Hjemmeside hacket

Du kan rimeligt tjekke en IP adresse her: http://www.geobytes.com/ipLocator.htm

Dit site bliver defacet, og det kan der være UTROLIG mange indgangsvinkler til, at det gør.
Primært skyldes det usikker kode et eller andet sted på sitet. Det vil sige at der et eller andet sted er noget kode, hvor input fra brugeren ikke checkes ordentligt, f.eks. ved brug af regexes.

Det kan være at de via webapplikationen har formået at eksekvere kode på maskinen så der er en bagdør, eller joinet maskinen ind i et botnet.

Alternativt kan der, hvis RDP til serveren står åben være en kompromitteret konto på serveren. Det kan iogså være at IIS'en ikke er 100% opdateret og de er udnyttet et sikkerhedshul. Hvis der er FTP kan det være at de er gået ind via FTP.

Er der installeret et kontrolpanel som f.eks plesk eller lign. på serveren?  Hvis ja, så er der også en stor risiko for at fejlen findes der.


Men.. hvad gør man så?  Først, så sørger du for at der intet snavs er på serveren, det værer sig forskelligt malware og virus af alle slags.

Dernæst kigger du på hvilke porte og services der er åbnet ud mod verden - og sikrer at der ikke er noget der som ikke er tilsigtet.

Så kigger du på din webapplikation:

- Hvor kigges cder på brugerinput fra POST forme?  I såfald, er det valideret godt nok? - Der skal kigges på _ALLE_ felter, både søgefelter, loginfelter, emnefelter til internet postsystem eller hvad det end måtte være. Alt input skal vlaideres.

- Er der nogle steder hvor webapplikationen roder med filer på serveren? Og er det muligt at XSS'e sig ind med nogle data f.eks. i felter der er angivet som "hidden" i html koden?

- Er der en database? Hvis der er, hvordan kommunikeres med den?  Skrives SQL queiues i URL'en eller i hidden fields?  Altså, er det på nogen som helst måde muligt for brugere at give input til de SQL queries der laves?

- URL'er... er der GET requests nogen steder? Valideres de?



Dette er nogle ting du kan starte med at kigge på og sikre. For det er helt eikker tat der er en fejl et sted.

Hmm det bliver vist en del mere omfattende end jeg har evner til :(

Der er ikke tilladt remote access på serveren.

Opdatering af indholdet i databasen sker via et id i Url´en, men inden den når dertil er der et check på om brugeren har det rette session ellers redirect til forsiden.

Hvis jeg laver et ip check i masterpagen, kan det så løse problemet.?
Eller der er den måde at blokkere alle de $£@$*€#¤ lande på.?

Jeg har flere sites til at køre på den server, men de er aldrig blevet hacket. :(

Der er installeret Plesk som er opdateret.

Men skal da have fat i min udbyder og sikre mig det hele er opdateret.

Så prøver jeg også at skifte password til ftp´en for at sikre mig det ikke er den vej de kommer ind.

hvad med login? det sker vel via postfelter. Er der styr på SQL injections der?


Uanset, så ér det en større opgave at have website med dynamisk content og/eller server. Ikke så længe det kører, så kan alle gøre det. Men ligeså snart man skal huske sikkerhed og forsøge at få ting til at virke igen når de er gået kold, så er det desværre for mange en overraskende stor opgave.

Så fik den lige en tur igen i nat.! :-(
Det mærkelige af det hele er at der køre 7 andre sites på serveren, og de har aldrig været hacket.!??

Så nu har jeg skiftet password på ftp´en, for at se om det var den vej de kom ind.!

Så sætter jeg mig ned og laver en komplet ip range liste over problem landende, så bliver de blokeret via httpmodules og sendt til reklame domæne. :-D

Men indtil listen er færdig fjerner jeg muligheden for at opdatere siden online.!

Jeps login der er der også styr på tingene.

Men takker for hjælpen, så der er lidt points til dig. :-)



Serveren er opdateret