I ett stort angrepp på Lunarstorm ersattes uppskattningsvis 5000 medlemmars presentationssidor med en länk till ett forum på konkurrerande webbsidan Hamsterpaj. Ägaren Johan Höglund svär sig fri:

Allt tyder på att ett så kallat cross site scripting har använts för att utnyttja ett säkerhetshål i sajten Lunarstorms programmering. En del rapporter om att medlemmar som klickat på länkar i sina gästböcker förekommer, men även dom som inte utfört denna handling har blivit drabbade.

Frågan är dock vad Lunarstorm kan göra för att säkra sina medlemmars fortsatta förnöjelse? En fullständig säkerhetsanalys verkar vara på sin plats. Det faktum att länken ledde till Hamsterpaj, en rivaliserande community verkar också märkligt och det skulle inte förvåna mig om det är en anställd på Hamsterpaj som roat sig utanför verksamhetens ramar på sin fritid. Det vore i så fall inte första gången någonting sådant hände bland svenska företag...

I IDG kan vi läsa om problemen med tomma IT avdelningar och dom problem som kan uppstå under sommarens heta dagar då semestertider hägrar. Även om artikeln tar upp problem med uppdateringar av Microsoft's produkter så kan vi med ganska stor sannolikhet säga att problemet gäller dom flesta IT relaterade uppdateringar, inklusive visrusskydd och anda säkerhetsuppdateringar.

Vi ser ju att problemen under sommaren med vikarier och tekniska problem som tar längre tid att ordna upp i sommarhettan i flera sammanhang. Bland annat så har ju bredbandsbolaget fortfarande problem med sin epost efter flera veckor och ingen kan väl ha missad den mentala härdsmälta som rikspolisstyrelsen råkat ut för i samband med deras barnpornografi filter.

Lite elakt får jag säga att jag skrattade när jag läste den här "nyheten" eftersom fenomenet med gif filer som innehåller skadlig kod inte direkt är något nytt, snarare tvärtom. Jag har kontaktat diverse webbhotell och datacenter i flera år när jag hittar knäppgökar som försöker sig på att hacka sig in genom XSS (Cross-Site Scripting) attacker mot kunders konton och det händer då och då att det inkluderar gif filer på ett eller annat sätt. Jag har nog troligen kontaktat dom flesta stora image hosting företagen angående sådana filer genom åren, som imageshack och photobucket.

Dessa "giffar" är också ett stort problem för alla skript som tillåter uppladdning av bilder eftersom det blir en säkerhetsrisk, men med Mod_security och PHPSUEXEC har du iallafall lite säkerhet. Det som var nytt här dock är att filen inte bara innehöll php kod, utan först en helt legitim 1x1 gif, vilket jag inte sett tidigare.

Man lär sig nåt nytt (och ibland gammalt) varje dag!

Källa:Turbotrojan smittar tiotusen sajter

Det låter onekligen allvarligt och eftersom det attackerar via kända och patchade sårbarheter i Windows så är frågan varför dom patcher som finns och som borde förhindra den här typen av attack inte är installerade i så stor utsträckning? Kanske det är på sin plats med en diskussion om hur windows förmedlar sin information till sina kunder och hur dom automatiska uppdateringarna borde fungera?

Jag ska se om jag kan få lite information om hur webservrarna attackeras, men med tanke på beskrivningen kan jag gissa hur attackerna går till och jag kan bara sucka över den brist på säkerhet som följer webbhotell branschens brist på mogenhet när varje tonåring tycks ploppa upp ett webbhotell utan någon som helst kunskap eller erfarenhet. Säkerställ webbservern med PHPSUEXEC och Mod_security som minimum och jobba sen stenhårt med att kontrollera skript som installeras så att servern inte står med rumpan bar när småglinen kommer och ska hacka sig in. Dessa två mycket enkla säkerhets aspekter förminskar risken avsevärt att råka ut för sårbarheter i PHP skript.

I det här fallet hade skojarna lagt upp en serie kataloger som alla hette /www.bankofamerica.com/ så genom använda find kommandot kunda jag söka igenom servern efter dessa filer genom följande kommando:

find . -name *bank* -print

När jag väl hittade en katalog som passade in har dom lagt in ett skydd som förhindrar att man ändrar CHMOD eller raderar filerna genom FTP eller Cpanels kontrollpanel. Då fungerar följande kommando i SSH ypperligt:

rm -rf www.bankofamerica.com/

Det tar bort hela katalogen och alla underkataloger som en varm kniv genom smör.

Totalt har jag hittat över 2000 filer med felaktig CHMOD, så jag har skickat ut ett brev till alla kunder att hålla lite koll på skripten dom installerar och se över dom filer dom har på sina konton utifall jag missat något. Det tog ett tag, men förhoppningsvis ska det mesta vara tilltäppt nu iallafall. Hade gärna spenderat tiden på annat, men kundernas säkerhet går alltid först.

Andra SSH kommandon som är användbara är dom som föreslås av Cpanel:

netstat -anp : Look for programs attached to ports that you did not install / authorize

find / ( -perm -a+w ) ! -type l >> world_writable.txt : Look at world_writable.txt to see all world writable files and directories. This will reveal locations where an attacker can store files on your system. NOTE: Fixing permissions on some PHP/CGI scripts that are not properly coded will break them.

find / -nouser -o -nogroup >> no_owner.txt : Look at no_owner for all files that do not have a user or group associated with them. All files should be owned by a specific user or group to restrict access to them.

ls /var/log/: There are many different logs on your system which can be valuable resources. Check your system logs, apache logs, mail logs, and other logs frequently to make sure your system is functioning as expected.