Säkerhet

I lördags blev upp till 5.000 medlemmar på den populära community sajten Lunarstorm av med sina presentationssidor av med sina krypin på grund av ett intrång.
 
I ett stort angrepp på Lunarstorm ersattes uppskattningsvis 5000 medlemmars presentationssidor med en länk till ett forum på konkurrerande webbsidan Hamsterpaj. Ägaren Johan Höglund svär sig fri:

Visst skulle jag gärna se Lunarstorm i konkurs, men sådana här metoder använder jag inte, säger grundaren Johan Höglund till Aftonbladet.

Allt tyder på att ett så kallat cross site scripting har använts för att utnyttja ett säkerhetshål i sajten Lunarstorms programmering. En del rapporter om att medlemmar som klickat på länkar i sina gästböcker förekommer, men även dom som inte utfört denna handling har blivit drabbade.

Vi jobbar för att lösa det och kommer att kunna rädda den information som tagits bort, säger Bjarne Otterdahl, marknadschef på Lunarstorm, till Aftonbladet

Frågan är dock vad Lunarstorm kan göra för att säkra sina medlemmars fortsatta förnöjelse? En fullständig säkerhetsanalys verkar vara på sin plats. Det faktum att länken ledde till Hamsterpaj, en rivaliserande community verkar också märkligt och det skulle inte förvåna mig om det är en anställd på Hamsterpaj som roat sig utanför verksamhetens ramar på sin fritid. Det vore i så fall inte första gången någonting sådant hände bland svenska företag...

Internet blir allt mer fylld av otäcka virus, trojaner och annat och kanske är det dags att fundera på säkerheten lite extra nu under sommaren då företagens säkerhets uppateringar hamnar i skymundan för IT avdelningarnas semestrar. Varför inte beta testa Nortons nya antivirus medans du ligger i hängmattan?
 
I IDG kan vi läsa om problemen med tomma IT avdelningar och dom problem som kan uppstå under sommarens heta dagar då semestertider hägrar. Även om artikeln tar upp problem med uppdateringar av Microsoft's produkter så kan vi med ganska stor sannolikhet säga att problemet gäller dom flesta IT relaterade uppdateringar, inklusive visrusskydd och anda säkerhetsuppdateringar.
 
Vi ser ju att problemen under sommaren med vikarier och tekniska problem som tar längre tid att ordna upp i sommarhettan i flera sammanhang. Bland annat så har ju bredbandsbolaget fortfarande problem med sin epost efter flera veckor och ingen kan väl ha missad den mentala härdsmälta som rikspolisstyrelsen råkat ut för i samband med deras barnpornografi filter.

På ett större bildarkiv på nätet har en php-exploit påträffats. På ytan ser filen ut som en vanlig gif-bild.


Internet Storm Center varnar för att php-exploits kan gömma sig i vad som på ytan ser ut som vanliga gif-bilder.
 
- Det är intressant och skrämmande att finna en fil som beter sig som en vanlig GIF-fil, men innehåller en script-exploit, skriver Internet Storm Centers Larna Hutcheson
 
Källa: Skadligt php-script maskeras som gif-bild
Lite elakt får jag säga att jag skrattade när jag läste den här "nyheten" eftersom fenomenet med gif filer som innehåller skadlig kod inte direkt är något nytt, snarare tvärtom. Jag har kontaktat diverse webbhotell och datacenter i flera år när jag hittar knäppgökar som försöker sig på att hacka sig in genom XSS (Cross-Site Scripting) attacker mot kunders konton och det händer då och då att det inkluderar gif filer på ett eller annat sätt. Jag har nog troligen kontaktat dom flesta stora image hosting företagen angående sådana filer genom åren, som imageshack och photobucket.
 
Dessa "giffar" är också ett stort problem för alla skript som tillåter uppladdning av bilder eftersom det blir en säkerhetsrisk, men med Mod_security och PHPSUEXEC har du iallafall lite säkerhet. Det som var nytt här dock är att filen inte bara innehöll php kod, utan först en helt legitim 1x1 gif, vilket jag inte sett tidigare.
 
Man lär sig nåt nytt (och ibland gammalt) varje dag!

Över tiotusen webbplatser har infekterats av en snabb och avancerad trojan. Den försöker sen i sin tur att infektera datorer som besöker den smittade webbplatsen.
 
Enligt The Register arbetar minst ett antivirusföretag, Trend Micro, tillsammans med FBI för att spåra och stoppa den eller de som spridit den elaka koden. Liknande attacker har varit rätt vanliga den senaste tiden men ingen har spridit sig lika fort som denna. Mellan fredag och söndag ökande antalet smittade webbplatser från 1 100 till cirka 2 500. Måndag eftermiddag var över 10 000 webbplatser smittade, enligt Paul Ferguson på Trend Micro.
 
 
 
När en server smittats lägger angriparna in en osynlig iframe till webbplatsen som på ett dolt sätt omdirigerar besökaren till ett par sidor som försöker använda ett par kända (och patchade) sårbarheter i Windows för att installera en uppsättning elak kod kallad MPack som bland annat avlyssnar tangentbordet, keylogger, och annat digitalt oknytt. På de sidor som besökaren skickas till finns det enligt Symantec en omfattande uppsättning angreppsverktyg skriva i PHP för att köras på en PHP-server med databas-koppling.

 
Källa:Turbotrojan smittar tiotusen sajter
 
Det låter onekligen allvarligt och eftersom det attackerar via kända och patchade sårbarheter i Windows så är frågan varför dom patcher som finns och som borde förhindra den här typen av attack inte är installerade i så stor utsträckning? Kanske det är på sin plats med en diskussion om hur windows förmedlar sin information till sina kunder och hur dom automatiska uppdateringarna borde fungera?
 
Jag ska se om jag kan få lite information om hur webservrarna attackeras, men med tanke på beskrivningen kan jag gissa hur attackerna går till och jag kan bara sucka över den brist på säkerhet som följer webbhotell branschens brist på mogenhet när varje tonåring tycks ploppa upp ett webbhotell utan någon som helst kunskap eller erfarenhet. Säkerställ webbservern med PHPSUEXEC och Mod_security som minimum och jobba sen stenhårt med att kontrollera skript som installeras så att servern inte står med rumpan bar när småglinen kommer och ska hacka sig in. Dessa två mycket enkla säkerhets aspekter förminskar risken avsevärt att råka ut för sårbarheter i PHP skript.

Är det någonting som kan förstöra en dag så är det att får brev från bankofamerica.com där dom påtalar att en kund har phishing sidor upplagda på sitt konto. Istället för att sätta mig ner och jobba på en del projekt fick jag nu istället slänga upp SSH och gå igenom servern efter dessa filer och en snabbgenomgång av alla konton på servern efter osäkra skript och felaktiga CHMOD permissions. Lyckligtvis finns det en del SSH kommandon som underlättar, som till exempel find och RM.
 
I det här fallet hade skojarna lagt upp en serie kataloger som alla hette /www.bankofamerica.com/ så genom använda find kommandot kunda jag söka igenom servern efter dessa filer genom följande kommando:
 
find . -name *bank* -print
 
När jag väl hittade en katalog som passade in har dom lagt in ett skydd som förhindrar att man ändrar CHMOD eller raderar filerna genom FTP eller Cpanels kontrollpanel. Då fungerar följande kommando i SSH ypperligt:
 
rm -rf www.bankofamerica.com/
 
Det tar bort hela katalogen och alla underkataloger som en varm kniv genom smör.
 
Totalt har jag hittat över 2000 filer med felaktig CHMOD, så jag har skickat ut ett brev till alla kunder att hålla lite koll på skripten dom installerar och se över dom filer dom har på sina konton utifall jag missat något. Det tog ett tag, men förhoppningsvis ska det mesta vara tilltäppt nu iallafall. Hade gärna spenderat tiden på annat, men kundernas säkerhet går alltid först.
 
Andra SSH kommandon som är användbara är dom som föreslås av Cpanel:

netstat -anp : Look for programs attached to ports that you did not install / authorize

find / ( -perm -a+w ) ! -type l >> world_writable.txt : Look at world_writable.txt to see all world writable files and directories. This will reveal locations where an attacker can store files on your system. NOTE: Fixing permissions on some PHP/CGI scripts that are not properly coded will break them.

find / -nouser -o -nogroup >> no_owner.txt : Look at no_owner for all files that do not have a user or group associated with them. All files should be owned by a specific user or group to restrict access to them.

ls /var/log/: There are many different logs on your system which can be valuable resources. Check your system logs, apache logs, mail logs, and other logs frequently to make sure your system is functioning as expected.