Säkerhet

Nytt script sänder spam från din WordPress-sida

Våra tekniker har upptäckt en ny hacking-kampanj som riktar sig mot föråldrade WordPress-versioner. Hackarna utnyttjar ett säkerhetshål i WordPress för att skicka ut spam-mail.

Detta upptäcktes då vårt övervakningssystem larmade om en stor mängd utgående mail på en av våra webservers. Då larmet gick blev avsändaren automatiskt blockerad.

Därefter lokaliserades spam-utskicken till ett script som är upplagt på många gamla Worpress-installationer, scriptet har laddats upp genom ett säkerhetshål i WordPress.

Om scriptet tillåtits fortsätta köra hade vi blivit tvugna att blockera hela hemsidor, samt allt mailutskick från scripts på domänen då det kan leda till svartlistning av servern, vilket orsakar problem för andra kunder.

Denna incident visar hur viktigt det är att hålla alla CMS-installationer uppdaterade. Hade WordPress på de drabbade domänerna varit uppdaterad till senaste versionen hade detta inte hänt.

Om du behöver hjälp med att uppdatera din WordPress, kontakta gärna vår support.

Håll hackarna ute ur Joomla

I loppet av den sista veckan har vi skrivet blogginlägg gällande säkerheten i CMS-system. Nu har turen kommit till Joomla som precis som WordPress används flitigt vid administrationen av hemsidor.

Joomlas popularitet är en av orskerna till att det blir ett mål för hackare precis som alla andra populära CMS-system.

Det är viktigt att du håller din Joomla installation uppdaterad så att du undgår obehagliga besök från hackare. Uppdateringarna ger oftast även en del nya funktioner till din Joomla hemsida. Exempelvis blir din administrationsplanel väsentligt mycket bättre i de senaste versionerna av Joomla och du får möjligheten till att styra innehållet på din sida på ett mer effektivt sätt.

Att uppdatera Joomla ger alltså flera fördelar, man får tillgång till fler och bättre funktioner och samtidigt så gör man sin sida mer säker.

Notera att en hackad Joomla installation kan påverka andra användare hos Surftown och i vid enstaka tillfällen kan vi vara tvugna att begränsa tillgängen till sidan, med hänsyn till våra andra användare.

Så uppdaterar du Joomla
Om din Joomla version är nyare än 1.6 så är det ganska lätt att uppdatera din Joomla version till den senaste. En av mina duktiga kolleger har skapat en guide till hur du uppdaterar en gammal version av Joomla till en ny.

Använder du dig av en version som är äldre än 1.6 så är uppdateringsprocessen lite annorlunda. Den innehåller några fler steg än för nyare versioner men det är ännu mer viktigt att uppdatera en äldre version av Joomla då den innehåller en del säkerhetshål. Vår guide till hur du uppdaterar din gamla version av Joomla hittar du här:
https://surftown.se/support/hur-migrerar-jag-en-joomla-15-installation-till-joomla-25

Om du vill gå ännu längre med säkerheten i din Joomla installation så kan vi rekommendera dig att läsa Joomlas officiella säkerhetsdokumentation:
https://docs.joomla.org/Security

På väg ut ur vattenmassorna

Inte riktigt den introduktion som jag hade önskat:

Hej, Jag har precis tillträtt som Kommunikations och marknadschef på Surftown. Tanken är att jag ska arbeta med produktutveckling och vi planlägger just nu en rad nya spännande produkter i Surftown… och så kom regnet till Köpenhamn.

Lördag kl 22:00 ringde larmet på vårt primära datacenter som ligger placerat vid hamnen i Köpenhamn. Köpenhamn fick på en timme regnmängder som svarade för två månader – och det är inget system byggt för att klara av. Ståldörrar tillverkade för att så emot vatten är sönderslagna, all ström i byggnaden har gått och förväntas vara tillbaka igen på tisdag. Källaren blev rekordsnabbt fylld med vatten och i grannkällaren står en Maserati under 2 meter med vatten (surt! Men inte i förhållande till den rensning som många av oss nu står inför).

Oavsett allt detta fungerade vårt säkerhetssystem – så kl 02:00 i natt började nödströmsgeneratorn och producerade ström till… ingenting. Kortslutning i ledningar och elskåp stängde effektivt ner vårt datacenter. Sedan kl 06:00 söndag morgon har hemvärnet pumpat upp, upp till 30.000 liter vatten från källaren (per minut!) innan vi kl 14:00 kundefå tillgång till server-rummet och börja att flytta våra servrar, till säkerhet. Den sista delen av tömningen var firmabilarna, som tömdes på vatten vid kl 22 :-/

”Lyckligtvis” är vi igång med att bygga ut vårt senaste datacenter i Amager, så vi har mycket stor kapacitet av server skåp, ström osv. så att vi på ett effektivt sätt kunde flytta utrustning från ett datacenter till ett annat. Från kl 14 till 22 har vi flyttat 300+ servrar och återetableringen körs på fullt tryck i skrivandets stund. Här med följer en status på hur lång vi har kommit de första 24 timmarna och hur långt vi förväntar oss att komma inom nästa 24 timmar:

  • DNS-servrar: 100% Online
  • Webbservrar: 100% Online

Dessa servrar har inte drabbats av avbrott. En 10 Gbit förbindelse har under natten till söndagen varit nere på 1 Gbit, så svarstider kan ha varit påverkade. Dessvärre är en webbserver inte mycket värd om inte de underliggande fil- och databasservrarna är på plats. Och på dessa har vi upplevt störningar. Status pr söndag kväll kl 23:30:

  • Storageservrarna: 77% online. Resterande återställs från back-up till ny hårdvara. Återställningen är tidskrävande då det är miljoner av småfiler och förväntas vara avslutad måndag morgon.
    Antalet påverkade: upp till 23.000 av våra kunder
    Normal drift: förväntat måndag kl 09:00
  • E-postservrarna: 3 servrar är ska återställas från back-up till ny hårdvara. Ny hårdvara levereras på måndag morgon och alla e-postkonton kommer att fungera igen från omkring lunchtid under måndag, direkt efter installationen. E-postarkiv återställs efterföljande och kommer på så vis att löpande bli tillgängliga under efterföljande timmar.
    Antalet påverkade: Dessvärre okänt, då mailservrarna är Cloud baserade. Kort sagt, några fungerar och några fungerar inte för än på måndag.
    Normal drift: förväntas kl 12 måndag.
  • Databasservrar: 80% idag söndag. Resterande återställs från back-up under loppet av måndagen.
    Antal berörda: upp till 20.000 av våra kunder
    Normal drift: förväntas sent under måndagen
  • Supportsystem (ticketsystem): Surftown supportsystemet har gått ner. Det gör det svårt att ta emot eller skicka supportmails – men systemet ska vara klart igen måndag morgon kl 08:00. Systemet återställs från back-up under skrivandets stund.
    Antal berörda: Alla – beklagar.
    Normal drift: förväntas måndag kl 8.00

Vi kommer att fortsätta hålla alla informerade via vår blogg och twitter de kommande timmarna och dagarna. Jag hoppas att vi senast tisdag är helt tillbaka i normal drift, när nödvändiga införskaffningar och nödåtgärder blir genomförda under måndag.

Vi hoppas på er förståelse och ber verkligen om ursäkt för de problem som detta har medfört många av våra kunder. Vi är verkligen ledsna.

Som sagt heter jag Kresten – och det här är (nästan) min första dag på jobbet. Jag ser fram emot att  återkomma med en annan typ av information framöver… och överväger om vi borde byta namn och flytta till en mycket torr plats!

Bästa hälsningar

Kresten Bach Søndergaard
Kommunikationschef
Surftown

ModSecurity: Brandvägg för dina webbapplikationer

ModSecurityModSecurity är en brandvägg för webbapplikationer som kan övervaka, filtrera och förebygga attacker utförda mot webbapplikationer. Och eftersom fler och fler attacker riktar sig mot just webbapplikationer (över 70% av alla attacker enligt Breach, utvecklarna bakom ModSecurity), blir det bara mer och mer viktigt att man skyddar sig mot dessa.

En webbserver har oftast rikligt med möjligheter för att logga trafik i former som är användbara för till exempel marknadsföringsanalyser, lite i stil med Google Analytics. Vad de däremot oftast inte är bra på är att logga trafik som skickas och tas emot av din webbapplikation. De som utför attacker mot webbapplikationer vet detta och utnyttjar detta faktum.

Det är där ModSecurity kommer in i bilden. ModSecurity kan övervaka i realtid all form av HTTP-trafik, och kan baserat på bland annat en konstant uppdaterad regeldatabas som innehåller alla kända säkerhetshål motverka eller varna om misstänksam trafik.

Den analyserar även trafik för att se om den innehåller ovanligt beteende, kreditkortsnummer, användarkonton eller annat som inte bör finnas där och baserat på det antingen varnar om det eller helt enkelt stoppar trafiken innan den skickas iväg. Allt detta sker i realtid och utan att man ens märker av det!

Vi har därför installerat ModSecurity på samtliga Linux-webbservrar, så att dina webbapplikationer ska hålla en så hög säkerhet som möjligt. Det betyder inte bara att du slipper få din hemsida hackad, utan även att andra kunder som du delar server med kan sova gott om natten, tack vare att de inte behöver oroa sig över att det kan finnas någon annan på servern som har slarvat med sina säkerhetsuppdateringar.

I ett fåtal fall kan det dock krävas att man stänger av ModSecurity för sin webbapplikation. Vi har därför skrivit en guide för hur man gör detta, även om det är något vi inte rekommenderar såvida man inte har full koll på vad man gör.

FRA-lagen och dess konsekvenser

SSL krypteringSurftown är ju som de flesta känner till ett danskt företag, med alla sina servers placerade i Köpenhamn. Men även om vi är danska, så har vi en väldigt stor andel svenska kunder. Sedan FRA-lagen trädde i kraft, har våra kunder oroligt hört av sig till oss, med frågor vilka konsekvenser den nya lagen kommer ha på bland annat deras e-posttrafik. Eftersom alla mail till och från våra kunder måste passera Sveriges gränser, så medför det att samtliga av våra kunder kan bli utsatta av övervakning enligt FRA-lagen.

Man har även kunnat läsa att TeliaSonera i Finland har plockat hem sina e-postservers från Sverige, och i Norge varnas kunder hos Tele2 att svensk underrättelsetjänst kan smygläsa deras SMS. Här i Danmark har It-politisk Forening gått ut och rekommenderat alla internetleverantörer att kryptera all trafik som passeras Sveriges gränser. Det har även redan skett en läcka som utreds av SÄPO, och nya rapporter berättar om hur FRA:s experter enkelt kan kartlägga svenskars surfvanor. Man kan kort och gott säga att den nya lagen har gjort både svenskar och invånare i våra grannländer nervösa och oroliga över vilka konsekvenser denna lag innebär.

Vi tänker vara på den säkra sidan, och har därför tagit beslutet att erbjuda kryptering av all e-posttrafik till samtliga av våra paket, helt kostnadsfritt. Att gå över till krypterad mail är dessutom inte särskilt svårt, det handlar bara om några små ändringar i sin e-postklient. Vad man behöver göra är att ändra sin inkommande och utgående e-postserver till att använda sig av e-postserverns egna adress, istället för sitt domännamn – om man till exempel ligger på mail6 så ska man använda sig av mail6.surftown.com istället för mail.min-domän.com. Man ska även klicka i att servern använder/kräver säker anslutning (SSL).

För att se vilken e-postserver man ligger på så ska man gå till My Surftown, klicka Domäninställningar, klicka önskat domännamn och sedan ytterligare en gång till på domännamnet på den följande sidan. Där finner man ”DNS konfiguration”, och kan se under MX records vilken e-postserver man ligger på. Står det till exempel mailb3.surf-town.net så är det alltså mailb3.surftown.com ni ska använda er av i er e-postklient. De kunder som endast använder sig av webbmailen behöver inte göra några ändringar överhuvudtaget, då all trafik där redan är krypterad sedan en tid tillbaks.

Vill man vara på den extra säkra sidan, så kan man även kryptera e-postens innehåll, med hjälp av till exempel PGP eller GPG, där jag kan rekommendera den senare. Mer information och guider hittar ni hos FRApedia.

Och skulle man vilja visa sitt stöd mot FRA-lagen, så kan man idag (3:e juli) bege sig till Malmö, då det ska genomföras en demonstration (kl. 17:15) där bland annat samtliga riksdagspartiers ungdomsförbund deltar. Det finns även kampanjsiter på nätet som bedriver namninsamlingar, t.ex. Brev som brev och stoppaFRAlagen.nu. FRApedia är även en bra resurs för en som vill veta mer om FRA-lagen, vilka som är emot och annat smått och gott.

1 2