Oppsummering av hacker angrepet mot OnNet sin cPanel/WordPress plattform.


oppsummering-hacker-angrep

OnNet har i dag sluppet en pressemelding som oppsummerer hacker angrepet mot selskapets Linux plattform 5 juli 2013. Et angrep som berørte i underkant 1.000 nettsteder på OnNet sin cPanel/WordPress plattform.

Et målrettet angrep:

– Dette er et målrettet angrep som er godt planlagt, sier Kjetil Sander, daglig leder i OnNet AS. Før han fortsetter:

– Gjennom flere intensive brut-force attack fra et stort bot-nett mot WordPress plattformen hos OnNet i mai og juni, lyktes de antagelig å knekke brukernavnet og passordet til en av brukerne på serveren i medio juni. Det var i hvertfall da brute-force angrepene sluttet, sier Sander.

– Frem til 5 juli brukte de tiden til å kartlegge serveren og prøve å få tilgang til ulike deler av systemet, uten å bli oppdaget av serverens overvåkningssystemer og brannmurer. De fant et sikkerhetshull i cPanel som kundene benytter til å styre tjenestene som inngår i webhotellet de leier, og klarte å finne en måte å kjøre skript med administrator rettigheter. De klarte imidlertid ikke å finne noen måter å få kontakt med navnetjenerne, mail serveren eller database serveren som er skilt ut som dedikerte servere fra web-serveren. Når de gav dette opp 5 juli, startet de sitt første deface angrep på alle «root» mapper de fant på «home» partisonen. Lengre kom de ikke, fortsetter Sander med.

IKTnytt.no har tidligere skrevet om dette sikkerhetshullet og hvordan cPanel har prøvd å hjelpe OnNet med å løse dette problemet.

– Siden hackerne hadde planlagt dette på forhånd, hadde de lagt ut 1 ekstra fil i /images/ mappen til alle kunder 2 uker før angrepet startet. Det spesielle var at ingen filer hadde det samme navnet eller fil-størrelsen, slik at det skulle være vanskelig å finne alle filene når de ble oppdaget. Denne filen var et lite skript de kunne få kontakt med fra utsiden for å komme seg inn igjen. Filen var kryptert gjorde ikke noe annet enn å trigge en annen skjult fil på systemet. Denne skulte filen gjorde så skadene. Flere siter fikk også .htaccess filen sin endret for å gi hackerne skriverettigheter i fremtiden, hvis de trengte å bruke denne siten som inngangsdør. Disse endringene ble gjennomført gjennom SSH, Flere andre bakdører ble også oppdaget, uten at jeg ønsker å komme nærmere inn på dem av sikkerhetsmessige hensyn, sier Sander.

3 personer fra Nederland, Kasakstan og Kina er identifisert

OnNet sier at de har klart å spore angrepene tilbake til minst 3 identifiserbare personer gjennom deres overvåknings- og sporingssystemer. Angrepene mot Linux plattformen til OnNet har vært utført via både et bot-nett, og en hackergruppe som har koplet seg på serveren via proxyer og VPN-er. Disse er sporet og bedt nedlagt, samtidig som brukeropplysningene er bedt oversendt til Politiet i Oslo, sammen med OnNet sine egne logger som sporer tilbake til 3 personer.

OnNet har også bedt Facebook, Twitter og YouTube om å utlevere informasjon om brukere som har vært involvert i defasingen. Siden som ble lagt ut inneholdt koblinger til ulike Facebook, Twitter og YouTube kontoer med reklame. OnNet har bedt om å få vite hvem som eier disse kontoene og hvem som har lastet opp materialet til YouTube. Dette materialet er bedt oversendt til Politiet.

1 måned gamle index-filer er måtte kjøres tilbake

Ettersom det tok over 1 uke før cPanel sine senior konsulenter klarte å komme opp med bug-fix som klarte å rette sikkerhetshullene hackerne utnyttet i kjernen, ble OnNet sine nettsteder daglig defacet fra 5 juli til 13 juli. Det eneste OnNet kunne gjøre var å kjøre tilbake en eldre backup. Siden sporene pekte over 2 uker tilbake i tid, måtte OnNet kjøre tilbake 1 måned gamle backuper av alle index.-filene som ble defacet. I tillegg måtte en x.html fil i alle mapper og undermapper slettes, sammen med ulike varianter av index-filen (index.htm, index.html,index.php).

Flere nye sikkerhetssystemer er allerede installert

– Flere av sikkerhetskomponentene i cPanel som vi tidligere har trodd var svært trygge, har vi nå mistet tilliten til, sier Sander. De er byttet ut med andre utprøvde komponenter vi har fått anbefalt av våre sikkerhetsrådigere. Hvilke komponenter som er byttet ut med hva, ønsker jeg naturlig nok ikke å kommentere, sier Sander.

– I tillegg har vi installert flere nye root-kit, phirsing, virus, spam og malware scannere installert på cPanel plattformen for å fange opp sikkerhetssjekker cPanel ikke tar høyde for eller har gode systemer for. Vi har også satt opp en ekstra software brannmur på cPanel, i tillegg til den eksisterende nettverks brannmuren vi har, mer kan jeg ikke si om dette, sier Sander motvillig til IKTnytt.no.

Treg server med mye nedetid frem til 30 juli

For å være sikker på at alle bakdører er funnet og fjernet, er server parken ikke bare blitt re-installert en gang, men hele to ganger. Dette har tatt tid og medført overføring av enormt svære menger data over nettet til OnNet, og har gått ut over hastigheten på alle tjenestene. Hackerne klarte også å ødelegge eller slette alle midlertidige kunde backuper og alle logger på brukernivå. Mye server kraft og båndbredde har blitt brukt til å reskape disse, og også dette kan ha gått utover ytelsen på våre tjenester, heter det i meldingen fra OnNet.

Sjekk fil rettighetene og bytt passord på cPanel og WordPress regelmessig

OnNet oppfordrer sine kunder til å sjekke filrettighetene til sine mapper og filer, og passe på at ingen filer eller mapper har 777-rettigheter. Det vil si fulle skrive rettigheter. Har en mappe dette kan hvem som helst laste opp filer og skript opp til denne mappen. Disse rettighetene kan du selv sjekke og endre ved å logge inn på cPanel og gå til Filemanager. Mange programmer setter slike rettigheter selv av ulike grunner. Sjekk derfor alltid mappene dine hver gang du installerer noe på nettstedet ditt, oppfordrer OnNet sine kunder.

Hacker angrepet mot OnNet startet gjennom at hackerne klarte å knekke passordet til en brukerkonto. OnNet oppfordrer derfor alle sine kunder til å bytte passord på alle sine tjenester regelmessig og sørge for at de bruker et passord bestående av minimum 8 tegn, med bruk av både tall og store og små bokstaver.

Fjern Front Page Server Extention hvis du ikke bruker FrontPage

Linux serverne støtter fortsatt FrontPage. Alle webhotell har derfor default installert FrontPage Server Extention. Hvis du ikke bruker denne publisingering løsningen anbefaler OnNet at du logger deg inn på cPanel og avinstallerer FrontPage Server Extention på ditt webhotell. Dette fordi FrontPage er et potensielt sikkerhetshull. Det ble funnet flere tilfeller gjemte filer i FrontPage system mapper, dvs. _vti… mapper.

Meld om feil og problemer til OnNet

OnNet ber sine kunder sjekke sine hjemmesider og kontrollpanel og gi dem en tilbakemelding på post@onent.no hvis de fortsatt skulle ha problemer etter hacker angrepet.

 

 

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: