Gigahost foretager scanning for MySql data

Gigahost scanner for MySql login og data på WordPress installationer

Gigahost foretager tilsyneladende en test af websites, der ligger placeret enten på egne servere eller hos andre udbydere for sårbarheder i WordPress installationer, hvad de skal bruge den information til, det hører vi måske om på et tidspunkt.

Man kan jo spørge sig selv, hvad skal Gigahost med Mysql password og login data fra domæner, der ikke er hostet på deres servere.

  • Hvorfor testes der med en crawler for sårbarheder i WordPress installationer på andres webservere?
  • Hvilke data hentes, hvis de kommer ind på et website, der ikke har lukket for sårbarheder?
  • Hvordan håndteres disse data, password, bruger informationer etc. (opsamles de i en database – eller hentes de ikke?)
  • Hvad skal disse data bruges til?
  • Bliver det berørte websted kontaktet og orienteret, om der er foretaget test af webstedet og deres informationer, Password evt. er hentet til tredjepartsserver?

 Det er bare ikke i orden!

I forbindelse med gennemgang af logfiler, som bliver gennemgået hver dag på vores webservere, så ser jeg tilfældigt at en robot optræder med en identifikation som Gigahost og på en ukendt engelsk IP adresse.

Der anvendes et søgemønster, som ikke er et normalt brugermønster – og søgningen er absolut ikke er relateret til det rent indholdsmæssige på websitet. Der søges specifikt på en sårbarhed i revslider modulet, som bruges i WordPress. Denne fejl kan give adgang til konfigurationsfilen og dermed adgang til MySql databasen.  (En kendt sårbarhed siden efteråret 2014).

Problemet med sådanne søgninger, der ligger ud over hvad der hostes på Gigahost egne servere, er at der holdes øje med indbrudsforsøg på servere som f.eks. håndteres af Online Marketing og andre virksomheder, der hoster websites. Ved daglig logscanning udelukkes en del IP adresser enten periodevis eller permanent på vores servere – og IP adresserne indberettes til IP blacklister vedhæftet fuld dokumentation af handlingen, så det fremover er muligt hurtigt at danne sig et billede af hvilke IP adresser, der skaber problemer på diverse websites når mange website ejere indberetter samme IP adresser.

I dette tilfælde anvender Gigahost GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php i sin søgning, men da fejlen er kendt får de en fejlside på vores servere, hvor der er taget forbehold for denne sårbarhed.

Når denne søgning foregår på et domæne og efterfølgende kommer ind på andre domæner på samme server med samme type søgning, så er der tale om et mønster. Et mønster der fortæller at vedkommende ønsker at hente informationer, der ikke tilhører dem. Dette sker dagligt, typisk fra IP adresser placeret i Ukraine, Rusland og Kina og nu også fra en dansk hosting udbyder, Gigahost, hvor der søges efter sårbarheder, der giver mulighed for at hacke websitet hurtigt.

Normalt skriver jeg ikke til dem der prøver at hacke et website, men i dette tilfælde skrev jeg til Gigahost og konfronterede dem med disse søgninger og spurgte om det var dem der stod bag. De erkendte at det var dem der foretog test af WordPress installationer og sårbarheden i Revslidermodulet uden for deres eget hosting univers.

Problemet med identifikationen er at det er forholdsvis let at skrive en tilfældig kendt bot ind i denne streng. Det ses med fake Googlebot og bot fra andre søgemaskiner, Yahoo etc., Problemet er at den pågældende IP adresse sjældent matcher identifikationen, hvilket kan ses hvis man har kendskab til Google og andre søgerobotters IP adresser.

 

Gigahosts egen IP adresse er 217.116.232.249 og er placeret i Danmark og med Gratis DNS som DNS server.

Den IP adresse som anvendes i forbindelse med denne scanning er placeret i England, hvilket kan virke lidt suspekt, når der er tale om forsøg på at hente data fra andres websites.

77.74.192.90 – – [20/Dec/2014:04:21:58 +0100] “GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.

php HTTP/1.1” 404 389 “-” “Gigahost Vulnerability Scanner (security@gigahost.dk)”

 

77.74.192.90 – – [20/Dec/2014:04:22:00 +0100] “GET

/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.

php HTTP/1.1” 403 380 “-” “Gigahost Vulnerability Scanner (security@gigahost.dk)”

 

77.74.192.90 – – [20/Dec/2014:04:23:00 +0100] “GET

/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.

php HTTP/1.1” 404 389 “-” “Gigahost Vulnerability Scanner

(security@gigahost.dk)”

Hvor kommer søgningen fra?

IP.: 77.74.192.90

country:       GB

  • admin-c:       DH1778-RIPE
  • tech-c:         DH1778-RIPE
  • status:         ASSIGNED PA
  • mnt-by:         UKSERVERS-MNT
  • source:         RIPE # Filtered
  • person:         David Howes
  • address:       UK Dedicated Servers Ltd
  • address:       61 Somers Road Industrial Estate
  • address:       Rugby
  • address:       Warwickshire
  • address:       CV22 7DG
  • mnt-by:         UKSERVERS-MNT
  • phone:         +44 (0)870 067 2522
  • nic-hdl:       DH1778-RIPE
  • source:         RIPE # Filtered

IP adressen blev ikke videresendt til blacklist-tjenester, men det kunne den godt have gjort uden Gigahost var orienteret.

Så et godt råd til andre der foretager test for sårbarheder og hacker fiduser på websites, der ikke tilhører jer, skriv på jeres hjemmeside, hvad i foretager jer, så er der en lille chance for i ikke bliver blacklistet efterfølgende.

HUSK! Vi har ikke bedt nogen om at foretage kontrol af software placeret på vores servere  – og slet ikke ved brug af kendte sårbarheder i eksisterende software på WordPress, Joomla, Drupal etc.

Del nyheden!
Tilmelding nyheder