Driftstörning i dag

Vi beklagar dagens driftstörning.
Under förmiddagen fick vår site problem. Försök att besöka, möttes av ett 503 felmeddelande. Om att man temporärt nekats access av säkerhetsskäl.

Vi har nu åtgärdat problemen och hoppas att dagens besökare inte missat för mycket, under för lång tid.

 

Webben version 2

Under hösten kommer version 2 av SIGs webb att få liv.
Version 1.1 kom hösten 2014.

Vi har fått en del input om vad som önskas. Samt noterat att våra Fokus Seminarier är populära. Men det är en bit kvar. Våra största besökargrupper är fortfarande sökmotorer och botar som försöker logga in med gissade namn och lösenord.

Höstens första styrelsemöte har detta som en punkt. Vi kan mest gissa vad ni finner intressant och önskar. Privatpersoner och små företag har inte samma behov, som stora organisationer och myndigheter. Fast vi delar samma Internet, så några gemensamma behov likväl som hot finns.

Ett sätt att påverka är att som inloggad skriva en kommentar på detta inlägg.
Man kan också skicka epost till webbv2@sigsecurity.org. Ett tillfälligt konto för detta behov. Alla inkomna förslag via denna kanal. Kommer att matchas mot medlemslistans epostinfo. Före de tas som seriösa.

 

Logganalys – 173078 försök att logga in – 22 april 2015

Från Spanien har vi hittat 173078 försök att logga in, utan att lyckas. När man försöker klaga hos ISP:n är deras inkorg överfull, så epost studsar. Många klagomål på kort tid eller en ISP som inte tar ansvar, kan väl vara logiska tolkningar. Tittar man på cert.se noteras att majoriteten av infekterade system, är webbhotell och ISP. Jag anser det troligt att bilden stämmer i många länder.

Man kan nog anta att det var ett script som kördes. Då 403 - forbidden som svar, inte uppmuntrar framgång. Denna host på Internet stod ensam för merparten av trafiken mot vår webb den 22 april.

Jag kommer att ha flera av dessa logganalyser framöver, fast till våra medlemmar efter inloggning.

 

Hackade bildfiler på webben

Nu har vi inlett lite analys av vad som händer mot vår site. Något som debatteras ofta är hur säker olika plattformar är. WordPress har stor spridning samt en stor skara av plugin- och temautvecklare. Alla har inte de resurser som behövs för att kunna testa att saker och ting är kodat med god säkerhet. Utöver detta, så ligger det ett tungt ansvar på de som administrerar siten. Det finns "Best Practice" beskrivet på otaliga sidor på Internet, fast med en dåligt skriven plugin eller tema, är man snart hackad ändå. Internet skannas efter nya sårbara system hela tiden.

I denna analys har jag tittat på anrop till bildfiler. Som många administratörer förhoppningsvis redan vet, så består bilder av ett filhuvud, som beskriver hur resten av filen ska tolkas för att kunna ritas upp korrekt. Några smarta har upptäckt att kontrollen av filer är ofta undermålig i webbsammanhang. Därför smyger man in en "<?php" tagg i bildfilen och lite PHP-kod. Sedan hoppas man på att denna del av bilden körs av skriptmotorn. Lyckas det, kan man sedan styra siten utan inloggning.

Jag har sparat en loggfil med alla anrop till bildfiler som stoppats av vår site med felkoder som 301, 403, 404 och 500. Listan är tillgänglig för medlemmar efter inloggning.

Login - Medlemsrelaterat material

Omvärlden verkar bevaka våra aktiviteter runt fokus-/års mötet

Screenshot from 2015-03-25 08:16:37

Bilden visar hur de tre stora sökmotorerna, skannat av vår site under delar av mars. Så omvärlden håller koll på våra aktiviteter, och verkar mycket intresserade av att ta del av våra dokument.

Sedan syns i loggarna en massa försök att:

  • missbruka AJAX-funktioner.
  • försöka ladda ner konfigurationer, mest för att komma åt databaser.
  • nyttja kända sårbarheter i plattformen och dess tilläggsmoduler.
  • logga in som administratör.
  • missbruka XML-funktioner.
  • försök att hämta inlägg och filer från medlemsarean. Skyddade av inloggningen.
  • försöker skicka upp filer, för att visa att de hackat oss.

Detta är lite av vad som händer utanför vår dörr till information. Kom ihåg att säkerhet, alltid ska ses som en faktor på tiden. Brandväggens viktigaste funktion är att fördröja utvecklingen av en brand/intrång. Så incidenten blir lättare att bekämpa, och skadan därmed mindre.