XmasB.com er hacket

Uten at jeg kan forklare hvordan er det nå ingen tvil. Bloggen er blitt hacket, og er full av usynlige linker.

Hacket? Det begynte med at jeg hadde noen problemer med en plugin. Mens jeg gikk gjennom filene som tilhørte denne, ble jeg oppmerksom på en del filer som ikke hørte hjemme der. Det var rene html filer som kun inneholdt lenker til diverse sider jeg ville holdt meg langt unna, de aller fleste relatert til piller og diverse medikamenter så langt jeg kunne tolke. I tillegg har flere av php filene som tilhørte temaet fått flere tusen skjulte lenker og mystisk kode jeg ikke orket sette meg inn i. At egendefinert brukernavn og passord var definert var ikke et godt tegn. Jeg slettet alt jeg kom over, og var ikke så opptatt av å dokumentere imens.

Hva nå? Jeg slettet de filene jeg hadde kommet over og lette gjennom alle kataloger på serveren i tilfelle det var flere, og er nå ganske overbevist om at jeg har fått ryddet unna det meste. Jeg vil heller få ryddet opp i rotet fremfor å benytte meg av backup og miste oversikten jeg har nå. Jeg skal ikke skryte på meg å ha dagsaktuell backup nå heller. Den siste jeg har er ivhertfall en god uke gammel, og jeg er ikke helt sikker på når hackingen skjedde uansett. Det er muligens lettere å benytte anledningen til å rydde litt. Så det har jeg gjort. Og jeg rydder fremdeles. Det meste er på plass igjen, men det nye temaet krever en del tilpasninger som jeg får ta etterhvert.

Kan det skje igjen? For å sikre meg mot fremtidige angrep har jeg selvfølgelig byttet passord på brukeren min, ftp kontoen og mySQL kontoen. I tillegg har jeg lastet ned WordPress på nytt i tilfelle det er blitt tuklet med filene, og byttet tema fordi jeg har bekreftet at filene der er blitt tuklet med. Jeg føler meg i det hele tatt ganske trygg nå. Men kan det skje igjen? Helt klart, men det er en del ting man kan gjøre for å beskytte seg. Skrivetilgang er nok et stikkord for meg, der har jeg slurvet litt. Utifra hvilke steder filer har dukket opp kan det se ut som om dette var den største tabben.

Hvorfor meg? «Man tenker aldri at det kan skje en selv, før det faktisk skjer». Hørt det før kanskje? Det er heldigvis bare en blogg, men ja, det føles litt sånn. Jeg tror de fleste blogger blir forsøkt hacket eller misbrukt på andre måter ofte. Jeg har tidligere fulgt nøye med på logger og konkluderte den gang med at det var for mange angrep til å følge med på. Det var lettere å bare glemme dem, og håpe at man er godt nok beskyttet. Og etterhvert begynner man kanskje å slurve litt… En erfaring rikere, selv om jeg ikke kan sikkert si at jeg kunne avverget hackingen. Mest sannsynling.

Jeg tror også pluginen min kan gjøre meg til en aktuell kandidat. Jeg er lenket til fra mange lister over WordPress plugins. Et greit utgangspunkt for en som måtte ønske å hacke en WordPress blogg. Skulle jeg skrevet kode for å angripe en WordPress blogg ville jeg også kanskej begynt der…

Nytt tema? At jeg har lagt ned mange timer for å det forrige temaet til å oppføre seg som jeg ville må jeg bare glemme. Jeg har lenge hatt planer om å bytte, men likte ikke tanken på all jobben som er lagt ned i det forrige. Det meste er faktisk inkludert i det temaet jeg nå har valgt likevel, og masse annet som jeg ikke har tenkt på engang. I like it! (Ja, det er selvfølgelig mye som gjenstår enda…)

Konsekvenser? Mitt forrige innlegg, Søkemotorene vil ikke lenger ha meg har ganske sikkert sammenheng med hackingen. Min egen teori er at alle linkene og html filene ga meg en ganske å herlig straff hos min største leverandør av søketreff, Google. Med mange tusen skjulte linker kan jeg bare anta at dette har dyttet meg langt ned blant søkene som kunne ledet hit. Jeg er heldigvis mer opptatt av de leserne som kommer tilbake, og der stiller besøkende fra Google som oftest dårlig. Men kjedelig er det likevel. Forhåpentligvis har jeg fjernet alt som kunne fortsette å gjøre skade. Noe av koden kom tilbake bare timer etter at jeg fjernet den igår… Vi får håpe jeg slipper det nå.

Er du trygg? I løpet av (snart) tre år med denne bloggen har jeg aldri hatt noen liknende problemer. Sannsynligheten er sånn sett heldigvis liten. Jeg ville likevel tatt noen forhåndsregler, som å sørge for at man har siste versjon (uansett plattform), ikke mer enn nødvendig tilgang på filområder, ftp og database, og gode passord. Helst forskjellig for innlogging til blogg, ftp og database. For andre WordPress bloggere vil jeg anbefalte å ta en titt på dette innlegget. (Takk til Kristin for linken via Twitter.)

14 tanker om “XmasB.com er hacket

  1. Iskwew

    Godt at du er tilbake. Dette temaet var forresten veldig fint.

    Dette kan vi nok utsettes for alle som en – men kanskje du er ekstra utsatt på grunn av innstikket. Men det er vel ellers slik at hackere scanner et stort antall blogger for å finne noen med sikkerhetshull.

    Svar
  2. XmasB Innleggsforfatter

    Jeg liker dette temaet bedre enn det forrige, så det beholder jeg nok. Skal bare tilpasse så smått her og der, så blir det bra.

    Jeg tror ingen hackere (eller boter som det gjerne blir) holder seg til noen hundre sider nei.

    Svar
  3. Audun Wangen

    Vil nok tro at treffprosenten fra Google kan ha noe med hackingen å gjøre, ja. Jeg kommer i alle fall tilbake 🙂

    Du kan ikke se når du ble hacket ut i fra datomerkingen på de suspekte filene da? Det er uansett vanskelig i finne ut hvor svakheten har vært, for ofte har man jo et vell av innstikk og modifiseringer.

    I tillegg er det ikke sikkert det er en selv som er skyldig heller. Drifter du ikke løsningen på egen tjener, kan det fort være at de har kommet til deg via svakheter hos hosten eller en annen side de drifter. Bra det ikke er sensitive personopplysninger som står på spill her, slik det fort kan ende med hos min arbeidsgiver (grøss).

    Svar
  4. Thomas Karlsen

    Uansett årsak: bra du fikk orden på det til slutt. Jeg må samtidig få gratulere så mye med et nytt og friskt utseende her på bloggen. Ser også frem til mange, og friske bloggposter den kommende tiden 🙂

    Svar
  5. Geir

    Blir spennende å høre om du finner noen forklaring på dette. En dag jeg satt og jobba på en av bloggene mine ble skjermen plutselig svart og en melding om at jeg var blitt hacket kom opp. Jeg fikk fem sekunder på meg til å trykke på OK før hele bloggen gikk i oppløsning. Jeg rakk det, og siden har det ikke vært noen problemer. Har ingen forklaring, siden ser ren ut og jeg skjønner ingen ting.

    Ellers helt enig med de andre: Forfriskende tema.

    Svar
  6. Rune

    Kjekt å se deg «på beina» igjen!

    Ditt nye tema ser veldig bra ut! Som Geir sier, så blir det spennende å se om du klarer å få ut litt mer info… Bare siden jeg er nysgjerrig; hvilken utgave av WP kjørte du da du ble hacket?

    — Rune

    Svar
  7. Cavey

    Vil anbefale å kjøre en virussjekk også. Ble selv hacket for en stund siden. Den ene gangen var det via serveren (flere på samme server ble hacket). Men andre gangen ble to forskjellige sites på to forskjellige servere hacket omtrendt samtidig (under en halvtime imellom) med eksakt samme kode. Og maskinen min hadde plutselig flere virus/ormer.

    Svar
  8. Kenneth

    Må bare si at det er leit at slike ting skjer. Det bekrefter bare hvor viktig det er med gode backuprutiner. Men hadde du satt en litt vel åpen skrivetilgang er nok det grunnen til at dette skjedde. Men likevel anbefaler jeg at du tar og skanner maskinen din med Malwarebytes Anti-Malware slik at du er sikker på at dette ikke er grunnen.

    Svar
  9. Joakim

    Leit når slike ting skjer! Kanskje et glimrende eksempel på at skrivetilganger er alfa og omega. Backup er heller ikke å forakte om uhelet er ute.

    Kan jeg spørre hor du lastet ned pluginen som førte til problemet?

    Ditt nye tema var forfriskende, dog gir deg meg ikke samme xmasb-følelsen som det forrige 🙂

    Svar
  10. XmasB Innleggsforfatter
    Audun Wangen : Du kan ikke se når du ble hacket ut i fra datomerkingen på de suspekte filene da?

    Jeg var nok litt raskt ute med å slette filene, Audun. Jeg tenkte ikke engang over det der og da. Skulle selvfølgelig notert tidspunktet på filene…

    Audun Wangen : Bra det ikke er sensitive personopplysninger som står på spill her, slik det fort kan ende med hos min arbeidsgiver (*grøss*).

    Jeg tar nok litt mer sjanser på en privat blogg enn jeg ville gjort med data fra arbeidsgiver. Så ser vi jo hvordan det gikk.

    Takk, Thomas. Bloggen lever videre.

    Geir : En dag jeg satt og jobba på en av bloggene mine ble skjermen plutselig svart og en melding om at jeg var blitt hacket kom opp. Jeg fikk fem sekunder på meg til å trykke på OK før hele bloggen gikk i oppløsning.

    Det hørtes veldig, veldig rart ut, Geir. Men bra det ordnet seg da.

    Rune : Kjekt å se deg “på beina” igjen! Bare siden jeg er nysgjerrig; hvilken utgave av WP kjørte du da du ble hacket?

    Kjørte, og kjører, versjon 2.7.

    Cavey : Vil anbefale å kjøre en virussjekk også.

    Det gjøres daglig, og fortløpende i bakgrunn. Ingen varsler på lokal maskin.

    Kenneth : Må bare si at det er leit at slike ting skjer. Det bekrefter bare hvor viktig det er med gode backuprutiner. Men hadde du satt en litt vel åpen skrivetilgang er nok det grunnen til at dette skjedde. Men likevel anbefaler jeg at du tar og skanner maskinen din med Malwarebytes Anti-Malware slik at du er sikker på at dette ikke er grunnen.

    Har slurvel litt med bakcup i det siste. Skal sette opp en automatisk løsning for dette tenkte jeg. Ettersom filene dukket opp på et område med løs skrivetilgang er nok dette et hint ja. Har strammet kraftig inn nå. Bruker selv nevnte program ofte. Finner ingenting.

    Joakim : Kan jeg spørre hor du lastet ned pluginen som førte til problemet? Ditt nye tema var forfriskende, dog gir deg meg ikke samme xmasb-følelsen som det forrige.

    Jeg tror neppe innstikket hadde skyld i noe som helst, så jeg vil heller ikke sette noen i et dårlig lys… Den følelsen skal nå bli erstattet med en ny og enda bedre XmasB-følelse!

    (spent på hvordan denne kommentaren blir seende ut…)

    Svar
  11. NachtWulff

    Dette høres skummelt ut. Meh. Jeg har utsatt nettsideplanene mine en stund nå, men håper på å få det til i løpet av Januar.

    Jeg lurte forresten på en ting ang. WordPress. Er det mulig å ha bloggen på en annen side enn index, og om det går å ha to blogger på samme side? F.eks /blog og /norsk.

    Godt nytt år forresten. 🙂

    ~NachtWulff

    Svar
  12. XmasB Innleggsforfatter

    @NachtWulff Morsomt var det heller ikke. Ser frem til å se hva du ender opp med.

    Du kan ha så mange installasjoner av WordPress som du måtte ønske på en server. Jeg har lagt WordPress på rotnivå, men du kan fint legge denne i en egen mappe, f.eks «http://dinurl.com/blog/». Jeg har en egen testblogg på dette domenet som er lagt på egen mappe, og det fungerer ypperlig (selv om jeg sjelden gidder bruke den).

    Godt nytt år til deg og!

    Svar
  13. Kjetil

    Da jeg satte opp dolcevita.no – som er et Italia-nettsted + en blogg – satte jeg det opp med tre uavhengige WP-installasjoner. (To hadde holdt; den tredje begynte som et eksperiment.) To grunner var viktige: Å kunne drive vedlikehold på én del av nettstedet uten å legge ned hele, – og å unngå problemer med inkomptibiletet mellom ulike plugger, særlig blant noen av de mest avanserte (ja da, jeg trengte mange for å få alt til å fungere. Dessuten har har en database klikket en gang; hoveddelen av dolcevita ble ikke påvirket. (Man kan også legge flere WP-installasjoner inn mot én database; det er bare å bruke ulike tabell-prefikser – kikk på wp-config-fila…) Ulempen er at alle WP- og plugg-oppdateringer må gjøres tre ganger, men dermed får man dessto mer rutine. Jeg har lagt hoveddelen på rot og de to andre på /blogg og /cucina. Ciao Kjetil

    Svar
  14. XmasB Innleggsforfatter

    På det meste har jeg hatt fire WordPress installasjoner på dette domenet. I dag jeg har jeg i praksis to, pluss en som jeg ikke bruker. Dette har gitt meg gode muligheter til å teste mye rart, og ikke minst lage nye nettsider før domenet har vært på plass. Et eksempel er Captured Echoes som lenge lå på dette domenet.

    Oppdateringer av både WP og plugins synes jeg stort sett går veldig greit. Det som tar litt tid er å sørge for en helt fersk backup før hver oppdatering. Men absolutt overkommelig.

    Svar

Legg inn en kommentar