Efter Ddos-angreb: Dansk webhotel beskyldes for elendig sikkerhed

Webhotellet Wannafind med 130.000 danske websteder skal stramme gevaldigt op på sikkerheden, mener sikkerhedskonsulent. Windows 2000 Server, åben RDP og frit tilgængelige serverlister står for skud.

Stram op på sikkerheden, lyder opfordringen til Wannafind, efter firmaet midt i september blev lagt ned af et distribueret denial-of-service-angreb (Ddos).

Opsangen kommer fra Lenny Hansson, der er konsulent hos sikkerhedsfirmaet CSIS, men som her udtaler sig som privatperson.

Efter at have læst artiklen om angrebet på Version2.dk kiggede han nærmere på Wannafinds setup, fordi han syntes, at hackere lidt for ofte havde held med at få adgang til Wannafinds servere.

»På webstedet Zone-H kan man læse om defacements rundt omkring i verden, og jeg synes, at jeg har fundet Wannafind på de lister tit,« siger han og understreger, at en hacker, der kan udskifte forsiden på et websted, har fuld kontrol over webserveren og også kan installere skjult og skadelig kode.

Webhotellet, der hoster 130.000 danske websteder, har også tidligere været lagt ned af Ddos-angreb.

En gennemgang af Wannafinds sikkerhed tyder på, at der er brug for en opstramning, mener Lenny Hansson og peger i første omgang på, at Wannafind stadig bruger det halvgamle Windows 2000 Server.

»Windows 2000 Server er ikke et problem i sig selv, men softwaren til kan nemt have sikkerhedshuller. For eksempel har flere af deres servere gamle PHP Admin-versioner med sikkerhedshuller, som hackerne kan udnytte. Det er et stort problem,« siger Lenny Hansson.

»Ingen sikkerhedsrisiko«

Hos Wannafinds moderselskab Zitcom afviser direktør Pelle Smidt, at sikkeheden skulle halte hos hostingfirmaet. Det halvgamle Windows 2000 Server er på vej ud, i takt med at Microsoft stopper opdateringerne, fortæller direktøren. Nu bruges det gamle styresystem kun isoleret på servere til kunder, der vælger Windows 2000 Server.

»Det er en konverteringsproces, der er i gang. Men vi kan ikke gøre det for alle serverne, for meget af kundernes kode er bundet op på, at det passer til Windows 2000 Server,« siger han.

Et andet kritikpunkt fra sikkerhedskonsulenten er, at Wannafind har åbnet for adgang for Remote Desktop Protocol (RDP) udefra, hvilket betyder, at det er nemmere for en hacker at koble sig på som bruger udefra, i forhold til hvis RDP var lukket af. RDP bruges til at logge på og administrere systemerne, så man har samme muligheder, som hvis man sad på kontoret.

»Det er rigtigt, at der er åbent ind mod vores RDP på nogle områder, men det er ikke noget, vi ser som en sikkerhedsrisiko, fordi vi patcher med de seneste opdateringer fra Microsoft. Men vi arbejder også på en løsning, hvor RDP er lukket helt, med mindre man er inde på vores interne netværk,« siger Pelle Smidt og tilføjer, at RDP allerede er lukket til servere med hosted exchange, Sharepoint og de interne systemer.

Lenny Hansson peger på, at RDP til Windows 2000 Server ikke bliver holdt opdateret længere, hvilket gør det nemt for hackere at finde sårbarheder, som ikke er lappet.

Åbne serverlister er »Galimatias«
Informationen, som Wannafind offentliggør på firmaets webside, er også gal, mener sikkerhedskonsulenten. For eksempel en fiks og færdig liste over alle Wannafinds servere, som man så kan sætte sig ned og pinge.

»Man skal ikke tillade andre at pinge alle ens servere, og der er heller ingen grund til at publicere fulde serverlister. Det er rent galimatias,« mener Lenny Hansson.

Den opfattelse deler Pelle Smidt ikke.

»Listen vil jo altid være tilgængelig, for man kan se, hvilke IP-adresser, der er tilknyttet vores IP-ranges. Så det vurderer jeg ikke som en sikkerhedsrisiko. Vi har listen som en oplysning til vores kunder om, hvilke servere, der er, og så kan vi samtidigt oplyse om driftsstatus på hver server,« siger direktøren.

Servere med interne systemer er i øvrigt ikke med på listerne, oplyser han.

Pral ikke med udstyret

At skrive om firmaets infrastruktur og sikkerhedsløsninger på websiden, er også en hjælp til hackeren, siger Lenny Hansson, der har fundet frit tilgængelig information om Wannafinds samlede båndbredde og navnet på den firewall, firmaet bruger.

»Der er ingen grund til at komme med de oplysninger. Måske sidder der en hacker, som kender de typiske fejlkonfigurationer og sårbarheder på lige den firewall og læser det,« siger sikkerhedskonsulenten.

Heller ikke den kritik bider på Wannafind-direktøren.

»Jeg er af den overbevisning, at hvis en hacker først forsøger at komme ind, skal han nok finde ud af, hvilket udstyr der står i den anden ende,« siger Pelle Smidt, der heller ikke mener, at der er meget hjælp for hackere at finde på Wannafinds webside.

Uanset at han ikke finder kritikken berettiget, vil han tage den op med firmaets sikkerhedsansvarlige, fortæller han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mads N. Vestergaard

"»På webstedet Zone-H kan man læse om defacements rundt omkring i verden, og jeg synes, at jeg har fundet Wannafind på de lister tit,« siger han og understreger, at en hacker Hacker Læs mere om "Hacker" i Version2's it leksikon , der kan udskifte forsiden på et websted, har fuld kontrol over webserveren og også kan installere skjult og skadelig kode."

Det er jo ikke den hele sandhed.

Et enkelt website kan sagtens være defacet p.g.a. den webkode kunden har valgt at installere, dette gør jo ikke at hele webserveren er berørt. Det må være den enkelte kundens ansvar at sørge for at holde de webapplikationer man installere opdateret.

Og med 130.000 danske websider, mon der så ikke er en enkelt kunde eller 2 der har glemt dette ?

Og hvordan man drager en sammenhæng mellem DDOS og en defacement forstår jeg heller ikke.

Det er jo 2 forskellige ting, hvor den ene berører netværket og den anden berører den ene server.

Om wannafind kunne have reageret anderledes vedr. DDOS angrebet vil jeg helst ikke udtale mig om, men alene det faktum at de er åben om hvordan tingene foregår hos dem, er noget mange kunne lære af.

  • 0
  • 0
#2 Christian E. Lysel

og understreger, at en hacker, der kan udskifte forsiden på et websted, har fuld kontrol over webserveren

Hvordan kommer man frem med denne påstand?

Der bliver rejst mange påstande, desværre kommer der ingen argumenter for dem:

1) PHP Admin, eller tænker du på phpmyadmin. Passer webservers banner med virkeligheden?

2) Hvorfor er offentliggørelse af en serverliste farlig. Denne viser kunderne at systemet kører.

Hvis det er farligt, hvorfor kan man lave det samme for csis.dk via en zoneoverførelse? https://www.dk-hostmaster.dk/index.php?input=csis.dk&ns=&axfr=on&id=94&l...

3) Hvorfor skal man ikke tillade ping? Er version2.dk og www.csis.dk så også i fare?

4) Cisco ASA. Er det også farligt at fortælle man tilbyder webhosting på Linux og Windows?

  • 0
  • 0
#3 Erik Jacobsen

Lenny Hansson nævner en række ting, der alene er "security by obscurity" - ting som en dedikeret indbrudsperson ikke lader sig sinke synderligt af, og dermed reelt intet har med sikkerhed at gøre.

Det ville være rart om Lenny ville dele sin kritik op i rigtige sikkerhedsproblemer, og så de andre.

  • 0
  • 0
#4 Kenneth Østrup

Som jeg læser indlægget handler det om at Wannafind ikke har fulgt best practice for hvordan man sikrer sine systemer. Eksempelvis direkte tilgang til RDP service udefra.

Det lader dog også til at det kun er den halve historie der er kommet frem her på version2, i denne artikel.

Angående defacements. Det er nok et af de største problem i webhotelbranchen. Udbyderne har jo ingen måde at garantere for sikkerheden af kundernes websites. Uanset hvor sikker webserveren er, så vil man næsten altid kunne finde en bagdør igennem de sites som brugerne ligger op.

Webhoteludbydernes opgave er (foruden at sikre sig imod omverdenen), 1) at beskytte sig imod kunderne 2) beskytte kunderne imod hinanden 3) beskytte kunderne imod sig selv!

Den sidste kan være svær, uden at give kunderne en meget dårlig oplevelse ;) Og det er så vidt i alle 3 punkter, jeg forstår den er glippet for Wannafind.

Lenny, har du ikke en phpinfo() output et sted, fra en af deres servere, du kan smide ud? For det er vel relevant for diskussionen, og for at bevise din "påstand".

  • 0
  • 0
#6 Anonym

Nu er det lidt roderi med sammenblanding af DDoS attack og 'sikkerhed', men

@Christian Jeg er enig i, at jeg ikke kan se nogen som helst sikkerhedsrisiko i at offentliggøre servre, ej heller at blokere 'ping' Tværtimod har jeg brugt mange timer inden for staten, fordi CSC's spassere syntes det var en god idé. Hint: besværliggør fejlfinding på Routere/FW-opsætninger.

Du nævner PHP, men de defacede sider kører på IIS6 + ASP.NET, så sandsynligheden for de er kommet ind via PHP er nok så stor, med mindre det er via shell adgang på andre servere, men så havde det nok været værre.

I artiklen bliver der også nævnt Win2K, men netcraft.com siger for vianetshop.dk: "Windows Server 2003 Microsoft-IIS/6.0 " ( http://uptime.netcraft.com/up/graph?site=vianetshop.dk ) så fundamentalt mangler der nok noget viden i debatten.

Men der var en læser, der skrev, at han kunne se de andre kunders data, og den er squ gal.

Sikkerheden for den enkelte kunde er vel op til den enkelte kunde, og det vil nok være op ad bakke at holde øje med det.

Det er nok et tradeoff mellem hvilke capabilities man vil tilbyde kunderne ctr. hvilke (sikkerhedsmæssige) begrænsninger man vil lægge.

  • 0
  • 0
#7 Hans-Michael Varbæk

I artiklen bliver der også nævnt Win2K, men netcraft.com siger for vianetshop.dk: "Windows Server 2003 Microsoft-IIS/6.0 " ( http://uptime.netcraft.com/up/graph... ) så fundamentalt mangler der nok noget viden i debatten.

Stol aldrig 100% på hvad netcraft siger, se bare her: http://searchdns.netcraft.com/?position=limited&host=intern0t.net

Hovedsiden / forsiden og forum'et er præcis samme server så allerede der er netcraft gal på den. Man kan sagtens bruge netcraft til "information gathering", men man bør ikke stole 100% på det svar man får, kun indtil man kan verificere styre-systemet selv.

  • 0
  • 0
#8 Henrik Kramselund Jereminsen Blogger

som sædvanligt er der en mindre rodebunke af småting som CSIS forsøger at blæse op til en sag suk.

Kære CSIS

En kunde der vælger at gøre dette eller hint, har valgt at gøre det - det er deres sikkerhedspolitik og deres frie valg.

MEN det virker som om jeres konsulent har forsøgt at afdække hvilke sikkerhedshuller der måtte være hos det pågældende firma og DEREFTER offentliggører det - måske har I endda forsøgt at sælge en test til firmaet?

Ihvertfald er det den slags revolvermarketing som de fleste andre sikkerhedsfirmaer betragter som værende uetisk - så stop gerne med dette!

Jeg ville som sikkerhedsansvarlig hos Wannafind undersøge om loggen giver grundlag for politianmeldelse af CSIS.

Mvh

Henrik

  • 0
  • 0
#9 Anders Majland

Om Wannafind har ringere sikkerhed end andre ved jeg ikke ..

Men jeg ville lige bestille nogle stumper hos dinmc.dk og fik istedet ...

[ Linux linux17.wannafind.dk 2.6.18-ZITCOM #2 SMP Wed Oct 11 16:03:35 CEST 2006 x8 6_64 x86_64 x86_64 GNU/Linux server r00ted ]

Om det er wannafind der har et problem eller shoppen ved jeg ikke. Og heller ikke om det er en enkelt side der er defaced eller de reelt har root på serveren

  • 0
  • 0
#10 Eva Klausen

Det jeg søger efter, er en kvalificeret bedømmelse af sikkerheden imod hackerangreb hos Wannafind set i forhold til f.eks. OneCom og DanDomain. Jeg har svært ved at tro, at det kan være et tilfælde, at de sider jeg har hos Wannafind er blevet angrebet (overtaget) 3 gange indenfor ½ år, hvor mine sider hos OneCom og DanDomain aldrig (indtil nu) er blevet hacked.

  • 0
  • 0
#11 Marc Munk

Lenny Hansson nævner en række ting, der alene er "security by obscurity" - ting som en dedikeret indbrudsperson ikke lader sig sinke synderligt af, og dermed reelt intet har med sikkerhed at gøre.

Det er ikke så meget et spørgsmål om at holde alt ude som at få en tidlig advarsel. Hvis man er opmærksom på sine logs kan det arbejde de skal lave for at få den slags informationer vise at der foregår noget.

  • 0
  • 0
#12 Hans-Michael Varbæk

One.com burde være forholdsvist sikker da jeg mener de bruger "jails" af deres brugere så man først skal have root-privilegier (administrator adgang) til serveren for at kunne ændre på (angribe) andres hjemmesider.

DanDomain holder kun styr på dit domæne og burde også være sikker så længe du vælger et godt og sikkert kodeord som er komplekst men ikke så komplekst at du skriver det ned i på en gul lap eller i en tekst fil.

Grunden til at du sandsynligvis er blevet hacket, er fordi du sandsynligvis kører med: A) Hjemmelavede PHP filer som er usikre, B) Et usikkert CMS, forum eller andet system, C) Et system der burde være sikkert men hvor diverse "addons" du har tilføjet er usikre.

Det er selvfølgelig kun sandsynligheds beregning alt efter hvad diverse script kiddies (personer som tror de er hackere men som kun har en meget grundlæggende viden indenfor hacking.) har tendens til og kan gøre.

Der er selvfølgelig 2 alternative muligheder. Hvis du bruger et svagt kodeord kan de have "bruteforcet" (knækket) kodeordet ved at prøve en hel masse kombinationer af.

Din computer derhjemme kan dog også være inficeret og kodeordet kan være blevet opsnappet den vej. (Usandsynligt men ikke umuligt.)

Og det sidste som jeg lige kan komme i tanke om er at du har brugt samme kodeord andre steder på Internettet hvor dit kodeord generelt er sikkert men hvor at hackere har fundet ud af dit kodeord via andre hjemmesider og derved, eventuelt fået adgang til din mail og derefter logget sig in på One.com.

Ingen grund til panik! Det er kun hvad der er mest sandsynligt i dit tilfælde. Prøv at tjekke din computer for virus med et anti-virus program såsom Avira (hvis du ikke vil betale noget) eller prøv en trial (prøve version) af Kaspersky eller BitDefender (eller noget tredje, bare det ikke er AVG).

Den bedste måde at finde ud af hvordan de er kommet ind på i første omgang er dog at spørge din hoster (hvis de har tid) og / eller tjekke dine access (hjemmeside) logs.

  • 0
  • 0
#13 Marc Munk

Nu kender jeg ikke voldsomt meget til CSIS men det fremgår ikke af deres side at de sælger pen testing, er det noget nogen fortælle er korrekt eller?

Man kunne selvfølgelig forestille sig at de gerne ville sælge konsulentrådgivnings timer og evt noget overvågning. koblet sammen med noget incident response.

  • 0
  • 0
#14 Thomas Jensen

Jeg har ca. ingen holdning til om xyz-firma har en sikkerhedspolitik som falder i en tilfældig eksperts smag.

Jeg har derimod en holdning til at man endnu en gang skal læse udsagn fra en såkaldt ekspert om et navngivent selskab.

Det dækkes godt nok ind under at vedkommende udtaler sig om privatperson... vil det sige at man kan tillade sig hvad som helst sålænge man lige husker at udtale sig som privatperson... og for at være helt sikker på ikke at komme i uføre kan man evt. også lige bundle sine udsagn m. en smiley.

Det får mig til at postulere at tæt på hele den samlede danske sikkerhedsbranche er umoden, marketingfikseret og ikke reelt interesseret i reel sikkerhed. FUT FUT FUD - Dette er naturligvis sagt som privatperson og med behørig smiley.

/tj

  • 0
  • 0
#15 Eva Klausen

Først vil jeg besvare nogle af de spørgsmål/kommentarer, der er kommet efter mit indlæg af igår. TAK FOR DEM.

At spørge min hoster (Wannafind) prøvede jeg straks, men har endnu ikke fået svar.

At teste min computer for infektion har jeg gjort flere gange,med godt resultat, men vil atter prøve med nogle af de programmer, der er nævnt. Jeg vil også få testet mine logs. Mine kodeord er ikke ens og ligger ikke på pc'en.

Den hjemmeside, der atter er blevet hacked er hosted hos Wannafind! Mine andre er IKKE hos Wannafind, og de er sikre, hvilket nok siger lidt om hvor bristen ligger. Iøvrigt kan jeg fortælle, at De 3 hackere er flg.: Hacked by ViRuS_Ra3ch Corti 1923Turk Grup MiyaChung & CrazyTurks

Endelig skal jeg understrege, at jeg er en privatperson, der kreerer og administrerer hjemmesider. Min tvivl om sikkerhed hos Wannafind er naturligt opstået, hvilket ikke kan undre.

Ekspert er jeg ikke, men jeg er en "gammel rotte" med en lang løbebane indenfor faget.

Vender tilbage, hvis/når jeg finder en evt. løsning eller rimelig fornuftig forklaring.

  • 0
  • 0
#16 Hans-Michael Varbæk

@Eva Klausen: Det ser (højst) sandsynligt ud at din hjemmeside hos Wannafind er blevet angrebet af script kiddies grupper (ikke rigtige hackere, men de kan stadigvæk finde ud af at "deface" (ødelægge) hjemmesider) som ofte (men ikke altid) kommer fra mellemøsten.

Der hvor de i det her tilfælde efter sandsynlighedsberegning er kommet ind, er enten via et usikkert script (en php applikation eksempelvis som enten bare er usikker eller som er uddateret) hvor du alternativt kan bruge noget andet.

De kan dog også have hacket en anden hjemmeside på serveren, og derved fået adgang til alle brugernes sider og så deface't så mange som de kunne (som regel går de efter alle sammen for at få "højere status" blandt de andre script kiddies).

Det som du kan gøre som slutbruger er at sikre at du kører med et (forholdsvist) sikkert og velkendt system (PHP applikation) og eventuelt skifte til en anden hosting-udbyder der muligvis tilbyder bedre priser og bedre sikkerhed. (Mange danske hosting udbydere har slet ikke konkurrence dygtige priser internationalt.)

Jeg ved godt at der er meget dårlig omtale af f.eks. 1and1 på Internettet, men jeg har nu aldrig haft sikkerhedsproblemer med dem og de er meget hurtige til at svare på angreb som deres IDS sandsynligvis opfanger når vi snakker om script kiddies.

Hvis du ikke har noget af kommerciel værdi (noget som er penge værd) på dine hjemmesider vil de færreste rigtige hackere ødelægge din hjemmeside "for sjov". De vil som regel indlemme en

<

iframe> som peger hen på et domæne med ondsindet kode i stedet for. Det er lidt ligesom pest eller kolera.

Men ud fra dem som har hacket din hjemmesider er det 1-2 grupper samt 1 enkelt person. Grunden til det kan sagtens stadigvæk være pga. Muhammed-tegningerne da det giver dem en ret så dårlig grund til at gå efter .dk domæner.

  • 0
  • 0
Log ind eller Opret konto for at kommentere