Sikkerhetshull i cPanel er sannsynlig årsak til hacker angrepet på OnNet


cpanel-hacked

Hackerangrepet på OnNet sin Linux plattform på fredag som bl.a. resulterte i at IKTnytt.no gikk ned skyldes et alvorlig sikkerhetshull i cPanel, viser en foreløpig rapport fra OnNet.

Hva er cPanel?

cPanel er verdens mest benyttede kontrollpanel for webservere, og er spesielt populært brukt i sammen med WordPress og Joomla!. cPanel brukes til å styre de ulike tjenestene som inngår i webhotell pakken hjemmesideeiere får tilgang til når de kjøper en hosting pakke fra OnNet. cPanel brukes blant annet til å styre PHP, mySQL, ftp og epost teknologiene WordPress og andre publiseringsløsninger benytter for å publisere og holde sine hjemmesider oppdatert.

Alvorlig sikkerhetshull oppdaget

Etter å ha analysert loggene til serveren og overvåkningssystemene som overvåker den, er det klart at hackerangrepet fredag er planlagt i lengre tid. Hackerne har planlagt angrepet i 2 uker før de slo til. Angrepet ble initiert ved at de har klart å få tilgang til brukernavnet og passordet til en WordPress installasjon på cPanel serveren. Gjennom å få tilgang til denne brukerkontoen har de lastet opp en folder med skadelige skript som de har kjørt på serveren.

Dette hadde ikke vært så skadelig hvis cPanel ikke hadde hatt noen sikkerhetshull. Hackerne har imidlertid klart å kjøre disse skadelige kodene med administrator rettigheter, noe som gav dem rettigheter til hele webserveren.

Etter å ha tatt kontakt med cPanel ble det klart at de viste om sikkerhetshullet og at de hadde laget en bug-fix for den, men den var ikke sluppet ut ennå i påvente av neste release. OnNet var derfor ikke klar over sikkerhethullet.

– Bug-fixen ble installert og testet av cPanel, og vi trodde problemet var løst, sier daglig leder Kjetil Sander i OnNet, før han fortsetter:

– Dette viste seg å være feil. Lørdag ble serveren på nytt defacet gjennom sikkerhetshullet. På nytt ble cPanel kontaktet, og siden har de i samarbeid med en teknikker hos oss jobbet med å avdekke hvordan sikkerhetshullet kan sikres. Problemet er i følge cPanel at vi har en svært spesiell konfigurasjon av serveren, ved at vi har skilt ut navnetjenerne, mySQL og eposttjenestene som egne servere som styrer av cPanel interfacet på webserveren. Bug-fixen cPanel hadde laget, var myntet for de som kjørte en integrert server med alle tjenestene på en og samme server.

Berører ikke DNS, mySQL og epost

Siden OnNet har skilt ut alle tjenester, bortsett fra web- og ftp som egne dedikerte servere som er mappet opp mot webserveren som kontrollerer interfacet til alle serverne gjennom cPanel, har hackerne ikke klart å få tilgang til noe data eller gjøre skader på disse tjenestene (serverne). Angrepet er lokalisert til webserveren og cPanel.

Serveren også utsatt for brute-force angrep

Etter at Linux plattformen ble defacet på fredag har serveren vært under et konstant brute-force angrep fra et eller flere botnet. Sannsynligvis fordi hackergruppen som klarte å deface serveren har fått oppmerksomhet fra likesinnede som nå prøver å se om også de klarer å komme seg inn.

– Så langt har ingen klart å komme seg inn gjennom dette brute-force angrepet, sier Sander.

OnNet oppfører kunder til å bytte passord og sjekke filrettigheter

For å sikre at ingen klarer å tippe brukernavnet og passordet til din cPanel konto, oppfordrer OnNet alle kunder som benytter kontrollpanelet cPanel til å snartest mulig bytte passordet på sin konto. Ved å logge seg inn på cPanel og bytte passordet her, bytter du samtidig passordet på alle andre tjenester – bortsett fra egeninstallerte applikasjoner, f.eks. WordPress, Joomla!, Drupal eller andre programmer. OnNet oppfordrer også kundene til å bytte passordet på alle egeninstallerte programmer.

– Følger du disse passord reglene er du sikker på å ha et passord som ikke lar seg knekke, mener Sander bestemt.

Samtidig som du bytter passordet, oppfordrer OnNet sine cPanel kunder å klikke på iconet «File manager» og sjekke at ingen mapper eller filer har 777-rettigheter. Hvilke rettigheter en mappe eller fil har står angitt i høyre kolonne. 777-rettigheter betyr at alle kan skrive til mappen. Dette betyr at hackere kan laste opp mapper og filer til denne mappen og kjøre filene, selv om de ikke har brukernavnet eller passordet til din cPanel konto.

Står det at en mappe eller fil har 777-rettigheter, klikker på knappen «Permission» for å endre rettighetene til 644.

cPanel og OnNet forventer å ha en løsning klar innen 48 timer

Selv om sikkerhetshullet ennå ikke er tettet, forventer OnNet at de lykkes å tette dette sikkerhetshullet i løpet av 48 timer.

– Serveren ble defacet både fredag, lørdag, søndag og mandag, sier Sander.

Etter lørdagens angrep, ble midlertidige rutiner innført for å sikre kundenes hjemmesider. Så snart et av overvåkningssystemene oppdager at index-filen er endret på flere enn 2 siter med samme koder i index-filen, slettes alle index-filene og erstattes med de opprinnelige fra siste hackerfrie backup. Restoringen tar nå max. 10 minutter etter at angrepet blir oppdaget, hevder OnNet.

Målet har vært økonomisk vinning

Formålet med hackerangrepet har vært å generere sidevisninger som igjen genererer penger for dem. Index-filen som ble lagt ut genererer sidevisning/referanse til Facebook, Ad-ware nettverk, et hackernettverk og YouTube. På YouTube var det lagt ut en reklamefilm som sannsynligvis skulle generere penger til dem som la dem ut. Etter klage til YouTube er videon fjernet.

Kodene som er lastet opp inneholder ingen annen skadelig kode, sier OnNet til IKTnytt.no.

Les også: Hackerangrep rammet OnNet sin Linux plattform

 

 

 

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden – innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

– Kunnskapssenteret.com
– Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter – små og store – fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.

Fyll ut skjemaet under for å tipse oss om en nyhet.





Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift («emne»), med nærmere informasjon («melding»).

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 

Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: