Pas på - hackere skjuler kode på danske hjemmesider

21 kommentarer.  Hop til debatten
Mange danske hjemmesider kan være ramt af hackerangreb uden at man ved det. Hackerkoden bliver gemt og dukker kun op, når Googles robotter besøger siden, hvilket kan sende din side ud af Googles søgeresultater.
person
19. juni 2012 kl. 06:59
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når hele forsiden af dit website er fyldt med Viagra-reklamer eller selvpromovering fra en hackergruppe, ved du godt, at noget er galt.

Men faktisk kan din hjemmeside være inficeret ganske grundigt, uden du opdager noget. Med cloaking, som det kaldes, bliver hackernes spam-links nemlig gemt for alle andre end Googles crawler-robotter, der løbende indekserer internettet.

Det fortæller René Madsen, der driver firmaet Online Marketing, og som har arbejdet med søgemaskineoptimering siden 1999.

»Det er et ret udbredt problem, men de stakkels mennesker, det går ud over, opdager intet. Det er måske 1-2 procent af de ramte, som opdager, at der er noget galt, mens det for resten ser helt normalt ud, når de bruger deres website,« siger han til Version2.

Artiklen fortsætter efter annoncen

Problemet er, at de reklametekster og links til alverdens skumle sider, som altså kun Google får at se, vil farve Googles vurdering af hjemmesidens kvalitet og indhold. Det kan i værste fald føre til, at siden havner på Googles sorte liste, så man ikke længere vil kunne finde den via Googles søgemaskine.

Hackernes indhold, der skal hjælpe andre sider frem i Googles søgeresultater, vil under alle omstændigheder sænke de ramte websiders Google-ranking.

»Hvis man ikke opdager, at der er noget galt, vil man med tiden miste mere og mere trafik fra Google, uden at ane hvorfor. For hvis der bliver lagt tusind links ind om Viagra, falder keyword-density for de ord, man selv ønsker at blive fundet på,« forklarer René Madsen.

En af de ramte sider er www.hca-samfundet.dk, der er hjemsted for en H.C. Andersen-forening. Besøger man siden normalt, ser alt fint ud, men ser man i stedet på Googles cachede version af siden, dukker en halv skærm med spam-links op i bunden:

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

På samme måde kan man tjekke, om ens egen hjemmeside er ramt: Google dig frem til websiden og vælg at se den cachede version.

»I de fleste tilfælde kan man se det her, men de rigtigt avancerede hackere kan også manipulere koden, så man ikke kan se, at der er noget galt, selv på Googles cache,« siger René Madsen.

Man kan også forsøge at google sin webadresse sammen med typiske spam-ord som Viagra eller porno.

Svært at spotte hackernes kode

Når hackerne lægger koden ind på sitet, sker det også med avancerede metoder, hvor koden bliver ændret og mappenavne får tilfældige navne. Dermed er det svært at automatisere oprydningen, fordi man ikke kan søge efter den skadelige kode på mange sider samtidigt.

»Du bliver nødt til at kigge kildekoden igennem for hvert site,« siger Rene Madsen.

Selv hvis man får stoppet hackerne, så de ikke længere har adgang bag kulisserne, er det ikke nok, hvis der stadig er kode gemt. De bruger nemlig en funktion i PHP, fopen, der gør det muligt at fjernstyre et angreb.

»Så længe koden ligger et sted på hjemmesiden, kan hackerne udefra ændre på indholdet af din side, selvom de ikke kan komme ind backend,« forklarer Rene Madsen.

Læs mere om cloaking-angreb i Rene Madsens blogindlæg

21 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
John Vedsegaard
21. juni 2012 kl. 10:44

Med mindre det er absolut nødvendigt. Mange hjemmesider bruger forskellige CMS løsninger fordi det er "nemmere", det er meget ofte slet ikke nødvendigt, god gammeldags HTML kodning klarer nemt jobbet. Jeg ved godt at i visse tilfælde er databaseløsninger nødvendige, men langt de fleste tilfælde er de ikke. At siderne så også validere er jo ikke nogen direkte ulempe.

  • more_vert
    • insert_linkKopier link
18
Deleted User
20. juni 2012 kl. 11:58

Er FTP protokollen så dårligt, at ens password kan brydes, hvis den er unik, og ikke til at gætte?

Jeg havde forventet, at password skulle være korrekt, inden at serveren vil give adgang - og hvis den ikke kan gættes, burde FTP ikke give adgang.

Passworded kan måske sniffes og brydes, hvis man kobler sig direkte på linien, men i de fleste tilfælde, vil jeg tro, at fysisk adgang er urealistisk. En dårlig sikkerhed på administrators computer, således at passworded kan opsnappes herfra, er måske et større problem. Nogle gamle FTP programmer, husker direkte passwords i filer, så enhver der får adgang til computeren, kan kopiere hele listen af administrators passwords. Og mange brugere lader windows huske passwords for dem, hvilket naturligvis også kan opsnappes ved fysisk adgang til computerens harddisk.

  • more_vert
    • insert_linkKopier link
19
Maciej Szeliga
20. juni 2012 kl. 13:01

FTP sender koden i klartekst, er du tæt på klienten eller serveren kan du bare opsnappe koderne ud af ftp trafikken. Hvis FTP ikke har noget som låser kontoen efter x antal login forsøg så kan du lave en brute force mod den og da de fleste vælger alt for svage koder til deres admin så tager det et par timer eller 5 at komme ind.

  • more_vert
    • insert_linkKopier link
11
René Madsen
19. juni 2012 kl. 13:00

Det er vigtigt at sætte de rigtige permissions (fil og mappe rettigheder), men adgangsvejen for hackeren er sjældent denne vej, men via FTP port 21, et administrationspanel, der ikke er sikkerhedsopdateret eller et root kit på serveren. Husk der er tale om professionelle folk der udfører link cloaking.

Det er derfor vigtigt at ændre sit ftp password, så det ikke altid følger en webhotel standard, og derved kan findes via robot test.

  • more_vert
    • insert_linkKopier link
14
Einar Petersen
19. juni 2012 kl. 17:35

AAAAARGH.... DU MÅ IKKE BRUGE FTP - PUNKTUM!!!

Jeg ved det er lidt frækt at FLAME og jeg mener det heller ikke så ilde ennda.

FTP protokollen er desværre vidt udbredt, selv den dag i dag.

Det er bare SUPER vigtigt at folk forstår at FTP er en meget forældet protokol til datatransport.

For at være sikker på at ingen slemme banditter ligger og aflytter ens brugernavn og passwords skal man derfor omgående skifte til SSH.

Hvis din webudbyder ikke tilbyder dig dettte skal du bede ham om at komme ind i det nye årtusinde - TAK!!!

Du kan hente en implementation af SSH her fra http://www.openssh.org/ til flere forskellige operativsystemer.

Again - sorry for the FLAMES :D

  • more_vert
    • insert_linkKopier link
15
Kasper Grubbe
19. juni 2012 kl. 19:44

SSH har vel også sine problemer, det er jo ikke sikkert du ønsker at give dine kunder shell-adgang til din server. Man kunne så jaile dem, men så er det vel næsten bedre at bruge noget FTPS eller lignende.

  • more_vert
    • insert_linkKopier link
16
Steffen Lindemann
20. juni 2012 kl. 07:56

Der er mange måde at fjerne shell adgangen og benytte SSH til kun SFTP og/eller SCP. Google på "sftp only" giver en del svar.

  • more_vert
    • insert_linkKopier link
10
Deleted User
19. juni 2012 kl. 12:46

I må undskylde, at jeg stiller et ret banalt spørgsmål: Kan man ikke bare skrivebeskytte siden (siderne)? Jeg går ikke ud fra, at det er muligt eksternt, at køre kommandoer som ændring af attrib, uden at have administrator password. Hvis sikkerheden er i orden, burde standard applikationer som gæstebøger og forums, ikke kunne indeholde koder, der kan medføre risiko, selvom den pågældende CGI på serveren, har skriveadgang til en fil.

  • more_vert
    • insert_linkKopier link
8
René Madsen
19. juni 2012 kl. 11:47

@Casper Olsen

Siden redirecter ikke til en anden, men der hentes links fra en ekstern server, disse koder er uautoriseret programmeret ind i systemets core filer.

Hackeren behøver ikke efterfølgende at logge ind for at udskifte disse links, det foregår fra en ekstern maskine et eller andet sted i verden, hvor den indsatte kode, henter data fra den eksterne server, og links og tekst skiftes ud efter hackerens egne ønsker.

Det er ikke altid nok at holde sine WordPress, Joomla etc. installationer opdateret, hvilket i øvrigt altid er vigtigt.

Problemet ligger i at der er danske webhoteller, der har så dårlige sikkerhedssystemer på serverniveau, at der ligger root kit på den webserver, der hoster tusindevis af kunder, herved er der adgang til hele chokoladebutikken fra administrationsside for en hacker.

Ligeledes er der mange administrationspaneler hos udbydere, der ikke er opdateret, herved er der yderligere en mulighed for komme ind og udnytte det pågældende website.

Når der samlet på store webhoteller er mange tusinde sites, der er blevet ramt, så er det ikke kun en dårlig WordPress installation, der ligger til grund hos en enkelt kunde.

  • more_vert
    • insert_linkKopier link
17
Casper Olsen
20. juni 2012 kl. 08:38

De angreb jeg omtaler er disse Wordpress Pharma hack, som oftes ses på drupal/wordpress/Typo3. Jeg har over den seneste periode opdaget flere danske sider som har været angrebet og de har alle været hurtige til at få styr på deres systemer.

Fælles for dem alle har som sagt at de kører enten Drupal, Wordpress eller Typo. Er næsten sikkert fordi de ikke selv har sørget for opdatering og ikke har ville betale for en service aftale ved deres leverandør for at spare penge.

  • more_vert
    • insert_linkKopier link
7
Robert Larsen
19. juni 2012 kl. 10:55

Man kunne jo lade sit site være et checkout fra versionsstyringen. Så kan man jo se, om noget er ændret (medmindre hakkeren også ændrer i de gemte versions data).

Ellers kan man ret let strikke et script sammen til at generere og tjekke MD5/SHA summene på filerne. Eller bruge et fuldt HIDS.

Et større problem er, hvis dele af siden kommer fra en database. Så skal der nok noget mere til.

  • more_vert
    • insert_linkKopier link
5
Torben Mogensen
19. juni 2012 kl. 08:57

En delvis løsning er med jævne mellemrum at gendanne siderne, så eventuelle ændringer forsvinder. Indhold, der er opdateret i mellemtiden skal gemmes i en database og scannes for ondsindet indhold, inden det lægges op igen.

Hvis man har et websted, der ikke kan tåle at være nede under gendannelse, kan man gendanne på en anden (evt. virtuel) server og skifte mellem serverne i det øjeblik, gendannelsen er færdig.

  • more_vert
    • insert_linkKopier link
4
Casper Olsen
19. juni 2012 kl. 08:53

Adblock løser jo intet!

Problemet ligger jo i at siden bliver hacket og derved redirecter siden til en anden. Men så kan folk lærer at holde deres WordPress / Drupal / Typo opdateret!

Og for den sags skyld tilmelde sig Google webtools, så får folk en fin besked fra Google når de opdager problemet.

Og magter man ikke lige at google skal fortælle en at man har lavet en fuckup, så er den nemmeste måde at lave en " Site:www.yourdomain.com " søgning på google.

  • more_vert
    • insert_linkKopier link
3
Casper Paulsen
19. juni 2012 kl. 08:50

Verden er et dejligt sted med adblock, selvom det ikke burde være nødvendigt. Nu vi snakker om fæle bannere.

  • more_vert
    • insert_linkKopier link
2
Nicholas Colding
19. juni 2012 kl. 08:44

Ja - man kunne også godt tro, at Ing.dk og version2.dk er ramt: Der popper en stor fæl microsoft mand op, hver gang man går ind på siderne...

  • more_vert
    • insert_linkKopier link
6
Deleted User
19. juni 2012 kl. 09:19

@Benni Bennetsen

Hvis det afslører samtlige inficerede sider, så er problemet vist så lille, at det kan undre, at det overhovedet kommer frem. Bortset fra selvfølgelig, at det sikrer SEO-manden lidt omtale.

Den Google-søgning returnerer vel 3-5 danske domæner.

  • more_vert
    • insert_linkKopier link
12
Benni Bennetsen
19. juni 2012 kl. 17:14

Martin lige præcis min tanke .. (bemærk jo at min søgning bevist begrænsede til danmark) .. Så er efter min mening Version2 der lidt lige i eksemplet laver en stort i et glas vand (men debatten/snakken er jo vigtig nok, der er jo i 1000-vis af lignende misbrugs)

  • more_vert
    • insert_linkKopier link