WS4 och WS22 utsatt för defacing-angrepp

Säkerheten var temporärt kompromissad för två av våra webservers, ws4 och ws22, då de i fredags blev utsatta för ett mindre defaing-angrepp. Personen som utförde angreppet valde att endast skriva över indexfilerna, och skaffade sig inte någon tillgång till allt innehåll i alla kataloger på varenda webbhotell. Alla resterande webservers var inte berörda.

För att ungdå panik, valde vi att omedelbart gå ut med att det endast var tal om ett DdoS-angrepp, tills att våra tekniker en timme senare hade funnit och stängt säkerhetshålet.

Lyckligtvis visade det sig att vår beredsskapsplan fungerade fint – ws22 hade i loppet av lördag fått backups installerade från i torsdags, och alla hemsidor på den var igång inom 24 timmar. Den andra webservern, ws4, kommer få backups åtställda under dagen, och ska vara fullt återställd i eftermiddag.

Om ni har en egen backup som är nyare än den vi återställer ifrån, kan ni ladda upp den via FTP, så mister ni inga ändringar.

Kom även ihåg att ni kan kontrollera vår driftsinfo-sida, där vi löpande uppdaterar statusen på våra servers: Klicka här

IP-numret för personen som utförde angreppet har spårats, och vi kommer vidta rättsliga åtgärder.

Jag beklagar situationen och ber om ursäkt för olägenheten.

29 Comments

  1. indie
    februari 18, 2008 @ 11:16 f m

    Jag är en av de ligger på ws4 och har blivit drabbad av intrånget. Även om det i mitt fall inte handlar om någon kritisk, eller ens intressant data tycker jag att det är uppseendeväckande att någon lyckas ta sig in på servern på det här sättet.

    Att personen endast kunde skriva över indexfilerna låter som rent struntprat, i mitt fall har alla filer som innehåller ordet index blivit överskrivna, oavsett om de fungerat som indexsidor eller inte. Defacing-angrepp handlar snarare om att angriparen inte är intresserad av att komma åt eller manipulera någon data, utan att byta ut förstasidorna för att förmedla sitt budskap(därav begreppet defacing). En korrekt tolkning borde därför vara att personen som utförde angreppet _valde_ att endast skriva över indexfilerna.

  2. indie
    februari 18, 2008 @ 12:16 e m

    Jag är en av de ligger på ws4 och har blivit drabbad av intrånget. Även om det i mitt fall inte handlar om någon kritisk, eller ens intressant data tycker jag att det är uppseendeväckande att någon lyckas ta sig in på servern på det här sättet.

    Att personen endast kunde skriva över indexfilerna låter som rent struntprat, i mitt fall har alla filer som innehåller ordet index blivit överskrivna, oavsett om de fungerat som indexsidor eller inte. Defacing-angrepp handlar snarare om att angriparen inte är intresserad av att komma åt eller manipulera någon data, utan att byta ut förstasidorna för att förmedla sitt budskap(därav begreppet defacing). En korrekt tolkning borde därför vara att personen som utförde angreppet _valde_ att endast skriva över indexfilerna.

  3. Maria
    februari 18, 2008 @ 4:37 e m

    Jag håller med indie i den här frågan. Det ser tydligt ut som ett val att man ändrat allt som hade index i namnet till sitt eget budskap. Lite av ”Se vad jag kan göra.” Personligen är jag glad att de inte bytt password och raderat alla filer. Då kunde man åtgärda lite själv så något i alla fall såg vettigt ut så snart man såg felet.

    Det ser fortfarande inte ut som ni tagit tillbaka något från backup. När kan man förvänta sig att detta är klart? Och, kanske lite viktigare, vilket datum kommer backupen ifrån?

    Jag skulle gärna se datum och tid på sidan med driftinformation så man kan se vad som gäller och att det inte var nån annan lördag som det snackas om.

    Jag är kritisk till att man låter servern servera smittade sidor under flera dygn istället för att man plockar ner den direkt, ser vad som hänt, åtgärdar samt kör över allt med senaste vettiga backupen. Hellre att sidorna ligger nere än att man riskerar att smitta andra eller stör kunder till de som har websidorna etc.

  4. Maria
    februari 18, 2008 @ 5:37 e m

    Jag håller med indie i den här frågan. Det ser tydligt ut som ett val att man ändrat allt som hade index i namnet till sitt eget budskap. Lite av ”Se vad jag kan göra.” Personligen är jag glad att de inte bytt password och raderat alla filer. Då kunde man åtgärda lite själv så något i alla fall såg vettigt ut så snart man såg felet.

    Det ser fortfarande inte ut som ni tagit tillbaka något från backup. När kan man förvänta sig att detta är klart? Och, kanske lite viktigare, vilket datum kommer backupen ifrån?

    Jag skulle gärna se datum och tid på sidan med driftinformation så man kan se vad som gäller och att det inte var nån annan lördag som det snackas om.

    Jag är kritisk till att man låter servern servera smittade sidor under flera dygn istället för att man plockar ner den direkt, ser vad som hänt, åtgärdar samt kör över allt med senaste vettiga backupen. Hellre att sidorna ligger nere än att man riskerar att smitta andra eller stör kunder till de som har websidorna etc.

  5. Jonathan Gabor
    februari 19, 2008 @ 8:35 f m

    indie & Maria,
    Jag har nu redigerat mitt inlägg. Det blev ett fel i min översättning, från det danska originalet som jag skrev tillsammans med min kollega. Ber om ursäkt för detta. Tack för att ni uppmärksammade det.

    Enligt mina uppgifter så återställs webhotellen från backups tagna i Torsdags, då angreppet skedde på Fredagen.

  6. Jonathan Gabor
    februari 19, 2008 @ 9:35 f m

    indie & Maria,
    Jag har nu redigerat mitt inlägg. Det blev ett fel i min översättning, från det danska originalet som jag skrev tillsammans med min kollega. Ber om ursäkt för detta. Tack för att ni uppmärksammade det.

    Enligt mina uppgifter så återställs webhotellen från backups tagna i Torsdags, då angreppet skedde på Fredagen.

  7. Marcus
    februari 19, 2008 @ 6:03 e m

    När kan vi förvänta oss att hemsidorna skall fungera igen?

    Är lite jobbigt nu med en mail som ibland har 8 timmars fördröjning och ett webbhotell som inte fungerar!

  8. Marcus
    februari 19, 2008 @ 7:03 e m

    När kan vi förvänta oss att hemsidorna skall fungera igen?

    Är lite jobbigt nu med en mail som ibland har 8 timmars fördröjning och ett webbhotell som inte fungerar!

  9. metteottosson
    februari 19, 2008 @ 8:26 e m

    Nu börjar jag känna mig som en bloggterrorist.

    Hör därför min snälla lilla röst som undrar:

    ”Jaha, och vad är det som är fel idag då?”

    Flera dagar fick vi maila utan krångel… byta leverantör har man inte hunnit ännu med tanke på alla hundra mail som ligger och väntar på svar.

    Suck.

  10. metteottosson
    februari 19, 2008 @ 9:26 e m

    Nu börjar jag känna mig som en bloggterrorist.

    Hör därför min snälla lilla röst som undrar:

    ”Jaha, och vad är det som är fel idag då?”

    Flera dagar fick vi maila utan krångel… byta leverantör har man inte hunnit ännu med tanke på alla hundra mail som ligger och väntar på svar.

    Suck.

  11. Iguanodon
    februari 19, 2008 @ 10:41 e m

    Min sajt fungerar fortfarande inte, har ni återställt filerna ? (ws4 servern)
    Jag skickas vidare till surftown.com när jag skriver in adressen.

    Mailat supporten om detta och väntar på svar.

    MVH Ola

  12. Iguanodon
    februari 19, 2008 @ 11:41 e m

    Min sajt fungerar fortfarande inte, har ni återställt filerna ? (ws4 servern)
    Jag skickas vidare till surftown.com när jag skriver in adressen.

    Mailat supporten om detta och väntar på svar.

    MVH Ola

  13. Jonathan Gabor
    februari 20, 2008 @ 8:44 f m

    Backupsen har blivit återställda. Men dessvärre blev det något fel med DNS-konfigureringen, så de behövde uppdateras. Därför tog det längre tid än väntat för att få era sajter online igen.

    Driftsinfo-sidan har nu blivit uppdaterad med information gällande mailavbrottet.
    Beklagar att den inte uppdaterades tidigare.

    Kort sammanfattat, så uppdaterar vi spamfiltrena på dessa mailservers, för att undvika att ett avbrott på flera veckor ska uppstå igen. Våra initiala tester på mail1 var otroligt framgångsrika, så vi valde därför att satsa på samma lösning på fler mailservers. Ett länge blogginlägg angående detta kommer i ett senare skede.

  14. Jonathan Gabor
    februari 20, 2008 @ 9:44 f m

    Backupsen har blivit återställda. Men dessvärre blev det något fel med DNS-konfigureringen, så de behövde uppdateras. Därför tog det längre tid än väntat för att få era sajter online igen.

    Driftsinfo-sidan har nu blivit uppdaterad med information gällande mailavbrottet.
    Beklagar att den inte uppdaterades tidigare.

    Kort sammanfattat, så uppdaterar vi spamfiltrena på dessa mailservers, för att undvika att ett avbrott på flera veckor ska uppstå igen. Våra initiala tester på mail1 var otroligt framgångsrika, så vi valde därför att satsa på samma lösning på fler mailservers. Ett länge blogginlägg angående detta kommer i ett senare skede.

  15. indie
    februari 20, 2008 @ 10:54 f m

    Jonathan, finns det någon information om när man kan förvänta sig att det här DNS-felet är åtgärdat och man kan komma åt sina sidor?

  16. indie
    februari 20, 2008 @ 11:54 f m

    Jonathan, finns det någon information om när man kan förvänta sig att det här DNS-felet är åtgärdat och man kan komma åt sina sidor?

  17. Marcus
    februari 20, 2008 @ 11:32 f m

    Tackar för svaren Jonathan!

  18. Marcus
    februari 20, 2008 @ 12:32 e m

    Tackar för svaren Jonathan!

  19. Jonathan Gabor
    februari 20, 2008 @ 11:53 f m

    indie & alla berörda,
    Det finns en ‘ful-fix’, som löser problemet för er som ligger på ws4.
    Observera att det kan ta upp till 24 timmar innan ändringen träder i kraft.

    Det genomförs på följande vis:
    1. Logga in på My Surftown, och klicka på Domäninställningar.
    (1a. Har ni flera domäner, klicka på en av dem.)
    2. Leta upp ‘Indexes’ under ‘Settings’ (andra boxen). Markera ‘Disabled’ och klicka på ‘Submit’.
    3. Strax ovanför, ser ni nu i röd skrift ‘Changes need to be applied’. Klicka på ‘Apply’.
    4. Markera nu återigen ‘Fancy’, klicka ‘Submit’, och sedan ‘Apply’.

    Repetera stegen för resten av era domäner, ifall ni har flera.

    Marcus,
    Varsågod. 😀

  20. Jonathan Gabor
    februari 20, 2008 @ 12:53 e m

    indie & alla berörda,
    Det finns en ‘ful-fix’, som löser problemet för er som ligger på ws4.
    Observera att det kan ta upp till 24 timmar innan ändringen träder i kraft.

    Det genomförs på följande vis:
    1. Logga in på My Surftown, och klicka på Domäninställningar.
    (1a. Har ni flera domäner, klicka på en av dem.)
    2. Leta upp ‘Indexes’ under ‘Settings’ (andra boxen). Markera ‘Disabled’ och klicka på ‘Submit’.
    3. Strax ovanför, ser ni nu i röd skrift ‘Changes need to be applied’. Klicka på ‘Apply’.
    4. Markera nu återigen ‘Fancy’, klicka ‘Submit’, och sedan ‘Apply’.

    Repetera stegen för resten av era domäner, ifall ni har flera.

    Marcus,
    Varsågod. 😀

  21. indie
    februari 20, 2008 @ 4:43 e m

    Lysande Jonathan, nu verkar allt fungera som det ska. Tack för tipset! 🙂

  22. indie
    februari 20, 2008 @ 5:43 e m

    Lysande Jonathan, nu verkar allt fungera som det ska. Tack för tipset! 🙂

  23. Jonathan Gabor
    februari 21, 2008 @ 2:14 e m

    indie,
    Vad roligt att höra. 🙂 Bara kul att vara till någon hjälp…

    mette,
    Du kan läsa mer om våra mail-problem här: https://blog.surftown.se/?p=38

  24. Jonathan Gabor
    februari 21, 2008 @ 1:14 e m

    indie,
    Vad roligt att höra. 🙂 Bara kul att vara till någon hjälp…

    mette,
    Du kan läsa mer om våra mail-problem här: https://blog.surftown.se/?p=38

  25. Mimos blogg » Bloggarkiv » Dödsstöten för Surftown
    februari 22, 2008 @ 1:56 e m

    […] Jag ser mycket allvarligt på det som inträffat och frågan är vad som egentligen hände. Enligt Surfbloggen rörde det sig om ett sk defacingangrepp, och att hackarna bara kunde skriva över indexfilerna. Om […]

  26. bonath
    februari 24, 2008 @ 2:01 e m

    Hur vet man vilken server man ligger på?

  27. bonath
    februari 24, 2008 @ 3:01 e m

    Hur vet man vilken server man ligger på?

  28. Jonathan Gabor
    februari 25, 2008 @ 9:55 f m

    bonath,
    Om ni går till My Surftown -> Avancerade Inställningar -> Hantera FTP (FTP Manager), så ser ni ett fält där det står ”Host Name” följt av t.ex. ws22.surftown.se, där ”ws22” representerar webservern ni ligger på.

    Annars kan ni alltid kontakta supporten, så hjälper de er.

  29. Jonathan Gabor
    februari 25, 2008 @ 10:55 f m

    bonath,
    Om ni går till My Surftown -> Avancerade Inställningar -> Hantera FTP (FTP Manager), så ser ni ett fält där det står ”Host Name” följt av t.ex. ws22.surftown.se, där ”ws22” representerar webservern ni ligger på.

    Annars kan ni alltid kontakta supporten, så hjälper de er.