Hjemmeside hacket! Bare de to ord kan få det til at løbe koldt ned af ryggen på de fleste, og det er bestemt heller ikke nogen spøg at opleve. Hacking af en hjemmeside kan være mange ting – lige fra en såkaldt defacing over total sletning til den langt mere skadelige form, der handler om, at der indsættes skjulte links på hjemmesiden. Det er sidstnævnte form, jeg vil skrive lidt om her.
Indbrud på hjemmesiden
Jeg skrev tidligere i år om en kunde, hvis hjemmeside var blevet hacket af en tidligere falleret leverandør. Den slags kan undgås ved at skifte password, når du skifter leverandør. Historien her er straks meget værre – og den tager sin begyndelse først på denne uge.
Jeg sad med en hjemmeside, som jeg har ansvaret for. Tilfældigt bemærker jeg, at der i Googles resultatside står en anden filstørrelse end den, der plejer at stå. Du ved: Du kan nogle gange se filstørrelsen på den pågældende side lige ved siden af adressen. Jeg drønede ind på siden, men jeg kunne intet usædvanligt se.
Jeg kiggede i kildekoden, og mit hjerte slog et slag over! Der var indsat ca. 80 links til diverse sites, der solgte alt fra iPod software over Adobe til lavpris etc. Og det hele var gemt i et div-tag med display:none. Eller sagt på mere dansk: Det kunne ikke ses i en normal browser, men Google og de andre søgemaskiner kunne se og læse linkene.
Linkene var naturligvis placeret der for at få lidt linkjuice fra den pågældende side, som har en høj PageRank og en høj “trust” hos Google. Det er det, man kalder “beyond black hat” søgemaskineoptimering, for det er jo direkte ulovligt at bryde ind på andres hjemmesider.
Ingen database og ingen injection
Den omtalte hjemmeside er en 100% “flad” hjemmeside uden nogen form for database tilknyttet. Der var altså ikke andre muligheder for at gå ind og ændre i en fil end ved at have FTP adgang til webhotellet. Jeg tog derfor omgående kontakt til webhotellet, der lagde ud med at være temmelig ligeglade. De mente, at sikkerheden var kundens ansvar og ikke deres!
Jeg talte med ret store bogstaver, og det førte til, at webhotellet nu prøvede at overbevise mig om, at hackingen var gennemført, fordi jeg skulle have spyware på min maskine. Forklaringen var, at denne spyware angiveligt skulle have fundet den lokale version på min maskine, have ændret den og derefter uploadet den… Nu var det bare sådan, at min lokale fil IKKE indeholdt den skjulte del.
Nyt forsøg fra webhotellet: Nu var det spywaren, der havde sniffet sig frem til mit login og password. Men der er nu ikke endnu opfundet en spyware, der kan sniffe sig frem til den lap papir, jeg har i min skrivebordsskuffe med det pågældende password.
Så prøvede de med at bilde mig ind, at det nok var en keylogger, der var installeret. Jeg gad ikke blive ved med at høre på dem, for jeg er næsten hysterisk med sikkerheden på min maskine. I stedet brugte jeg fem minutter på at finde over 700 (!!) andre websites på samme webhotels servere, der var inficerede med samme skjulte links som den hjemmeside, jeg sad med.
Jeg spurgte dem ydmygt, om de virkelig ville fastholde, at de ikke havde nogen sikkerhedsproblemer, og at de andre over 700 sites således også måtte have ejere med spyware på deres maskiner. I tror mig ikke, når jeg fortæller jer deres svar… Men ja – det mente de faktisk!
De strakte sig dog så langt, at de forsynede alle hjemmesider med nye passwords – men de sagde samtidig, at de ikke kunne finde nogen fejl i deres ende.
Jeg har en talemåde: “Bedøm aldrig folk på deres fejl – men på deres evne og vilje til at rette dem”. Det pågældende webhotel dumpede…
Hvad er riskoen for dig med denne type hacking?
Der er en meget, meget stor risiko for, at en sådan hacking med placering af skjulte links på din hjemmeside kan få dig smidt ud af Google!
Husk, at Google algoritmisk tjekker din hjemmeside – og de ser de skjulte links nemt. Skjulte links er “Fy-fy”, og der bliver taget action på dem i form af en ekskludering! Egentlig er du jo uskyldig, men det kan du ikke bruge til noget, når din trafik forsvinder, vel? Og du er ikke mere uskyldig, end at det ER dit ansvar, at der ikke findes snask på din hjemmeside.
Derfor er det vigtigt, at du overvåger, om der sker ændringer på din hjemmeside, du ikke selv laver. Og det kan du!
Sådan holder du øje med din hjemmeside
Der er et hav af services online, der kan hjælpe dig – jeg vil ikke nævne dem alle her. Jeg vil blot nævne den, jeg selv bruger: Changedetection.com Her kan du nemt oprette en eller flere sider og få dem overvåget. Du kan oven i købet selv bestemme, om du vil have besked, hvis der bliver tilføjet tekst eller fjernet tekst. Vælger du “tilføjet tekst”, får du besked, hvis der dumpes skjulte links eller andet på din hjemmeside. Og beskeden kan du få via mail eller via et RSS feed. Nemt – og helt gratis!
Jeg vil anbefale dig at gøre det – i dag!
Rosenstand out!
Uha Rosenstand, du kan da skræmme livet af folk. Men det er nu alligevel bedre du fortæller os det end, at vi skal lære det på den hårde måde. Tak for det. Men skal man så tilføje samtlige undersider, eller er det kun index filen som bliver ramt?
Jeg er jo lidt skræmmende 😉
De fleste af de sider, jeg omtaler i indlægget var forsider, men der var også undtagelser. Faktisk er det alle sider, der bør tilføjes. Måske er der nogle af læserne, der kender endnu bedre værktøjer?
Først og fremmest gælder det om at have et webhotel, der er med på beatet og sikrer sig mod denne slags overgreb. Og retter fejlene, når og hvis de opstår.
Mange tak for svaret. Nu har jeg i første omgang tilføjet min forside.
Jeg kan nemt forstå vigtigheden af, at have et hotel der passer lidt på os. Men det aner jeg da ikke et klap om hvem der gør, eller ikke gør. Jeg håber sandelig ikke det webhotel du fortæller om, er det samme som det jeg bruger.
Du ligger på unoeuro, kan jeg se – og det er ikke dem 🙂
Tak for oplysningen, det lettede.
God historie og ikke mindst ekstremt rystende at høre, hvordan webhotel-arrogance er skubbet til nye niveauer.
Jeg oplevede den samme type cracking i forbindelse med Den Store Gigahost Idioti i sommers. Her var den ekstra kode skjult ved at den var base64-kodet, så det hjalp ingenting at søge på ordene i linksene. Så derfor: har du mistanke om, at dine sider er ramt af denne type cracking/spam, så søg dine filer igennem for ord som “base64” og “eval”. De er sjældent brugt i blogværktøjer som WordPress, så finder du dem, er der sikkert noget i gære.
Jeg synes faktisk det værste er, når de forsøger at flygte fra ansvaret, og skyde skylden på brugerne.
Jeg har fået 2 site2 hacket ved gigahost.dk. Og jeg oplevede præcis samme ansvarsforflygtigelse. Eller sagt mindre diplomatisk, så lyver de også op i vores åbne ansigter. Sikke en forrentningsmoral.
Vi er også på multimedieforum.dk, der ligger på servage.net, blevet hacket, som du beskriver med skjulte links. En af de andre ejere havde flere sites liggende på samme konto. De blev også hacket. Vi fixede det bare og var ikke i kontakt med support derovre, så jeg kender ikke deres reaktion/moral.
@Ricco: Jep! Hvis det er base64, er det straks mere besværligt. Men det vil kunne ses i kildekoden i den genererede fil – trods alt.
Hej Thomas, Fin artikle!
Men, hvordan ender historien? Har webhotel udbyderen accepteret at det er deres fejl? Er webhotellets kunderne blevet oplyst om at disse links ligger på deres sites? 700 infected sites er en del.. 😀
Tak for det! Jeg kan se, at webhotellet er begyndt at fjerne de indsatte links fra deres kunders hjemmesider. Men om de har informeret deres kunder, ved jeg ikke.
Retfærdigvis skal siges, at webhotellet fortæller mig, at de arbejder videre med at undersøge forløbet etc. Men det var stadig umådeligt uklædeligt at få en ligegyldig melding fra dem, da jeg anmeldte problemet. Havde jeg nu vidst mindre om emnet, end jeg gør, kunne deres ligegyldighed have betydet, at flere hundrede af deres kunder var blevet ekskluderet i Google. For det var jo mig og ikke dem, der skulle påvise, at problemet var spredt ud over flere af deres servere på forskellige IP adresser. Det burde de have fundet ud af selv!
Omvendt: Hvis de ikke havde afvist mig så firkantet, havde jeg nok ikke tjekket deres andre webhoteller – og så kunne de stå med endnu et forklaringsproblem over for deres kunder, når Google høvlede dem ud.
Intet er så skidt, at det ikke er godt for noget!
Hvis nu man følger de skjulte links, fører det så ikke til synderen ?
Det er jo nok ikke så simpelt, kan jeg godt forestille mig, men logik for en udenforstående 🙂
Jo – men man kan sjældent eller aldrig bruge det til noget. Der er som regel tale om sites uden tydelig ejer. Det handler blot om at skovle trafik ind, høste mens de kan – og så er det hele nedlagt igen.
I andre tilfælde ved firmaet bag hjemmesiden end ikke, at der benyttes den slags metoder. Det ser vi ganske ofte.
Ganske rigtigt. Det løber koldt ned af ryggen på mig, når jeg læser sådan en historie. Jeg får en lyst til at tjekke samtlige hjemmesider, jeg har berøring med. Jeg kunne godt bruge lidt flere hints til, hvilken udbyder, der er tale om :o)
Change detection virker temmeligt omstændigt, hvis man skal bruge det på sider med større mængder indhold – og komplet umuligt for f.eks. blogs.
Patrick Altoft fra Blogstorm kom på et nogenlunde brugbart forslag i dette indlæg:
http://www.blogstorm.co.uk/how-to-use-google-alerts-to-find-out-if-your-site-gets-hacked/687/
Ideen er at bruge Google Alerts til at melde tilbage, hvis en række klassiske spamord findes på din hjemmeside i en site:-søgning. Der er masser af huller i det net selvfølgelig, men det er nok bedre end ingenting.
et lille spørsgmål.. til oraklet (-:
hvordan laver du de der indledende tekster.. på forsiden.. og så læs mere >>>
Jeg tænkter sådan rent teknisk.. kan man det med sin wordpress blog..??
Bare hvis nu du lige hurtigt kunne lære en stakkels blogger dette lækre trick (-:
så som…
“ldt defacing over total sletning til den langt mere skadelige form, der handler om, at der indsættes skjulte links på hjemmesiden. Det er sidstnævnte form, jeg vil skrive lidt om her.
Læs resten af historien »
#
Det er nemt: Du skriver den indledende tekst – og så vælger du i værktøjslinjen: “Insert more tag”. Så deler den dit indlæg op. Du skal så naturligvis lige tweake den standardtekst, der siger “Read more” til noget dansk.
Det kan du ikke på den blog, du linker til i din signatur, for du har valgt en blog på wordpress.com domæne. Men hoster du selv din WordPress, kan du det hele.
http://codex.wordpress.org/Customizing_the_Read_More
Hej Thomas
Det lyder unægteligt som om nogen har fået central administrator adgang og ikke de enkelte FTP konti der er blevet hacket. Historien er meget lig denne om Gigahost: http://www.computerworld.dk/art/47564?a=rss&i=0 og forskellen ligger mest i at “defacing’en” i dette tilfælde er usynlig. Historien burde kunne være relevant nok for Computerworld.
Mvh Jesper
Ja – det kunne lyde sådan. Det ville have været skønt, hvis det pågældende webhotel havde anlagt en anden vinkel på sagen og inddraget f.eks. mig i processen. Godt nok er jeg ikke hverken sikkerhedsekspert eller hacker, men jeg kunne åbenbart mere, end de kunne – som f.eks. at finde ud af, at over 700 sites var inficeret på deres servere. Og det er lidt spooky, for jeg er ikke en haj i de dele…
Desværre er jeg ikke specielt overrasket over denne historie. Nu skriver du ikke hvilket webhotel der er tale om, men det er lige præcis den slags der er skyld i, at jeg hoster mine sider i USA. Der er serviceniveauet som bekendt i en noget anden liga.
Hej Jan
Det kan man også godt i nogle tilfælde, men det dur ikke, hvis der er krav om synlighed i Google på dansk område – og man arbejder i et konkurrencepræget felt. Så bliver det lille handicap med hosting i et andet land end primært målområde pludselig for stort.
Der findes også danske webhoteller med meget højt serviceniveau og en professionel tilgang til f.eks. sager som den beskrevne. Men der er ikke så mange.
Hmm… ja den vinkel havde jeg ikke lige overvejet. Så kan jeg godt se man er lidt handicappet til at begynde med, når nu der ikke er så mange webhoteller i Danmark der leverer varen.
Det er derfor man skal sørge for at købe sin hosting hos en professionel leverandør 😉
Et sted hvor den enkelte kunder betyder noget selvom han ikke har tusind domæmer (ja … det er blandt andet hos os 😉
Derudover er den desværre klassisk … du kan være glad for at de ikke beskyldte dig for at have cracket deres servere og truede med retsag eller politianmeldelse hvis du udtalte dig.
havde ikke tænkt på det.
Godt link hr Rosenstand!
Jeg kan godt lide din åbne facon.
Man får langt større respekt ved at dele sin viden.
Jeg forsøgte at besøge én af dine (nye) kolleager blog – som også er blevet hacket:
sanne.fuursted.net
Jeg ved ikke, om det er samme server – men det har vist stået på en uges tid (minimum).
Se sådan på det: Firmaet har naturligvis klumret i sikkerheden, og det ved de godt. Men i samme sekund, at de indrømmer det, så er det værre, end hvis en eller anden tilfældig bruger “tror”, at de har klumret i det. Selv hvis brugeren har 100% ret, så har brugeren mindre gennemslagskraft, når firmaet selv afviser det.
Der er nogle spilleregler, som man følger, hvis man vil undgå uheldige assosiationer, og i webhosting-verdenen er en af dem, at man lader være med at indrømme sikkerhedsbrister af den slags, som du her er rendt ind i. Personligt ville jeg nok have hængt firmaet ud ved navns nævnelse, men nu er jeg jo heller ikke underlagt de spilleregler, der handler om at undgå brændte broer indenfor kunder til webudvikling.
@ Morten: Der er ikke tale om en kollega, og det er heller ikke samme hacking. Den nævnte er en defacing udført af islamistister, som efterlader deres perverse budskaber.
@wolf: Jep – men jeg mener stadig, at det giver mer respekt at indroemme en fejl og saa rette den. Men det synes de saa ikke…
Hej Thomas,
Kan du ikke oplyse, om den pågældende host har en URL på 3 bogstaver, der starter med “O” ?
Jeg har haft 2 sites, der har lidt samme skæbne – Der var indsat links til primært russiske sider. Jeg har dog bare rettet det og ændret FTP login og så går det lidt igen (som John Mogensen synger).
/ Claus
Hej Claus
Det er ikke dem, nej. Jeg er bange for, det er ganske mange hosts, der er sårbare. Det store problem i min “fortælling” er egentlig ikke sårbarheden – men holdningen til den.
Hej
Jeg har en gammel blog hvor jeg skrev lidt om vores rejser og feriebilleder for familien derhjemmes skyld. Jeg har ikke brugt bloggen i over et år og forleden ville jeg lige derind da jeg så den var blevet hacket/cracket.
Hvem finder dog glæde i at hacke en gammel privat hjemmeside med feriebilleder?? Hvordan har de gjort det og hvorfor?
Mit password kan de umuligt gætte da det er volapyk med store og små bogstaver samt tal mellem hinanden.
Med venlig hilsen Mette
Hej Mette
Man skal heller ikke bruge dit password for at hacke din blog – især ikke når du kører med en gammel version. Formålet? Det kan være at få links fra din blog eller plante virus der, som alle besøgende så får.
Kan du forklare mig, hvrdan de så har gjort det og hvordan man får sin side tilbage og hvordan man beskytter siden mod det i fremtiden???
På forhånd mange tusind tak!
Med venlig hilsen Mette
Hej Mette
Nej det kan jeg ikke – men det kan dit webhotel forhåbentlig. Det er dem, du skal have fat i først og fremmest. Du kan evt. tage kontakt til Brian Brandt http://brianbrandt.dk/kontakt eller til Anders Saugstrup http://www.saugstrup.org/kontakt/ der begge er super dygtige eksperter i WordPress. De kan sikkert hjælpe dig og til en fair pris. Held og lykke!
Mit webhotel (buydomains) svarede kort og godt at: det ikke var deres problem!
men hvis det kan ske igen og igen gider jeg slet ikke have en hjemmeside og bruge tiden på det, når den alligevel ender med at blive hacket/slettet.
Men jeg vil prøve at kigge på det. Takker!
Med venlig hilsen Mette
Jeg fandt lige deres svar. Her er det:
der er ikke noget vi kan gøre hvis din site er hacket , dette er gratis hosting og der er over 500.000 site pr server , de kan have hacket det via et forum eller andet shareware you kunne have liggende på din site.
Hej Mette
Nu ved jeg jo ikke, hvad der skulle være på din hjemmeside, men jeg antager, det er noget privat, siden du benytter dig af gratis hosting. Så er det klart, at du ikke kan forvente hverken sikkerhed eller support. Held og lykke med det – og vil du have et godt råd med på vejen, skal det være: Få dig et ordentlig webhotel.
Hej Thomas
Jeg har også lige et spørgsmål inden for det her område. Jeg har lavet en hjemmeside, der er blevet hacket, og der er nu på søgeresultater i Google en advarsel om, at der er skadelig kode på hjemmesiden. Jeg har i går flyttet hjemmesiden til en anden hostudbyder og den er blevet redelegeret (det blev sat i gang kl. 15:00 i går). På seobrowser kan jeg desuden se, at den skadelige kode ikke er på sitet længere, og går derfor ud fra at sitet er OK igen.
Så har jeg været inde på Google webmasterværktøjer og bede om en revurdering af sitet. Og her er så mit spørgsmål. Ved du noget om hvor lang tid, der typisk går, førend advarslerne bliver fjernet igen.
Jeg ville gerne spørge Google direkte, men det er jo nærmest lukket land, og du plejer jo at være velinformeret, når det gælder Google.
I øvrigt – held og lykke når I flytter mere vestpå…
På forhånd tak for et evt. svar
Hejsa
Her bruger vi aldrig “evt. svar” – vi svarer 😉
Det svinger lidt afhængigt af travlheden hos Google. Jeg har set sites reinkluderet på under fem timer – og jeg har set der gå 2-3 dage. Hvis du ikke har succes efter et par dage, ville jeg nok sende din request en gang mere. Brug evt. Googles danske webmasterforum, hvor den altid flinke og topkompetente Jonas (Google i Dublin) er til stede. Han kan sikkert hjælpe, hvis det virkelig kniber.
Ja gratis og gratis er nu så meget sagt. Det koster 100 kroner i oprettelse og herefter 34 kroner om året for 500 mb.
Hvilket selskab vil du anbefale jeg skifter til??
Med venlig hilsen Mette
Et professionelt webhotel koster en hel del mere – 34 kroner om året er jo reelt gratis. Denne blog hostes på et webhotel til næsten 200 kr. pr. måned til sammenligning 😉
Jeg vil ikke ud i en anbefaling, for jeg aner ikke, hvad du skal bruge og hvilke krav, du har. Men er din hjemmeside vigtig, skal du kigge efter løsninger til mindst 1.000 kr. årligt.
Jeg har bare en rejseblog. Den er ikke vigtig, men jeg gider heller ikke have den bliver hacket, da jeg jo så har brugt timer, uger og måneder forgæves.
Så vidt jeg kan forstå er den blevet hacket pga. jeg har kommentar funktion eller hvad?
Dvs. hvis jeg koblede kommentarfunktionen fra, vil den ikke kunne blive hacket?
Med venlig hilsen Mette
Prøv evt. unoeuro.com – det koster en euro pr. måned og fungerer glimrende. Nej – det har intet med kommentarer at gøre, at du er blevet hacket.
Tak! 😀
Hehe – ja kr. 34,- om året er vist så godt som gratis. Jeg betaler $45 om måneden, hvilket vel er omkring samme prisleje som Rosenstand.
Uanset – så kan din host ikke beskytte dig imod, at den software du bruger til din blog ikke er up-to-date. Med mindre du naturligvis betaler dem for at holde din software up-to-date. Men så koster det nu nok endnu mere.
Det behøver så ikke have noget som helst med kommentar-funktionen at gøre. Det er simpelthen et spørgsmål om hele tiden at få opdateret sin installation. Det der er sikkert på nettet i dag kan være hullet som en si i morgen. Desværre.
Hej Thomas
Ja det ved jeg jo godt – at du altid svarer, men det kunne jo være, at du bare en enkelt gang ikke lige havde et svar. Det havde du så – og som sædvanligt mere end et. Tak for det.
Lige til information så er det allerede på plads. Advarslerne er væk, så det gik pænt hurtigt.
Men ellers tak for hjælpen, og nu ved jeg da, at der er hul igennem til Google, og at de har en dansk supporter rimeligt tæt på, hvis det skulle brænde på en anden gang.
@Jan Skinnerup
Jeg har bare hentet en wordpress blog og brugt den.
Jeg gad bare godt vide hvordan de har gjort det så jeg kan lukke hullet.
/Mette