Hackerangrep rammet OnNet sin Linux plattform


politi-google-microsoft

IKTnytt.no gikk dessverre ned i går rett før lunch som et resultat av et alvorlig hackerangrep på OnNet sin Linux plattform.

Hackerangrepet rammet 970 nettsteder på OnNet sin cPanel/WordPress server, deriblant IKTnytt.no.

Angrepet rammet ikke brukerne av OnNet sin Windows plattform, vanlige Linux brukere, MailOnNet plattformen eller de som kun har et mailhotell hos OnNet. Angrepet rammet bare hjemmesidene som lå på serveren som ble angrepet. Ingen epost-, ftp- eller database tjenester ble rammet, og ingen data har godt tapt. Nedetiden ble totalt 9 timer for de berørte nettstedene.

Defaceing

Hackerangrepet var et defacing angrep fra en kyrdisk hackergruppe som kaller seg «SA3D Hack3D». Defacing vil si at alle oppstartsfiler, dvs. filer med navnet index.php, index.html, index.htm og index.shtml, ble overskrevet med en ny fil som inneholdt skadelige koder. I tillegg ble det lagt ut en fil med navn x.html som inneholdt hackerbudskapet som startet etter at den ondsinnede koden i index-filen var kjørt.

Ukjent taktikk

Nøyaktig hvordan hackergruppen har klart å trenge seg inn i systemet er ennå ikke klart. OnNet sier at de har prioritert å få opp tjenestene igjen, før de starter arbeidet med å kartlegge hvordan angrepet er blitt utført.

– Hvordan hackerne har klart å komme seg inn, og hva OnNet kommer til å gjøre for å stoppe lignende angrep i fremtiden vil vi komme tilbake til når vi har resultatene fra vår egen interne undersøkelse, sier Kjetil Sander, daglig ledere i OnNet AS.

Kraftig økning i antall hackerangrep det siste året

Antall hackerforsøk rettet mot OnNet sine servere har eksplodert det siste året, og bekrefter bare den generelle trenden vi ser i hele Norge. Antall kyberangrep mot norske virksomheter og nettsteder har mer en doblet seg det siste året.

– Mens vi en gjennomsnittdag i første halvår 2012 hadde mellom 4.500 – 5.500 ulovelig påloggingsforsøk hver dag, viser loggene våre at antall ulovlige påloggingsforsøk har økt til mellom 16.000 – 17.500 i første halvår i år, sier Sander til IKTnytt.no.

Dette er mer enn en tredobling i antall ulovlige pålogginsforsøk på ett år.

Et raskt søk i Google etter «SA3D Hack3D» viser at gruppen har vært aktive i mange år, og at det ser ut til at de har spesialisert seg på å angripe WordPress nettsteder og servere som hoster WordPress nettsteder, slik tilfellet var med OnNet sin server. At WordPress om verdens mest populære publiserings- og bloggløsning er et populært offer for hackere er ikke noe nytt. Tidligere i år har vi skrevet om et stort verdensomfattende angrep på alle WordPress nettsteder.

Stor skade fra profesjonelle hackere

– Angrepet er utført av svært profesjonelle, sier Sander som har sett mange hackerforsøk og hackerangrep siden han etablerte sitt første hosting selskap for snart 20 år siden.

– De har ikke bare klart å kjøre kommandoer med administrator rettigheter, men de har også klart å lage flere bakdører som de kan bruke i fremtiden for å få tilgang til systemet igjen. At de samtidig har klart å endre kritiske systemfiler og slette den lokale backupen på serveren som inneholder mellomlagring av brukernes egne backuper av webhotellet, viser bare at disse hackerne er svært profesjonelle og formålet deres har vært å ødelegge og få «defacing hits» i sitt hackernettverk, fortsetter han.

På grunn av alvorsgraden i hackerangrepet, valgte OnNet ikke å kjøre tilbake en full backup av serveren. Etter å ha gjennomgått de daglige backupene den siste uken, og sammenlignet dem med master backupen fra forrige måned, så OnNet at hackerne har vært på serveren en god stund før de slo til og startet sin defacing.

OnNet valgte istedenfor å sette opp en helt ny cPanel/WordPress server for å være sikker på at hackerne ikke har noen bakdører inn til serveren igjen. Deretter ble den siste backupen av brukerdataene kjørt tilbake, før alle index-filene ble overskrevet med en eldre backup som ikke inneholdt noen spor etter hackerne. Til slutt ble et skript kjørt for å slette alle forekomster av filen x.html som også fantes i backuper som var tatt 1 uke før hackerne utløste ditt defacing angrep.

– Skulle noen fortsatt klare å finne en fil med navnet x.html som ligger på root eller i en av mappene dine, må du slette filen umiddelbart, sier Sander.

Ingen systemer er idiot sikre

OnNet har vært utsatt for mange hackerangrep de siste 10 årene. Sist gang noen klarte å bryte seg inn på en av selskapets servere var i 2011, når noen klarte å komme seg inn via en brukerkonto med et svakt passord og 777-rettigheter på «/images» og «/admin» mappen. Også den gang klarte hackerne å deface flere nettsteder ved hjelp av russisk hacker programvare som var lastet opp til serveren.

Etter dette angrepet investerte OnNet i flere nye sikkerhetssystemer og bruker rutinene ble gjort om noe for å sikre at hackere ikke skulle klare å komme seg inn via et svakt passord og svake rettigheter på brukermappene til en av brukerne på serveren.

– Ingen systemer som skal være åpne for et stort antall brukere er idiotsikre. Det vil alltid måtte bli en avveining mellom sikkerhet og funksjonalitet. Du kan sjelden oppnå begge deler samtidig, avslutter Sander med.

Hvilke endringer OnNet kommer til å gjøre som et resultat av dette hackerangrepet ønsker Sander ikke å spekulere i, da det ennå ikke er fastslått hvordan angrepet er utført i detalj, men at det kommer til å bli endringer er helt sikkert opplyses det.

– Ingenting er statisk, ihvertfall ikke sikkerhetspolicyen til OnNet, skyter Sander inn.

Datainnbruddet anmeldes mandag

Hackerangrepet vil bli Politi anmeldt på mandag morgen, opplyser OnNet.

De oppfordrer samtidig alle andre som blir utsatt for kyberangrep til åpenhet omkring dette og Politianmelde forholdet, slik TeleNor blant annet har gått i bresjen for.

Kun gjennom å få opp øyne for hvilken skade et hackerangrep kan få for nettopp din virksomhet, kan vi klare å redusere det stadig større gapet mellom risiko og sikkerhetstiltak i det norske trusselbildet.

Les også: Sikkerhetshull i cPanel er sannsynlig årsak til hacker angrepet på OnNet

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: