Surftown afviser definitivt interne hackerangreb - men hæver sikkerheden

De mystiske hackerangreb mod Surftown-kunder er sket via FTP-adgang eller sårbarheder i CMS’et, siger Surftown, der nu hæver sikkerheden og forbedrer overvågningen.

Er du blandt de Surftown-kunder, der er ramt af godt skjult hacker-kode på dine websites, er det din egen sikkerhed, den er gal med. Hackerne er kommet ind via et opsnappet kodeord til FTP-adgangen eller gennem svagheder i for eksempel Wordpress eller PHP.

Sådan lyder det nu igen fra Surftown, der efter en uges debat om hackerangreb blandt webhotellets kunder nu har været igennem en grundig undersøgelse internt.

Læs også: Mystiske hackerangreb hos Surftown-kunder: Hvordan kommer de ind?

»Vi har undersøgt det her til bunds for at se, om der var noget om snakken, og om vi kunne spore noget hos os. Nu kan vi med sikkerhed sige, at vi ikke er blevet rootkittet. Det tog os nogle dage at nå frem til, for vi ville ikke løbe med en halv vind,« siger Kresten Bach Søndergaard, kommunikationschef hos Surftown, til Version2.

Blandt de ramte kunder har der været spekuleret i, at Surftowns interne systemer måtte være ramt af hackerangreb, så hackerne kunne få adgang til kundernes websites indefra, via et rootkit. Det afviser Surftown altså nu endegyldigt.

I stedet har de interne undersøgelser af mange af de ramte websider vist, at andre IP-adresser end dem, en kunde normalt bruger, har fået adgang til kundernes webservere via FTP-adgang.

»Vi har ved at gennemgå FTP-logfilerne fundet frem til de IP-adresser, der har tiltusket sig adgang til de berørte sider og lukket for adgang fra de adresser. Vi har mange kunder, så det var et stort arbejde at gå igennem alle logs,« siger Kresten Bach Søndergaard.

Surftown overvejer nu også at stramme sikkerheden ved kun at give adgang via FTP fra én IP-adresse pr. kunde.

»Men det vil også gøre det mere besværligt for kunderne,« siger kommunikationschefen.

Højere sikkerhed fremover

Ud over overvejelserne om blokering af IP-adresser har kritikken over hackerangrebene mod kunderne nu ført til flere konkrete opstramninger af sikkerheden hos Surftown. For eksempel bliver kravene til passwords på FTP-kontoen nu hævet.

Surftowns overvågning af kundernes websider bliver også forbedret, så også hackerangreb skjult med cloaking - der gør angrebet usynligt for kunden - i højere grad vil blive opdaget automatisk.

»Vi udvider tjeklisten og søgningen på tværs af serverne, så vi i endnu højere grad end før kan opdage abuse-sager. Vi udvider sikkerheden, for at give vores kunder en bedre oplevelse. Det er jo superirriterende at blive ramt af et cloaking-angreb, som de færreste opdager selv,« siger Kresten Bach Søndergaard.

Han forstår godt, hvis kunderne skyder skylden på Surftowns systemer, hvis det ikke umiddelbart kan forklares, hvordan en hacker har fået adgang til en webside.

»Det er jo rigtig frustrerende at få at vide, at det er en selv, som er blevet hacket, hvis man tænker, at det kan ikke være hos mig. Men der er mange måder, man kan blive hacket på, via FTP eller via de svagheder, der kan være i Wordpress, PHP og andre systemer,« siger Kresten Bach Søndergaard.

Samtidigt vil Surftown med opstramningerne arbejde for, at kunderne slet ikke kommer i den situation.

»Hvis kunder er generet af det her, kan vi ikke være ligeglade. Det er tydeligt, at vi ikke har håndteret det her problem optimalt, i forhold til den service, vi gerne vil stå for. Der er nogle ting, vi kan styre, og nogle ting vi ikke kan styre. Nu skal vi forbedre den måde, vi agerer på, i forhold til det, vi ikke kan styre,« siger Kresten Bach Søndergaard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

Lyder som en god ide... Gæt hvad Mac OS X 10.7 Lion gjorde... Deaktiverede og skjulte ftpd så man skal ha terminaler frem hvis man vil starte den midlertidigt.

Scp og sftp er meget bedre... Men fx udvekslingen af alle beskeder på det danske sundshedsdatanetværk foregår via synkronisering filmapper på forskellinge servere over FTP på et sikret netværk så jeg tror ikke FTP bliver dekommisioneret lige om 5 minutter... Men historisk mindre usikre FTP servere som fx ncftp osv. ville nok ikke være et 100% dumt myretrin fremad...

  • 0
  • 1
Povl H. Pedersen

Er problemet FTP, eller er det phising ? Genbrug af passwords eller dårlige passwords ? FTP åbner for en måde man let kan få fat i passwords på, så det bør man disable. Men det ser ud fra ovenstående mere ud som om brugerne har valgt de almindelige dårlige passwords på ikker over 4 tegn.

Der er vel ikke mange seriøse værktøjet i dag som ikke understøtter sftp / scp. Så hvorfor giver man ikke kunderne en periode til at skifte, og så slukker for det gamle skidt.

Man kunne også væat udvide sikkerheden med One-Time-Passwords (OTP). Google har lavet en fin app til de fleste platforme, så mangler man bare at generere 80 bits støj, base32 encode og sende til brugeren, evt vise ham en QR kode Google Authenticator kan scanne (genereres lokalt, ikke hos Google).

  • 0
  • 0
Martin Rasmussen

De fleste der bruger ftp'er idag, seriøst, har vel valgt en ftpd som understøtter SSL/TSL login ?
Hvis man vil være paranoid, understøtter flertallet af ftpd'er idag at lave ssl forbindelser, hvor også datastrømmen sendes over en krypteret forbindelse...

FTP' protokolen er ikke problemet, dårlig implementering, kombineret med brug af old gamle ftpd servere som ikke understøtter kryptering.. er problemet.

Hvad med vi dropper email?
Stort set samme analogi kunne da bruges herom..!

  • 2
  • 0
Esben Madsen

De fleste der bruger ftp'er idag, seriøst, har vel valgt en ftpd som understøtter SSL/TSL login ?


Hvis det er sandt, så falder de fleste "hosting for 10 kr/md"-udbydere ikke ind under seriøs brug... en af de primlre årsager til at jeg for et par år siden skiftede væk fra one.com og gik over til selv at hoste på en VPS var netop den manglende mulighed for sikkerhed på både ftp (ingen ftps eller ssh/sftp) og mail (ingen kryptering på hverken smtp, pop eller imap)... jeg spurgte supporten og fik klart svar at de hverken understøttede eller havde tænkt sig at understøtte det...

  • 0
  • 0
Michael Lykke

Problemet hos Surftown dækker ikke kun over simpel hacking og defacement af hjemmesider. En af mine gode venner er kunde hos Surftown og hans FTP konto var tilsyneladende også blevet hacket. Kontoen var så blevet brugt til at uploade store mængder børneporno. Hans kodeord var i øvrigt på ingen måde "nemt" at gætte og en nærmere undersøgelse af hans computer afslørede heller ikke nogen former for virus, malware, trojaner eller lign.
Umiddelbart så tyder alt på at det er lykkedes hackerne at skaffe sig adgang på et højere niveau end individuelle FTP konti.

Og et godt råd til Surftown vil være at få samtlige servere tjekket efter for børneporno så i ikke ender med at bliver distribuerings-central for den slags materiale!

  • 2
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Er du blandt de Surftown-kunder, der er ramt af godt skjult hacker-kode på dine websites, er det din egen sikkerhed, den er gal med. Hackerne er kommet ind via et opsnappet kodeord til FTP-adgangen eller gennem svagheder i for eksempel Wordpress eller PHP. Sådan lyder det nu igen fra Surftown, der efter
en uges debat om hackerangreb blandt webhotellets kunder nu har været igennem en grundig undersøgelse internt. Læs også: Mystiske hackerangreb hos Surftown-kunder: Hvordan kommer de ind? »Vi har undersøgt det her til bunds for at se, om der var noget om snakken, og om vi kunne spore noget hos os. Nu kan vi med sikkerhed sige, at vi ikke er blevet rootkittet. Det tog os nogle dage at nå ...