har avdekket skadelig innhold, oversikten er lagt i følgende
fil på ditt hjemmeområde (utenfor www-mappen):

damaged-files.txt

For hver fil står det et stikkord som sier noe om hva problemet kan
være, samt hvilke(t) linjenummer det gjelder.

Vær obs på at det kan være mer skade enn dette, automatikken er ikke
perfekt. Undersøk nærliggende filer og mapper.



------------------------------------------------------------
Usikker programvare
------------------------------------------------------------

Sjekken har avdekket usikker programvare, oversikten er lagt i
følgende fil på ditt hjemmeområde (utenfor www-mappen):

old-software.txt

Denne viser hvilke usikre programmer vi har funnet, hvilken versjon de
har, og hvor de fins i webhotellet ditt.

Vær obs på at det kan være mer usikker programvare på ditt webhotell,
vi har ikke full oversikt over all programvare som finnes, og kan ikke
sjekke alt.

------------------------------------------------------------
Veiledning - rekkefølgen er viktig
------------------------------------------------------------

1. Logg inn på www.domeneshop.no og endre MySQL-passord for
webhotellet. Bruk "Lag passord"-knappen for å få et unikt passord,
ikke bruk dette passordet til andre ting enn MySQL.

2. Oppdater alle konfig-filer på webhotellet med det nye
MySQL-passordet. Innholdet av alle konfig-filer er i hendene på
de datakriminelle.

3. Hvis du har WordPress, så må du bytte ut hemmelighetene i
wp-config.php, "Autentiseringsnøkler og salter" (engelsk:
"Authentication keys and salts"). Informasjon om hvordan du gjør
dette står i klartekst i filen wp-config.php.

4. Rydd opp på webhotellet og fjern all skadelig kode.

5. Undersøk filer og mapper. Dersom du finner noen filer du ikke vet
hva er eller gjør, så bør du fjerne filene.

6. Hvis du har programvare som "ikke er i bruk" på webhotellet, så må
du slette programvaren fra webhotellet. Det er ikke nok å
deaktivere programvaren, all programvare som ligger på webhotellet
kan misbrukes utenfra.

7. Oppdater også ALLE passord for ALLE brukere av ditt CMS (f.eks.
Drupal, Etomite, Joomla, WordPress, osv.). Alle passord må være
unike også her, og ikke i bruk på andre nettsteder eller til andre
formål.

8. Slett brukere som du ikke kjenner til.

9. Sjekk at ingen falske epostadresser eller hjemmesider er angitt
for de legitime brukerne.

10. Sjekk at du følger god sikkerhetsskikk for admin-navn og
admin-passord. Admin-brukeren kan brukes til å legge inn skadelig
programvare på ditt nettsted.

11. Oppgrader tilleggsmoduler (components, extensions, modules,
plugins o.l.). Pass på kompatibiliteten til programvaren.

12. Oppgrader din programvare til siste tilgjengelige versjon uten
kjente sikkerhetshull.

13. Oppgrader også temaer/maler (themes).

14. Husk å både deaktivere og slette tilleggsmoduler og temaer/maler
du ikke bruker.

Etter at du har ryddet opp og oppgradert, kan du sende oss en epost
for en sikkerhetsgjennomgang.

Det er viktig at du da kan gjøre skriftlig rede for hvilke tiltak du har gjort, og i hvilken rekkefølge, for å unngå at dette gjentar seg.

Hvis det er steg du ikke har utført, eller du har gjort ting i annen
rekkefølge, så må du begrunne dette, slik at vi kan vurdere om det
er trygt.

Vi kan dessverre ikke ta imot muntlig redegjørelse.


Med vennlig hilsen
Domeneshop / Kundeservice
 

Pong

Jeg selger sʇɥƃıluʍop :)
Kan være WP selv (som du vet om alt, rett fra admin dashbord) eller moduler som WP bruker.

Men mest sannsynlig er det en gammel plugin.
Hvis du installerer plugin "redirection" så oppdager du lett kjente hull - bots prøver seg på de og hvis du ikke har akkurat det plugin eller themet installert får du en 404 som redirection plukker opp.
 

Marius_J

Social Engineer
Sårbarheten her kan være så mye. Men en host reagerer først på en hacket nettside når den starter eksempel å sende ut store mengder med spam eller er mye virus der eksempel. Var mange hackete nettsider vi ikke oppdaget også.

( Jobber for noen av Norges største hosting firmaer)

Thema ifra Themeforest følger gjerne med plugins osv.

Endre wp-admin login, ha et sikkert passord, installer wordfence, ikke bruke admin som brukernavn. Alt dette er jo alt nevnt i tråden her.

Men har du først blitt hacket så er det en tidskrevende prosess å rydde opp om man ikke vet hva de har hacket? Eller hva de har gjort.

Restore fra backup er enkleste mulighet mange ganger.
 
Topp