Hacker angreb på Webhoteller

Hacker angreb på Webhoteller

I forbindelse med søgemaskineoptimering og SEO opgaver på vores kunder websites, opdager vi ind imellem der er skaffet uautoriseret adgang til kundens website, det skete så igen i dag, oven i købet på et dansk webhotel, hvor vi tidligere har fundet inficeret software hos en anden kunde, med en helt anden type CMS system.

Det udførte ”hacker arbejde” må klassificeres som værende super professionelt, der er tale om softwareudviklere der ved hvad de har med at gøre, det ligner ikke hacker-arbejde som vi tidligere har arbejdet med og fjernet.

Formålet for hackerne var i dette tilfælde at opsætte linkfarme direkte på kundens website, vel at mærke således kunden, eller den normale bruger ikke kan se der forefindes link til andre websider, metoden er i dette tilfælde en yderst avanceret partiel cloaking engine.

Der anvendes import script på domænet, hvilket betyder der ikke efterfølgende behøves adgang til serveren, de link de ønsker placeret sættes op på en sekundær maskine, og styres herfra, hvor kundens website så henter/opdaterer disse data for præsentation til søgemaskinecrawlerne.

Partiel cloaking

Partiel cloaking indebærer at det kun er delelementer der cloakes på et website, hvilket i praksis betyder en blok af link og diverse tekster, kun kan ses af en søgemaskinecrawler og en der tilhørende korrekt IP adresse fra en søgemaskine, som f.eks. Google.

Når den almindelige bruger kommer ind på websitet vises kun den side som brugerne må se, kundens eget website, hvis en fake søgemaskinecrawler besøger websitet (typisk anvendt sammen med ubrugeligt SEO værktøj), vises den oprindelige side, men når forudsætningerne er tilstede, med den rigtige søgemaskine crawler og den tilhørende IP adresse, vises den side der indeholder de skjulte links og tilsvarende tekster.

Problemerne opstår tit når webhotellet ikke er skærmet godt nok af.

F.eks. er det vigtigt at anvende de rigtige permissions på Unix webhoteller.

At bruge en Chmod med 777 betyder der er skrive, læse og afviklingsmuligheder for ejere, grupper og brugere, hvilket kan være risikabelt, derfor bør den overordnede permissions være 755, hvilket svarer til skriverettigheder til ejere, læse og afviklingsmuligheder til ejere, grupper og brugere. Derudover findes der forskellige kombinationer af rettigheder som skal passe til den software der er opsat, der kan lukkes for rettigheder til enkelte filer, men skal afstemmes med leverandørens forskrifter, da elementer kan stoppe med at fungere, hvis der sættes forkerte permissions.

F-open er en anden utæthedskanal til webserveren eller rodmappen, hvis softwaren ikke er opdateret korrekt, er der direkte skriveadgang og rimeligt let at tilgå serveren uautoriseret.

Derudover er der flere andre script typer der kan give adgang til server eller rodmappe, derfor er det altid vigtigt at opdatere sin software i takt med der kommer sikkerhedsopdateringer.

Hvis sitet er tilgået med Root adgang, betyder det i praksis at hackeren er kommet ind via serveren og ikke via den enkelte kundes website, her ses der mapper oprettet som ikke kan slettes da ejerskabet over mapperne tilhører Root ( Root – webserverens administrator, noget en webhotelejer ikke har) så hvis man prøver at slette disse mapper får man en fejlkode der fortæller at filerne ikke kan slettes, da man ikke har ejerskab til disse.

Det kan anbefales jævnligt at gennemgå sine filer og webhotel og se om der er kommet ubudne gæster på sitet, den almindelige bruger og ejer vil ikke have en kinamands chance for selv at se det når websitet anvendes under almindelige former.

Del nyheden!
Tilmelding nyheder