Af Mette Eklund Andersen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Situationen er alvorlig. Alt om DATA og magasinets webserver er blevet ramt af et hackerangreb.
Det hele starter med en foruroligende meddelelse. Webmasteren Henrik er en dag i september sidste år gået ind på Google for at kontrollere, hvordan webmedierne performer, og om alle ændringer er kommet med efter den nys overståede flytning af mediehuset Audio Media. Da han skriver hoveddomænet – audio.dk – ind i Googles søgefelt, dukker meddelelsen op: ”Dette website er muligvis blevet hacket”.
I samarbejde med hostingselskabet Netgroup opdager han efter nogle undersøgelser, at ukendte hackere har udnyttet en svaghed i en Alt om DATA-sitets WordPress-baserede plugins og har lagt en kode ind på webserveren, så den kan fungere som udgangspunkt for deres kriminelle formål. Læs her for den komplette forklaring i første kapitel.
Webmasteren og Netgroup får tæmmet de værste konsekvenser – tror han – men så løber der pludselig en overraskende melding ind fra redaktionen og administrationen i mediehuset om, at man i stigende grad har mailproblemer. Modtagerne får ikke længere mails fra domænet audio.dk, eller de tilsendte mails ender i spamfiltret. Den vigtigste kommunikationskanal til og fra mediehuset er nu også blevet kompromitteret.
Domænet bliver sortlistet
Men hvordan kan et hackerangreb mod en webserver skabe mailproblemer – det har da ikke noget med hinanden at gøre?
Nej, ikke direkte, men så alligevel. For den kode, hackerne har lagt ind, udløser nu en hær af spammails fra audio.dk, og den slags får ikke lov til at gå ubemærket hen. Adskillige tjenester på nettet registrerer spamaktiviteter og sortlister de domæner, der står bag masse-udsendelserne – for eksempel surbl.org – hvad enten domæneejerne selv er skyldige i det eller ej. Og når man først er blevet registreret på en af disse autoritative tjenester, er det som at få pillet motoren ud af sin bil. Man kan ikke køre videre.
De store udbydere af mailtjenester – Gmail, Microsoft, Yahoo osv. – har nemlig algoritmer, der følger disse tjenester. Og er man røget på den sorte liste, så udløser det straks en ”straf” fra mailudbyderne.
Al mail fra sortlistede domæner afvises nemlig eller ender i mappen ”Spam”, ”Uønsket post”, eller hvad den enkelte mailudbyder nu vælger at kalde mappen med mail, som mailudbyderen ikke ønsker, deres kunder skal udsættes for.
Abonnenterne blev ikke ramt
Alt om DATA’s abonnenter blev ikke påvirket af hackerangrebet. Ingen data blev kompromitteret, ødelagt eller videresendt. Årsagen er, at abonnementsdatabasen er helt adskilt fra webserveren, også i fysisk forstand. Den administreres af en selvstændig virksomhed, som er specialiseret i abonnementshåndtering. Dette firma har intet databasefællesskab med hverken Audio Medias hostingselskab eller med Audio Media selv.Sammenligner filerne
Det skulle vise sig at være noget af et detektivarbejde at få genetableret en nogenlunde tålelig tilstand igen. De uønskede koder, der kan være skrevet i Javascript, PHP og lignende sprog, er pakket ind, så de kan afvikles på serveren i såkaldte bash-shells.
Det lykkedes for Netgroup og webmasteren at finde og fjerne alle de uønskede koder på de to WordPress-domæner audio.dk og altomdata.dk. Og så alligevel ikke helt. For når der blev foretaget en nærmere inspektion, dukkede der hele tiden nye koder op.
Der var mere uønsket kode, end det man umiddelbart kunne spotte i WordPress-koden. Hackerne har nemlig haft mulighed for at kunne afvikle de bash-shells, som var kommet ind gennem svaghederne i WordPress-plugins, på rodniveauet i det underliggende operativsystem.
Til sidst valgte webmasteren og Netgroup at sammenligne filerne i den publicerede kode med filerne i en tidligere backup af websitet. Var der nogen filer i den ene, som ikke var i den anden, og var de ekstra filer kompromitterede? Der findes værktøjer til at foretage sådan en sammenligning, men på trods af det, er det stadig en tidskrævende proces at luge ukrudtet ud på denne facon.
Men der var ingen vej udenom, og selv efter denne proces kunne man ikke være sikker på, at der ikke et eller andet sted på den angrebne webserver lå en programstump, som kunne genaktiveres, eller en trojansk hest, som kunne lukke nye angreb ind.Hvad lavede den fremmede kode udover at udsende spam?
En stor del af de kompromitterede filer, som blev fundet under gennemgangen, havde til opgave at forsyne websiderne med en masse links i headeren. Linksene førte til mere eller mindre usaglige websider, hvilket naturligvis var gjort, så det forblev usynligt for de besøgende brugere, men ikke for de mange webcrawlers, som prøver at indeksere indholdet på internettet.
Pillet af listerne
Oprydningen var nu kommet så langt, at webmasteren kunne skrive til de tjenester, som registrerer domæner, der udsender spammail, og bede om at blive pillet af deres lister. Det er nemlig en forudsætning for, at man igen kan sende mail, der ikke ender i modtager-klientens spamfilter.
Missionen med at få fjernet de aktive, uønskede koder på webserveren var tilsyneladende lykkedes, for audio.dk-domænet røg af spamlisterne, og i løbet af nogle dage kunne medarbejderne i mediehuset igen kommunikere med omverdenen ved hjælp af mails. Og det var unægtelig en lettelse.
Men historien slutter ikke her. For når en webserver først har været udsat for så omfattende et angreb som her, kan man ikke længere stole på koden. Der er ingen vej udenom. Det sikreste tiltag vil være at starte forfra med implementering af en dugfrisk kode, som man med sikkerhed ved, er ren. Hvordan gør man lige det – og vel at mærke, uden at brugerne mærker nogen nedgang i ydelsen? Det kigger vi på i Alt om DATA nr. 9.
Sådan kommer angrebet ind via WordPress
WordPress er den mest populære måde at lave websider på i dag. Men der lurer en række sikkerhedsfaldgruber i cms-tjenesten. Det viser angrebet på Alt om DATA med al tydelighed. Svaghederne skyldes som regel plugins, man installerer i WordPress. Udviklere af plugins forsøger ikke bevidst at gøre dem åbne for angreb, men nogle af dem er måske ikke opmærksomme på sikkerhedsrisikoen, men mere fokuseret på funktionaliteten. Svagheder kan fjernes med opdateringer, men en udvikler mister måske interessen for sit plugin og får ikke fjernet hackerindgangen med en opdatering af pluginet. Derfor er det vigtigt at have styr på de plugins, man bruger i WordPress. Tjek, om de løbende bliver opdateret, og sørg for at hente opdateringer. Det kan dog svare sig lige at tøve en kende og vente et par dage med at implementere opdateringen. Der kan være fejl i opdateringen, som måske bliver rettet efter eksempelvis brugerhenvendelser, hvorefter der kommer en ny opdatering. Hvornår der er rettet i et plugin, kan man se i dets changelog. Den aktuelle svaghed fik vi igennem pluginet Ultimate Shortcuts, der hjælper os med opsætningen af artiklerne på vores websider, for eksempel tekstbokse. Hullet ind til serveren blev ”boret” af en trojaner ved navn Mister Spy. Mister Spy og andre lignende angreb kan komme ind i plugins gennem for eksempel tekstformularer, hvor læserne skal angive navn eller adresse. Det er heldigvis muligt at tjekke sit website for kompromitteringer. WordPress selv anbefaler pluginet Exploit Scanner. Det fjerner ikke uønsket kode, men kan registrere forskellen mellem den officielle kode og den kode, der ligger på serveren. På siden https://codex.wordpress.org/Hardening_WordPress giver WordPress en længere gennemgang af, hvordan man generelt undgår sikkerhedsproblemer. Man kan også gå et skridt videre og finde en tjenesteudbyder, der aktivt overvåger ændringer i serverens kode.Derfor fortæller vi denne historie
I de senere år har vi set spektakulære og voldsomt kostbare hackerangreb på store virksomheder – herunder en mastodont som rederivirksomheden A.P. Møller Mærsk. I efteråret var det så mediehuset Audio Media, der kom til at opleve, hvor kritisk sikkerhedssituationen er blevet på nettet. Vi har valgt at fortælle historien om det voldsomme angreb på vores webserver, og hvilke konsekvenser det fik, fordi vi mener, at åbenhed er det stærkeste våben mod de kriminelle kræfter, der hvert sekund året rundt forsøger at undergrave den centrale infrastruktur, som nettet har udviklet sig til at blive. Og fordi, vi det er vores opfattelse, at der er masser af lærdom i netop den kritiske situation, som Alt om DATA og audio.dk endte i – og kom velbeholdent ud af.