Hackade bildfiler på webben

Nu har vi inlett lite analys av vad som händer mot vår site. Något som debatteras ofta är hur säker olika plattformar är. WordPress har stor spridning samt en stor skara av plugin- och temautvecklare. Alla har inte de resurser som behövs för att kunna testa att saker och ting är kodat med god säkerhet. Utöver detta, så ligger det ett tungt ansvar på de som administrerar siten. Det finns "Best Practice" beskrivet på otaliga sidor på Internet, fast med en dåligt skriven plugin eller tema, är man snart hackad ändå. Internet skannas efter nya sårbara system hela tiden.

I denna analys har jag tittat på anrop till bildfiler. Som många administratörer förhoppningsvis redan vet, så består bilder av ett filhuvud, som beskriver hur resten av filen ska tolkas för att kunna ritas upp korrekt. Några smarta har upptäckt att kontrollen av filer är ofta undermålig i webbsammanhang. Därför smyger man in en "<?php" tagg i bildfilen och lite PHP-kod. Sedan hoppas man på att denna del av bilden körs av skriptmotorn. Lyckas det, kan man sedan styra siten utan inloggning.

Jag har sparat en loggfil med alla anrop till bildfiler som stoppats av vår site med felkoder som 301, 403, 404 och 500. Listan är tillgänglig för medlemmar efter inloggning.

Login - Medlemsrelaterat material

Omvärlden verkar bevaka våra aktiviteter runt fokus-/års mötet

Screenshot from 2015-03-25 08:16:37

Bilden visar hur de tre stora sökmotorerna, skannat av vår site under delar av mars. Så omvärlden håller koll på våra aktiviteter, och verkar mycket intresserade av att ta del av våra dokument.

Sedan syns i loggarna en massa försök att:

  • missbruka AJAX-funktioner.
  • försöka ladda ner konfigurationer, mest för att komma åt databaser.
  • nyttja kända sårbarheter i plattformen och dess tilläggsmoduler.
  • logga in som administratör.
  • missbruka XML-funktioner.
  • försök att hämta inlägg och filer från medlemsarean. Skyddade av inloggningen.
  • försöker skicka upp filer, för att visa att de hackat oss.

Detta är lite av vad som händer utanför vår dörr till information. Kom ihåg att säkerhet, alltid ska ses som en faktor på tiden. Brandväggens viktigaste funktion är att fördröja utvecklingen av en brand/intrång. Så incidenten blir lättare att bekämpa, och skadan därmed mindre.

Extra många accesser den 29 dec 2014

Den 29 december fick vår site, extra många besök!

Screenshot from 2015-01-03 10:48:26

Över 16200 accesser och de flesta riktade direkt mot sitens loginsida. Det verkar som våra åtgärder att erbjuda login, till giltiga medlemmar fungerar.

Så många hjälpsamma användare i olika länder. 😉 Överlag ser vi i våra loggar, många försök att logga in. De flesta verkar vilja bidra med att administrera vår site.

Eller är det effekten av bot-system som försöker utöka sin domän? Med an armestyrka på miljontals system letar de nya medlemmar att värva. Se på Cert.se, hur många infekterade system som bara finns registrerade i Sverige.

Samtidigt ser vi också att skum epost, ofta har länkar till siter byggda med WordPress. Där förväntas man fylla i uppgifter om olika konton/tjänster man har, eller information om paket för utlämning. Dessa siter har troligen pluggin moduler som blivit hackade. Hållar man muspekaren över länken en stund före man klickar, brukar webbläsaren visa vart länken går. Oddsen att UPS, Apple eller PayPal användar sig av tjänsten hos ett onlinekasino, för sin administration av kunder känns lågt.

God Fortsättning
mot ett säkrare 2015

Lite om nya strukturen

Vi har nu en mer skiktad struktur, där material som publiceras också behöver klassas om det är publikt eller medlemsrelaterat. För att slippa se information på många platser kan vi även tänka lite på kategorier, där vi publicerar. Det ger en logisk path till var saker placeras som URL. Använd etiketter för att göra saker lätt att hitta via sökfunktionen. Vi har lärt oss att snabbt hitta önskade saker via t.ex. Google och liknande söktjänster.

Webadmin

 

Planerad driftstörning 18-19 okt

Tillgänglighet under driftstörning: Intermittent.

En större genomgång av siten kommer att ske i helgen 18-19 oktober. Dels för att få till en enhetligare struktur, men också för att kunna bygga vidare med nya funktioner. Främst för medlemmar. Beklagar om detta ger problem för medlemmar i närtid, men hoppas att framtida funktioner ska upplevas positivt.

Webadmin