Pas på - hackere skjuler kode på danske hjemmesider

Illustration: Virrage Images/Bigstock
Mange danske hjemmesider kan være ramt af hackerangreb uden at man ved det. Hackerkoden bliver gemt og dukker kun op, når Googles robotter besøger siden, hvilket kan sende din side ud af Googles søgeresultater.

Når hele forsiden af dit website er fyldt med Viagra-reklamer eller selvpromovering fra en hackergruppe, ved du godt, at noget er galt.

Men faktisk kan din hjemmeside være inficeret ganske grundigt, uden du opdager noget. Med cloaking, som det kaldes, bliver hackernes spam-links nemlig gemt for alle andre end Googles crawler-robotter, der løbende indekserer internettet.

Det fortæller René Madsen, der driver firmaet Online Marketing, og som har arbejdet med søgemaskineoptimering siden 1999.

»Det er et ret udbredt problem, men de stakkels mennesker, det går ud over, opdager intet. Det er måske 1-2 procent af de ramte, som opdager, at der er noget galt, mens det for resten ser helt normalt ud, når de bruger deres website,« siger han til Version2.

Problemet er, at de reklametekster og links til alverdens skumle sider, som altså kun Google får at se, vil farve Googles vurdering af hjemmesidens kvalitet og indhold. Det kan i værste fald føre til, at siden havner på Googles sorte liste, så man ikke længere vil kunne finde den via Googles søgemaskine.

Hackernes indhold, der skal hjælpe andre sider frem i Googles søgeresultater, vil under alle omstændigheder sænke de ramte websiders Google-ranking.

»Hvis man ikke opdager, at der er noget galt, vil man med tiden miste mere og mere trafik fra Google, uden at ane hvorfor. For hvis der bliver lagt tusind links ind om Viagra, falder keyword-density for de ord, man selv ønsker at blive fundet på,« forklarer René Madsen.

En af de ramte sider er www.hca-samfundet.dk, der er hjemsted for en H.C. Andersen-forening. Besøger man siden normalt, ser alt fint ud, men ser man i stedet på Googles cachede version af siden, dukker en halv skærm med spam-links op i bunden:

På samme måde kan man tjekke, om ens egen hjemmeside er ramt: Google dig frem til websiden og vælg at se den cachede version.

»I de fleste tilfælde kan man se det her, men de rigtigt avancerede hackere kan også manipulere koden, så man ikke kan se, at der er noget galt, selv på Googles cache,« siger René Madsen.

Man kan også forsøge at google sin webadresse sammen med typiske spam-ord som Viagra eller porno.

Svært at spotte hackernes kode

Når hackerne lægger koden ind på sitet, sker det også med avancerede metoder, hvor koden bliver ændret og mappenavne får tilfældige navne. Dermed er det svært at automatisere oprydningen, fordi man ikke kan søge efter den skadelige kode på mange sider samtidigt.

»Du bliver nødt til at kigge kildekoden igennem for hvert site,« siger Rene Madsen.

Selv hvis man får stoppet hackerne, så de ikke længere har adgang bag kulisserne, er det ikke nok, hvis der stadig er kode gemt. De bruger nemlig en funktion i PHP, fopen, der gør det muligt at fjernstyre et angreb.

»Så længe koden ligger et sted på hjemmesiden, kan hackerne udefra ændre på indholdet af din side, selvom de ikke kan komme ind backend,« forklarer Rene Madsen.

Læs mere om cloaking-angreb i Rene Madsens blogindlæg

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Casper Olsen

Adblock løser jo intet!

Problemet ligger jo i at siden bliver hacket og derved redirecter siden til en anden. Men så kan folk lærer at holde deres WordPress / Drupal / Typo opdateret!

Og for den sags skyld tilmelde sig Google webtools, så får folk en fin besked fra Google når de opdager problemet.

Og magter man ikke lige at google skal fortælle en at man har lavet en fuckup, så er den nemmeste måde at lave en " Site:www.yourdomain.com " søgning på google.

Torben Mogensen Blogger

En delvis løsning er med jævne mellemrum at gendanne siderne, så eventuelle ændringer forsvinder. Indhold, der er opdateret i mellemtiden skal gemmes i en database og scannes for ondsindet indhold, inden det lægges op igen.

Hvis man har et websted, der ikke kan tåle at være nede under gendannelse, kan man gendanne på en anden (evt. virtuel) server og skifte mellem serverne i det øjeblik, gendannelsen er færdig.

Robert Larsen

Man kunne jo lade sit site være et checkout fra versionsstyringen. Så kan man jo se, om noget er ændret (medmindre hakkeren også ændrer i de gemte versions data).

Ellers kan man ret let strikke et script sammen til at generere og tjekke MD5/SHA summene på filerne. Eller bruge et fuldt HIDS.

Et større problem er, hvis dele af siden kommer fra en database. Så skal der nok noget mere til.

René Madsen

@Casper Olsen

Siden redirecter ikke til en anden, men der hentes links fra en ekstern server, disse koder er uautoriseret programmeret ind i systemets core filer.

Hackeren behøver ikke efterfølgende at logge ind for at udskifte disse links, det foregår fra en ekstern maskine et eller andet sted i verden, hvor den indsatte kode, henter data fra den eksterne server, og links og tekst skiftes ud efter hackerens egne ønsker.

Det er ikke altid nok at holde sine WordPress, Joomla etc. installationer opdateret, hvilket i øvrigt altid er vigtigt.

Problemet ligger i at der er danske webhoteller, der har så dårlige sikkerhedssystemer på serverniveau, at der ligger root kit på den webserver, der hoster tusindevis af kunder, herved er der adgang til hele chokoladebutikken fra administrationsside for en hacker.

Ligeledes er der mange administrationspaneler hos udbydere, der ikke er opdateret, herved er der yderligere en mulighed for komme ind og udnytte det pågældende website.

Når der samlet på store webhoteller er mange tusinde sites, der er blevet ramt, så er det ikke kun en dårlig WordPress installation, der ligger til grund hos en enkelt kunde.

Jens Madsen

I må undskylde, at jeg stiller et ret banalt spørgsmål: Kan man ikke bare skrivebeskytte siden (siderne)? Jeg går ikke ud fra, at det er muligt eksternt, at køre kommandoer som ændring af attrib, uden at have administrator password. Hvis sikkerheden er i orden, burde standard applikationer som gæstebøger og forums, ikke kunne indeholde koder, der kan medføre risiko, selvom den pågældende CGI på serveren, har skriveadgang til en fil.

René Madsen

Det er vigtigt at sætte de rigtige permissions (fil og mappe rettigheder), men adgangsvejen for hackeren er sjældent denne vej, men via FTP port 21, et administrationspanel, der ikke er sikkerhedsopdateret eller et root kit på serveren. Husk der er tale om professionelle folk der udfører link cloaking.

Det er derfor vigtigt at ændre sit ftp password, så det ikke altid følger en webhotel standard, og derved kan findes via robot test.

Einar Petersen

AAAAARGH.... DU MÅ IKKE BRUGE FTP - PUNKTUM!!!

Jeg ved det er lidt frækt at FLAME og jeg mener det heller ikke så ilde ennda.

FTP protokollen er desværre vidt udbredt, selv den dag i dag.

Det er bare SUPER vigtigt at folk forstår at FTP er en meget forældet protokol til datatransport.

For at være sikker på at ingen slemme banditter ligger og aflytter ens brugernavn og passwords skal man derfor omgående skifte til SSH.

Hvis din webudbyder ikke tilbyder dig dettte skal du bede ham om at komme ind i det nye årtusinde - TAK!!!

Du kan hente en implementation af SSH her fra http://www.openssh.org/ til flere forskellige operativsystemer.

Again - sorry for the FLAMES :D

Casper Olsen

De angreb jeg omtaler er disse Wordpress Pharma hack, som oftes ses på drupal/wordpress/Typo3. Jeg har over den seneste periode opdaget flere danske sider som har været angrebet og de har alle været hurtige til at få styr på deres systemer.

Fælles for dem alle har som sagt at de kører enten Drupal, Wordpress eller Typo. Er næsten sikkert fordi de ikke selv har sørget for opdatering og ikke har ville betale for en service aftale ved deres leverandør for at spare penge.

Jens Madsen

Er FTP protokollen så dårligt, at ens password kan brydes, hvis den er unik, og ikke til at gætte?

Jeg havde forventet, at password skulle være korrekt, inden at serveren vil give adgang - og hvis den ikke kan gættes, burde FTP ikke give adgang.

Passworded kan måske sniffes og brydes, hvis man kobler sig direkte på linien, men i de fleste tilfælde, vil jeg tro, at fysisk adgang er urealistisk. En dårlig sikkerhed på administrators computer, således at passworded kan opsnappes herfra, er måske et større problem. Nogle gamle FTP programmer, husker direkte passwords i filer, så enhver der får adgang til computeren, kan kopiere hele listen af administrators passwords. Og mange brugere lader windows huske passwords for dem, hvilket naturligvis også kan opsnappes ved fysisk adgang til computerens harddisk.

Maciej Szeliga

FTP sender koden i klartekst, er du tæt på klienten eller serveren kan du bare opsnappe koderne ud af ftp trafikken.
Hvis FTP ikke har noget som låser kontoen efter x antal login forsøg så kan du lave en brute force mod den og da de fleste vælger alt for svage koder til deres admin så tager det et par timer eller 5 at komme ind.

John Vedsegaard

Med mindre det er absolut nødvendigt. Mange hjemmesider bruger forskellige CMS løsninger fordi det er "nemmere", det er meget ofte slet ikke nødvendigt, god gammeldags HTML kodning klarer nemt jobbet. Jeg ved godt at i visse tilfælde er databaseløsninger nødvendige, men langt de fleste tilfælde er de ikke. At siderne så også validere er jo ikke nogen direkte ulempe.

Log ind eller Opret konto for at kommentere