Kommunal hjemmeside under hackerangreb

Aalborg Kommunes hjemmeside har i et halvt døgn spredt trojanere til de besøgende. Gammel ASP-side var synderen, der gav adgang for SQL-injection.

Endnu en gammel og uopdateret hjemmeside er blevet indfanget og udnyttet af hackernes søgerobotter. Denne gang er det Aalborg Kommunes hjemmeside, der har været udsat for SQL-injection, der har betydet, at de besøgende risikerede at downloade en trojan på deres egne computere.

Ifølge Nordjyske Stiftstidende har hjemmesiden spredt den skadelige kode fra onsdag eftermiddag til torsdag morgen.

Til Version2.dk oplyser leder af it-afdelingen Preben Pedersen, at der har været et sikkerhedshul i en gammel ASP-side, som hacker-robotten har fundet og udnyttet til at aflevere sin skadelige kode.

»Vi har kunnet se, at onsdag eftermiddag blev en hel masse af vores sider gennemgået af en robot, der så til sidst har fundet en hjemmeside, hvor den kunne udnytte et hul,« siger han til Version2.dk.

Han oplyser, at der har været tale om en trojan, der af visse antivirusproducenter betegnes som trojan.linkoptimizer.

Ifølge Nordjyske Stiftstidende er der tale om en trojan, der blandt andet kan give ekstra popup-trafik.

»Der, hvor vi mener, de er kommet ind, er på en fem år gammel ASP-side, hvor man ikke har haft SQL-injection for øje,« siger Preben Pedersen til Version2.dk.

Kommunens hjemmesider er nu ved at blive revideret, så angrebet ikke kan gentages, og ifølge it-chefen vil en kommende opdatering af systemet betyde et farvel til de gamle ASP-sider.

Derudover overvejer Preben Pedersen at anskaffe en bedre SQL-injectionskanner, så skadelig kode ikke længere kan dukke op på kommunens hjemmesider.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Derudover overvejer Preben Pedersen at anskaffe en bedre SQL-injectionskanner, så skadelig kode ikke længere kan dukke op på kommunens hjemmesider.

Hvorfor beder de ikke bare dem som laver deres applikation/cms-system eller hvad de nu "kører med" om at skrive deres kode sikker istedet for hurtigt?

Og hvis det er et præ-defineret system så skal de da bare huske at holde sig up2date :P

  • 0
  • 0
Ove Andersen

Hvorfor beder de ikke bare dem som laver deres applikation/cms-system eller hvad de nu "kører med" om at skrive deres kode sikker istedet for hurtigt?

Tror ikke du får nogen til at skrive under på deres kode er sikker.. Også selvom det er lavet nok så omhyggeligt, så er det stort set umuligt at sikre sig 100% i et større komplekst system.. Især da "sikker" kode kan være sikker indtil platformen opdateres..

Så det er vist nemmere sagt end gjort..

  • 0
  • 0
Stig Johansen

så er det stort set umuligt at sikre sig 100% i et større komplekst system

Der er vist et eller andet du har misforstået. Det har /altid/ været muligt, og er /stadig/ muligt at lave /ordentlig/ kode.

Problemet er, som Jens skriver, at det 'koster' et par ekstra kodelinier at sikre sig mod SQL injection m.v.

ASP er hverken mere eller mindre sårbart i forhold til et hvilken somhelst frontend system, og terminologien dér er parameterized queries.

I forhold til andre frontends/backends kan terminologien være prepared statements, bind variables, m.v.

  • 0
  • 0
Log ind eller Opret konto for at kommentere