Sikkerhed

Nyt script udsender spam fra din WordPress-side

Vores teknikere har opdaget en ny hacking-bølge, der retter sig mod forældede WordPress-installationer. Hackerne benytter et sikkerhedshul i WordPress-installationerne til at udsende spam-mails.

Metoden blev opdaget ved at vores serverovervågning alarmerede om en meget høj mailkø på en af vores webservere. Da alarmen gik, blev mailudsenderen automatisk stoppet og blokeret.

Teknikerne lokaliserde herefter spam-strømmen til at komme fra et script i en gammel WordPress-installation. Scriptet var blevet lagt ind på webhotellet, gennem et sikkerhedshul i en gammel udgave af WordPress.

Havde scriptet fået lov til at fortsætte med at køre, havde det måske medført en blokering af hjemmesiden, samt mails fra domænet. Derudover havde det påvirket de andre kunder på serveren, i form af en dårligere ydelse på serveren.

Situationen illustrerer hvor vigtigt det er, at holde sin CMS-installation opdateret. Havde WordPress-installationen været opdateret, så havde siden ikke haft det anvendte sikkerhedshul og episoden kunne have været forhindret.

Hvis du har brug for hjælp til at opdatere din WordPress-installation, så kan du med fordel læse vores guide:
https://surftown.dk/support/hvordan-opdaterer-jeg-wordpress-til-den-seneste-version

Surftown med i ny Brancheforening

Surftown var i december 2011 med til at stifte Brancheforeningen for it-hosting, BFIH. Foreningens formål er at højne kvalitets- og sikkerhedsniveauet for it-hosting og ikke mindst gøre det lettere for købere af it-hosting at gennemskue kvalitet og sikkerhed på tværs af leverandører. BFIH’s hjemmeside er gået live i dag.

Vores medlemskab af BFIH forpligter os til at leve op til kravene i BFIHs certificeringsordning, krav som vil ligge på et højere niveau end branchens generelle standard i Danmark. Certificering baseres på ISAE 3402, hvilket indebærer at en uvildig 3. part kontrollerer, at vi overholder kravene.

Fælles for os og de andre medlemmer af BFIH er, at vi leverer it-hosting, som er i top hvad angår kvalitet og sikkerhed, og at vi til stadighed arbejder på at forbedre vores processer. Som vores kunder skal I både være trygge og føle jer trygge, når I overlader forretningskritiske data til os. Derfor har Surftown valgt at investere tid og ressourcer i en certificeret kvalitetsordning.

Du kan læse mere om brancheforeningen på www.bfih.dk.

WS4 og WS22 udsat for defacing-angreb

Sikkerheden var midlertidigt kompromitteret på to af vores webservere, ws4 og ws22, da de i fredags blev udsat for et lettere defacing-angreb. Personen der udførte angrebet valgte kun at overskrive indeksfilerne, og skaffede sig ikke adgang til indholdet i mapperne på hver enkelt webhotel. Alle resterende servere var ikke berørt. For at undgå panik valgte vi umiddelbart at melde ud, at der kun var tale om et DDoS-angreb, indtil vores teknikere en times tid senere havde fundet og lukket sikkerhedshullet.

Heldigvis viste det sig at vores beredsskabsplan for disse hændelser virkede fint – ws22 havde i løbet af lørdag fået installeret seneste backup fra i torsdags, og alle hjemmesider på den var oppe at køre igen indenfor 24 timer. Den anden webserver, ws4, vil have gennemført installering af sin seneste backup i løbet af i dag, og vil være fuldt online i eftermiddag. Angriberens IP-adresse er blevet sporet og indehaveren vil blive retsforfulgt.

Hvis du har en nyere backup af din side end den vi har lagt ud, kan du uploade den via FTP, så ingen ændringer vil være gået tabt 🙂

I øvrigt kan jeg henvise til vores driftsinfo, der løbende opdateres med status på serverne:
https://www.surftown.dk/?docid=bd87a9f2-041f-473f-9606-ca18fc213c54

Jeg beklager episoden og undskylder for ulejligheden.

Typiske årsager til lukning af webhotel

Nu har jeg de seneste dage desværre måttet midlertidigt suspendere og i visse tilfælde helt lukke enkelte kunder, fordi deres webhoteller udøvede et så massivt pres på servernes ressourcer, at det betød en forringelse af servicen for de andre kunder. Derfor lige et mindre indlæg om de typiske faldgruber eller årsager til en lukning, så vi kan minimere den slags uheldige hændelser for fremtiden. Her er indtil videre mine topscorere:

  1. Fylde sit webhotel med mp3, warez eller film
  2. En ubeskyttet web applikation
  3. For stor til delte servere (shared hosting)
  4. Dårlig kodning (f.eks. uendelige SQL-løkker)

Umiddelbart siger første punkt vel (forhåbentlig) lidt sig selv? Et webhotel er ikke at sidestille med en online-harddisk og bør da overhovedet ikke benyttes til at dele ulovlige filer fra. Det er til gengæld også et fåtal af brugere, som har oplevet at blive lukket på grund af overtrædelse af ophavsrettigheder.

Web applikationer, som ikke er beskyttede nok, står derimod for langt størstedelen af de kunder, jeg har haft fat i. Typisk har det i denne kategori været gæstebøger fra PHP Fusion, åbne PhpBB-fora og endelig PHP Nuke. Man kan med fordel bruge CAPTCHA til at beskytte sig imod spam eller i det mindste gøre registrering (og retten til at skrive indlæg) tvunget på sin gæstebog og fora. Ofte vil manglen på spam beskyttelse lade døren til forummet stå vidt åben for spambots, som trevler nettet igennem efter nye steder at efterlade deres ulovlige reklamer på. Her er det også vigtigt at pointere hvor vigtigt det er at ens web applikationer er sikrede mod for eksempel SQL injects, cross-site scripting og andre sædvanlige sikkerhedshuller.

Et andet aspekt af dette, er at onlineapplikationer seriøst river serveren rundt, når tusindvis af spambots går amok. Det har igen en negativ effekt på ydelsen og forringer oplevelsen for andre kunder på samme server, hvorfor vi ofte er tvunget til at suspendere det pågældende webhotel, når det bliver opdaget.

Den mest positive lukningsårsag, hvis man da kan kalde det dét, er at kundens hjemmeside har vokset sig så populær og har så mange besøgende, at den ganske enkelt ikke længere passer på et webhotel i et delt servermiljø. Når man først er oppe i så højt et niveau, er man bedre tjent med at undersøge andre alternativer, som Virtuelle Private Servere (VPS) eller dedikeret hosting. Dermed er ydelsen betydeligt bedre samtidig med der er større kontrol med hvad serveren foretager sig, og man kan lettere tilpasse sin hosting til sin hjemmeside.

Som jeg tidligere har nævnt, har vi også ændret rutinerne for hvordan vi håndterer disse lukninger.

Såfremt vi opdager en hjemmeside, der bruger for mange ressourcer, sender vi kunden en email, som kort beskriver hvad der er sket, så de selv kan klare problemet. Kun i yderst sjældne tilfælde, hvor forbruget er ved at “vælte” resten af serveren, er der mulighed for vi direkte suspenderer webhotellet, så det ikke går ud over andre kunder.

I tilfælde heraf skal man kontakte Support, der genaktiverer hjemmesiden og hjælper med at rette op på problemet. Der skal virkelig gentagende tilfælde til, før der vil være tale om en permanent lukning.

1 2