Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det havde flere konsekvenser, og en af sideeffekterne var, at moderselskabets domænenavn blev sortlistet hos en række af de nettjenester, der registrerer spamaktiviteter, og som mailudbydere trækker viden fra. Mails fra Audio Media blev derfor afvist, inden de nåede frem til modtageren, eller mails udefra kom aldrig igennem til Audio Media.
Det var naturligvis alvorligt, men truslen blev gennem solidt arbejde udført af Alt om DATAs webmaster og hostingselskabet Netgroup efterhånden afmonteret. Hele dette lærerige forløb kan du læse om i Alt om DATA nr. 5 og 7.
Starter på en frisk
Nu, hvor de umiddelbare angreb, var skubbet tilbage, og ”fjendens” våben var blevet neutraliseret, handlede det om at fremtidssikre Alt om DATAs webserver og cms’en WordPress. Til det formål engagerede Audio Media virksomheden Advice, der er specialiseret i blandt andet at opbygge og vedligeholde websites.
Abonnenterne blev ikke ramt
Alt om DATAs abonnenter blev ikke påvirket af hackerangrebet. Ingen data blev kompromitteret, ødelagt eller videresendt. Årsagen er, at abonnentdatabasen er helt adskilt fra webserveren, også i fysisk forstand. Den administreres af en selvstændig virksomhed, som er specialiseret i abonnementshåndtering. Dette firma har intet databasefællesskab med hverken Audio Medias hostingselskab eller med Audio Media selv.
Som udgangspunkt er der tre metoder at vælge imellem, når man skal rense en webserver og et website for uønsket kode. Den første metode er at gå tilbage til en version af sitet fra før angrebet, og så bruge denne version som basis for at genopbygge et nyt og sikkert site. Ulempen ved denne metode er, at man ikke kan være fuldstændig sikker på, hvornår det korrekte tidspunkt er.
Den anden metode er at fjerne sitet helt og bygge det op igen fra bunden med et udseende og funktionalitet så tæt som muligt på det oprindelige site. Det er den sikreste løsning, men den kan give udfordringer med at genskabe den oprindelige funktionalitet, og det er en dyr og tidskrævende metode.
Den tredje metode er at gennemgå sitet nøje, rense ud i den uønskede kode og i uopdaterede plugins, som giver hackerne adgang, men alligevel forsøge at bibeholde så meget af den oprindelige funktionalitet som muligt. Det var denne metode, som blev valgt.
En renset version af sitet
”Vi er kommet frem til en mere renset version af sitet. Vi har fjernet nogle plugins, og sitet er flyttet over på et langt mere sikkert server-setup hos hostingselskabet Netgroup. Her er der også mere caching end tidligere for at skabe højere hastighed for brugerne,” forklarer Jesper Reck-Jensen, frontend-udvikler hos Advice.
7 ting du kan lære af hackerangrebet
1 Færdigkøbte WordPress-temaer er billigere end specialproducerede temaer. Men de afhænger af plugins, som du ikke altid skal bruge, og som du skal huske at opdatere.
2 Undgå specialkodning af plugins. Så vil de nemlig ikke kunne opdateres uden at miste den særlige funktionalitet.
3 Skriv ned, hvilke ændringer du har foretaget på dit website og hvornår. Så er det nemmere at rydde op efter et hackerangreb.
4 En unmanaged server giver frihed til webmasteren, men øger risikoen for, at hackerangreb sker og ikke opdages i tide. En managed server er mere sikker.
5 Husk opdateringer! Uanset hvad: Husk at opdatere dine WordPress-plugins.
6 Tjek plugins, før du implementerer dem på et site. Opdateres de jævnligt af udvikleren, og bruges de på mange sites?
7 Indsæt en tidsplan i aftalen, hvis dit site er blevet angrebet, og du engagerer specialister til at rydde op. Sørg for, at den bliver fulgt nøje, evt. med et ”ticket-system”, som registrerer alle rettelser og fungerer som dokumentation. Det er dyrt for en virksomhed at vente på et fuldt fungerende website.
Der er tale om en såkaldt managed server – den tidligere var unmanaged – hvor sitet konstant overvåges af Netgroup, og hvor alle ændringer i koden på serveren foretages af hostingselskabet og ikke som tidligere af sitets webmaster.
En unmanaged server giver dog ofte nogle overraskelser undervejs, og det var også tilfældet her.
”Når man kommer fra et gammelt, unmanaged system, kan der godt dukke lig op i lasten. Vi fandt for eksempel ud af, at det gamle site lå på en ældre version af php (WordPress er skrevet i php, red.). I tæt samarbejde med Netgroup har vi også fået ryddet op i den slags problemer,” tilføjer Jesper Reck-Jensen.
På det tidligere site var der plugins, som ikke længere blev vedligeholdt. Og undervejs blev der skrevet særlig kode for at styrke og målrette funktionaliteten af dem, forklarer webmaster Henrik Bess.
”Vi havde en forudsætning om ikke at skrive specialkoder til plugins, dengang vi startede op med WordPress, men det gjorde vi alligevel, fordi de plugins, der fandtes, ikke levede helt op til de behov, vi havde. Det skal man passe på med. Det har vi lært af denne proces,” forklarer han.
Også processen med at genoprette webserveren og sitet har kastet lærdom af sig. Audio Media har blandt andet erfaret, hvor vigtigt det er at indsætte en tidsplan i aftalen med de specialister, som skal rydde op, og at man følger processen nøje. Det kan gøres med et «ticket-system”, som registrerer alle rettelser, og som efterfølgende kan benyttes som dokumentation. For virksomheder kan det blive dyrt at skulle vente på igen at få et fuldt fungerende website.
Derfor fortæller vi denne historie
I de senere år har vi set spektakulære og voldsomt kostbare hackerangreb på store virksomheder – herunder en mastodont som rederivirksomheden A.P. Møller Mærsk. I efteråret var det så mediehuset Audio Media, der kom til at opleve, hvor kritisk sikkerhedssituationen er blevet på nettet.
Vi har valgt at fortælle historien om det voldsomme angreb på vores webserver, og hvilke konsekvenser det fik, fordi vi mener, at åbenhed er det stærkeste våben mod de kriminelle kræfter, der hvert sekund året rundt forsøger at undergrave den centrale infrastruktur, som nettet har udviklet sig til at blive. Og fordi, det er vores opfattelse, at der er masser af lærdom i netop den kritiske situation, som Alt om DATA og audio.dk endte i – og kom velbeholdent ud af.
Hackerne er afsløret
Nu er det rensede og sikrere website oppe at køre. Undervejs i krigen mod hackerangrebet har brugerne af altomdata.dk ikke mærket særlig meget til tumulterne i baggrunden bortset fra periodevis langsommere loadingtider. De tider er forbi. Hastigheden er røget i vejret – sitet er hurtigere end nogensinde – og webmasteren kan ånde lettet op. Hele webserveren er nu under konstant overvågning døgnet rundt. Kampen mod hackerne er vundet, og ”krigen”, der har stået på i et halvt års tid, har givet en masse lærdom.
Hackerne har nemlig ikke kun angrebet, men også afsløret deres metoder. Den viden kan bruges til at forhindre, at de i fremtiden får succes med samme fremgangsmåde.
En fortælling i fire dele
Vi fortæller historien i fire kapitler. I den første artikel i Alt om DATA nr. 5 beskrev vi, hvordan en uopdaget svaghed i et plugin i Alt om DATA’s WordPress-kode førte til et alvorligt og overraskende angreb på websitet – et angreb, der pludselig viste sig også at få konsekvenser for mailsystemet.
I Alt om DATA nr. 7 bragte vi kapitel 2, hvor vi fortalte historien om, hvordan det lykkedes at stoppe angrebet – og forklarede, hvordan et sådan angreb overhovedet kan slippe ind gennem WordPress.
I dette nummer fokuserer vi på genetableringen af webserveren og sitet, og i Alt om DATA nr. 11 (19. juli) bringer vi den sidste artikel i serien. Det bliver et interview med serverhosteren Netgroup om sikkerhedsberedskab.