Den 30 december upptäckte jag att en av mina webbplatser blivit hackad och att hackarna lagt upp ett stort antal nya sidor där de marknadsför olika produkter. Jag blev orolig att hackarna hade fått tillgång till mitt FTP-utrymme hos Loopia genom något WordPress-plugin och kontaktade Loopia om de har några loggar de över ip-adresser som skapat de nya filerna. Svaret från Loopia var var att jag skulle byta ut alla lösenord. Detta gjorde jag och trodde att problemet var löst.
Efter ytterligare 10 dagar upptäckte jag att fler av mina sajter fått nya sidor. Hackarna hade med andra ord fortfarande tillgång till mitt webbutrymme. Det största problemet med denna attack är att hackarna länkar upp de sidor som skapas på mina domäner med mängder av spamlänkar från tusentals andra kapade domäner. Detta gör att sajterna hamnar i filter hos Google och de försvinner från sökresultaten. I samband med att jag upptäckte att hackarna fortfarande hade tillgång till mina sajter började jag undersöka de sidor som länkade till de nya sidorna på mina sajter. Jag fastnade för www.test-typo3.de/direct-mail-bounce-management.html som länkar till många av dem. Där hittade jag även länkar till andra svenska webbplatser som inte jag driver. Det visade sig dessutom att alla dessa svenska webbplatser har Loopias namnservrar. Jag var med andra ord inte ensam, vilket jag tog som ett tecken för att jag själv inte orsakat säkerhetshålet.
Andra kunder till Loopia som hackats är:
- bussola.se [site-sökning]
- kyllajhamn.se [site-sökning]
- motoraction.com [site-sökning]
- impactcoatings.se [site-sökning]
- kinesiology.net [site-sökning]
- textreme.com [site-sökning]
- strategi2020.se [site-sökning]
- oxeon.se [site-sökning]
- seniornet-goteborg.se [site-sökning]
- skargardsmassan.se [site-sökning]
- infart.se [site-sökning]
- jamesbond007.se [site-sökning]
- barnsajten.se [site-sökning]
- semanda.com [site-sökning]
- nraflyg.se [site-sökning]
- kompetensgruppen.se [site-sökning]
- colonialswedes.se [site-sökning]
- skarpovanner.se [site-sökning]
- vargslakte.se [site-sökning]
- elmatek.se [site-sökning]
- juridikakademin.se [site-sökning]
- pygmeteatern.se [site-sökning]
- tryckbolaget.nu [site-sökning]
- prilex.se [site-sökning]
- ateljerapid.se [site-sökning]
- danbackman.se [site-sökning]
- nejtilleu.se [site-sökning]
- stnicolai.se [site-sökning]
- matfordagen.se [site-sökning]
- spansklararforeningen.se [site-sökning]
- hollingworth.se
- advokatfirman-aberg.se
- adv-aberg.se
- stereotyp.se
- orminge-el.se
- cajsas-kok.se
- edoffoto.se
- momento.nu
- aaa-sec.com
- raneamaklarn.nu
- vett.se
- brevik.nu
- dali-x.se
- kajakkompaniet.se
- kulan.net
- tillsalu.net
- hunnebo.nu
- omvandla.nu
I måndags (13/1) mailade jag därför Loopia igen och informerade dem om läget. De skulle undersöka saken närmare, men mycket mer information fick jag inte.
Idag, precis innan jag började skriva detta inlägg, upptäckte jag att ytterligare 11 av mina webbplatser blivit hackade. Jag är nu uppe i 16 webbplatser. 16 webbplatser som kommer bli totalt jävla körda i Googles sökresultat.
Nu är det dags att Loopia tar tag i det här och täpper till säkerhetshålet.
Har du fått reda på hur de fått tillgång till alla dessa domänkonton?
Har du lyckats blockera ytterligare attacker och i så fall, hur?
Jag använder också Loopia, så tar tacksamt emot tips för att förhindra dylika attacker!
Hoppas du reder ut det hela och att det inte blir alltför stora skador!
Jag vet inte hur de fått tillgång till dem eller hur många servrar de kommer åt. Att det är fler än två verkar ganska självklart eftersom det är både Windows- och Apache-sajter som drabbats.
Jag har inte lyckats blockera fler attacker utan de sidor jag har tagit bort har lagts upp på nytt.
Enklaste sättet att ta reda på om man drabbats är att google site:domän.se. Eftersom hackarna omedelbart efter att de lagt upp sina egna sidor länkar upp dem så syns de snabbt i Google.
Hur tar man bort de här sidorna? Är det ett jobb för “Remove URL” (Google webmaster tools) – eller finns det ett enklare sätt att ta hand om situationen?
En av våra kund sites har fått 700 nya sidor – alla har “download” i namnet !!!
För att få bort sidorna från sökresultaten går det bra att köra Remove URL i Webmaster Tools. Sedan ska man såklart se till att få bort dem helt och hållet från webbutrymmet.
Som jag skrev i inlägget är det största problemet inte att hackarna lagt upp sina sidor på sajten, utan alla dessa länkar de skickar på. Det kan sänka ens domän ett bra tag framöver.
Riktigt surt för dig och dom andra som blivit drappade. Jag använder mig själv av Loopia då jag ansett dom vara en pålitlig och stabil leverantör av webbhotell, men hädanefter kommer jag hålla mer koll på mina sidor. Du har ingen aning om hur detta kommer sig? Loopia har inte kommit med någon mer information? Kollade på några sidor som du länkade och det verkar ju inte bara vara WordPress-sidor som är drabbade..
Hej Johan,
Det stämmer att det även är andra sajter än de som har WP som plattform. De av mina jag märkte det först på var inte WP-sajter. Då misstänkte jag att det handlade om att hackarna kommit in på en Windows-server hos Loopia. När jg sedan upptäckte att det även var WP-sajter bland offren var det inte ett Windows-problem längre.
Nu verkar säkerhetshålet vara tilltäppt och jag har inte hört någon förklaring från Loopia. De är varmt välkomna att förklara vad som hände genom en kommentar här. Det största problemet kvarstår dock. Nämligen att jag fortfarande sitter med totalt 10 000 000 länkar från ~5 000 domäner mot mina sajter.
Min sajt drabbades också av detta några gånger under vintern och våren. Det verkar dessutom komma tillbaka då och då även om det verkar bli allt mer sällan. Finns det någon annan som också har sajter som fortfarande drabbas av detta? Någon som kommit fram till hur man kan skydda sig mot det, eller några ledtrådar till hur intrången gått till?
Det är lite jobbigt för min del. Eftersom jag utvecklar och distribuerar program vill jag inte riktigt känna risken att någon modifierar program som går att ladda ner på sajten. Visserligen har jag inte sett några indikationer på att binärfiler modifierats vid intrången, men ändå. Känslan är inte bra.
Jag har rensat bort filer manuellt samt sett till att WordPress, teman och plugins är uppdaterade. Jag misstänker dock att de inte kommer in via WordPress. Tror ingången är genom ASP-script eftersom jag hittat bakdörrar kodade i ASP.
Jag har samma problem just nu på en Windows-site på Loopia. Jag har bytt ftp-lösenord flera gånger och till och med tagit bort siten (nu är det bara en index.htm-fil med litet text) men det dyker upp nya verifieringsfiler för Googe Web Master Tools hela tiden.
Loopias svar blev (de verkar ha fixat det nu):
“Jag har kikat igenom FTP-loggarna för kontot men det verkar inte som om filerna kommit in den vägen.
Tack för att du hör av dig, det är mycket bra att du säger till om du upptäcker något som inte ser rätt ut. Vi har undersökt din rapport och gjort justeringar i konfigurationen för ditt webbhotellskonto, samt vidtagit ett antal åtgärder för att detta inte ska hända igen.”
Intressant svar, tycker jag.
Jag har inte heller fått några svar från Loopia på hur hackarna kommit in. Inte ens om det är mitt eller deras fel. De ska tydligen ha ändrat konfigurationen för mitt webbhotellkonto också, men på vilket sätt vet jag inte. Nu verkar det dock som att intrången på mitt konto har stoppats sedan en tid tillbaka. (peppar, peppar).
För en stund sedan hände samma sak igen. Nu var det ca två månader sedan sist, så jag trodde på allvar att grundproblemet var löst och det inte skulle hända igen. Jag förstår fortfarande inte hur detta går till och hur de här hackarna får tillgång till webbutrymmet. Tröttsamt.
En misstanke jag hade när detta började var att hackarna fick någon form av totalt tillträde till servrarna. Eftersom det är så många sajter med olika ägare och på olika konton är det nog inte en så dum gissning.
Vet något vilket säkerhetshål de använder för jag upplever att det sker som en flodvåg just nu på flera webhotell. Bland annat hackas stora webhotell som Crystone ständigt nu. Jag har sett ett flertal sidor blivit hackad från kineserna med spamlänkarna på exakt samma sätt.
Jag har också märkt en ökning under året. Under några dagar fick jag tusentals varningar från iThemes Security (plugin för WordPress) om bannade ip:n och användarnamn som försökt logga in med brute force.
Jag är däremot osäker på om de kommit in via WordPress. Det är här jag skulle vilja ha lite feedback från webbhotellet för att kunna dra mitt eventuella strå till stacken. Om säkerhetshålet ligger hos mig vill jag kunna täppa till det.
Min rekommendation är att alla som drabbas ligger på webbhotellen för att de ska ge information om hur intrånget skett. Självklart kan det vara så att webbhotellet inte vet det, men då tycker jag det är trevligt om de säger det.
Jag administrerar över 100 konton som jag nu får panikflytta till Windows Azure. Där verkar de klara sig utan intrång.
Alla min sidor är skräddarsydda och enda gemensamma nämnaren är att det är gjorda i klassisk ASP.
Däremot har jag stött på andras hemsidor som kan vara rena html och ändå få en gömd div-tagg med länkarna inkluderad i sidan.
Jag har även fått skärpfiler uppladdad till mappar som ingen borde veta om så garanterat något på servernivå som sker.
Jag har även fått intrång i Google Webmaster där de försökt lägga till sig själv som användare med en verifikationsfil
Även om koden inte förstör något direkt på sidan så upptäcker ju Google det och ger den “fina” benämningen “hemsidan kan vara hackad” samt att ens SEO påverkas nog negativt då de kan tro att man är en spamfarm.
Jag har informerat Crystone för flera veckor sedan men inget verkar hända och deras USA-support som använder Google-translate får man bara dumma och helt irrelevanta svar från.
Hade samma problem med för några månader sedan. Gick då igenom alla sidor och rensade. Kontaktade Loopia och dom sa att du skulle säkra upp något så det inte skulle hända igen.
Idag märkte jag att tre sidor är hackade. Alla klassik asp. Filerna är tillagda i början 5-14 februari.
Fler som blivit hackade?
Någon som vet om man kan skydda sig eller ligger det hos Loopia?
Alla tre sidorna ligger på olika konton hos Loopia.
Så jäkla drygt, har raderad filer i 4 timmar nu.
Jag fick också ett återbesök av hackarna i början av februari. Rensade bort ca 160 000 filer. Var tvungen att köra 10 instanser av Flash FXP samtidigt i några timmar innan allt var borta. Kontaktade Loopia och sedan dess har det varit lugnt. Vet dock inte på vilket sätt de “säkrade upp” mitt webbutrymme denna gång.
Först vill jag tacka dig Kristoffer som skrivit om detta.
Jag har själv jobbat med programmering i klassisk asp och har ett gäng kunder som ligger kvar med de gamla hemsidorna hos Loopia.
Sista året har flera av dem drabbats av just detta att någon på för mig obegripligt sätt tagit sig in och laddat upp spamfiler. Jag började nästan tro att det var något personligt riktat mot mig men nu när jag hittat din sida förstår jag att det är fler som sitter i samma båt.
I vissa fall har jag tänkt att det säkert kan finnas hål i min kod eftersom det är sidor som är 7-10 år gamla. Men sedan har det hänt väldigt konstiga saker på vissa sajter som fått mig att undra.
Bl.a. det som någon nämnde att det är upplagt spamfiler i mappar som ingen borde känna till. D.v.s. mappar som har väldigt krångliga namn och som man borde bli tvungen att logga in med ftp för att kunna se.
I flera fall har detta kommit till min kännedom genom google som varnat för sidor som lagts till på sidan. När jag då loggat in med ftp för att radera dessa filer så har de redan varit raderade! Vem och varför har raderat dem? Den som la dit dem eller Loopia?
Jag har även sett mappar som haft datum för när innehållet i dem senast ändrats som inte stämmer med när jag jobbade med dem sist. När jag sedan kollar på filerna i mappen så har det inte funnits något i mappen med så nytt datum som själva mappen hade. Så det känns som att någon lagt dit något som sedan tagits bort igen. Men om man hackar en hemsida, varför tar man då bort det man lagt dit??
I ett fall hade någon skapat en index.html fil med asp koden från min index.asp fil och lagt ut så att man fick upp den när man surfade till hemsidan.
Börjar fundera lite. Är gemensamma nämnaren för senaste månadernas attacker möjligen klassisk ASP? Alltså de sajter som Loopia kör på Windows Server 2003 och som snart ska bytas ut?
Attackerna för ett år sedan verkade omfatta fler plattformar, men den här gången får jag åtminstone den här känslan. Alla sajter som jag flyttat till ASP.NET 4.5-miljön har klarat sig från hackare den här gången.
Jag har haft liknande problem. Först trodde jag att det var jag som hade säkerhetshål i mina asp-sidor, men nu förstår jag att det är ett allmänt problem. Nu var det ett tag sen, men jag upptäckte just att 11 januari hade de varit inne igen och lagt upp skräpsidor på min sajt.
Men att flytta till ASP.NET 4.5 skulle alltså kunna vara en lösning?