Mina domäner hackades

Hackad

Så här coolt såg det inte alls ut att bli hackad, trots allt vad Hollywood försöker lära oss…

Jag vet inte om ni märkte något, mina kära läsare, men www.Stavegård.se låg nere ett tag. Både den, och alla andra domäner som vi har låg nere. Orsaken till det var att vi blev hackade. Ja, det känns nästan lite pinsamt att berätta det, men så var det i alla fall. Jag upptäckte det när jag var inne och skruvade lite på www.SpanskaWilma.se (som är den här bloggens ursprungliga domän, vilket säkert vissa av er kommer ihåg), och jag tyckte att den betedde sig väldigt konstigt. Den försökte hämta grafiska element från domäner i Ryssland som jag inte alls har någon koppling till.

Här kommer mitt första fel – jag hade inte tid att undersöka saker. Så, jag tänkte, jag tittar på det imorgon.

Nästa steg i händelseförloppet är att jag fick ett e-brev från Binero som sakligt förklarade att de hade ändrat om i htaccess-filerna på alla våra domäner så att ingen kunde surfa till våra siter för att de hade blivit hackade allihopa. De förklarade också att om jag ville, kunde jag kontakta deras support, så skulle de hjälpa mig släppa på besökarna igen så fort jag röjt bort alla spår av hack-angreppen.

Så nu stod jag plötsligt där utan att ha en enda domän aktiv, och utan att veta egentligen vad som hade hänt.

Jag har ett antal domäner med ett antal olika bloggar på, men alla är knutna till samma konto hos Binero, så om någon lyckades ta sig in i en av dem och fick vara där inne tillräckligt länge, så kan den snabbt smitta även de andra domänerna.

Det första jag gjorde var att ladda hem alla filer från alla domäner för att få en snapshot av dem, innan jag började röja upp bland de filer som hackarna ändrat på.

Ganska snart förstod jag vad de gjort, de hade kommit in i genom WordPress på något sätt och därigenom lyckats ändra på en hel rad php-filer och lagt in sin egna kod där. Koden gjorde i stort sätt bara två saker, dels säkerställde den att koden faktiskt fanns kvar i alla filer (så att om man hade tagit bort den från alla ställen förutom ett, skulle den snabbt sprida sig igen), och sedan försökte den peka om er, mina kära besökare, till någon rysk sida.

Efter att ha undersökt timestamps och annat, så har jag tillslut kommit fram till följande: Hackarna tog sig in i just SpanskaWilma.se – därför att jag hade en opatchad version av WordPress där, och sedan lyckades de sprida sig till de andra siterna. Det ser inte ut som att de egentligen hade laddat hem något från mina domäner eller varit speciellt aktiva inne bland mina filer, utan det känns faktiskt som att det har skett helt maskinellt och utan “talang” eller “snits”.

Den metod de använde är vida känd som TimThumb.php-problemet, och jag är långt ifrån ensam om att bli hackad. (Det är en säkerhetsbrist i äldre versioner av WordPress, men fixat om man har uppdaterat bloggen.)

Det man lär sig här är att jag hade en gammal blogg som jag visserligen flyttat, men som var opatchad, och på det sättet lyckades de ta över alla mina domäner.

Åtgärd:
Nu är allt lugnt och tryggt och patchat igen, och faktiskt fick jag mig en behövlig uppstädning bland alla hobbyprojekten. Jag har fått installera om alla bloggar, skapa nya databaser med nya lösenord och i princip tömt alla filer för alla domäner hos Binero, för att sedan försiktigt ladda upp filerna på nytt när jag vet att de är säkra.

Jag har inte hunnit sätta upp alla mina domäner än, men de är i alla fall levande. Jag har också börjat arbeta med WordPress Network (tidigare WordPress MU), som gör att det räcker med att ha en installation av WordPress för flera bloggar – till och med flera bloggar på olika domäner (men just den delen med att koppla ihop olika domäner till samma wordpress har jag inte hunnit till än).

Lärdomen här är så självklar – ha inte gammalt skräp på dina domäner utan ta bort alla webbapplikationer du inte använder. Som att jag inte visste det för en månad sen också – egentligen! *suck!*

2 Responses to “Mina domäner hackades”

  1. Oj! Det låter jobbigt! Tack för att du delar med dig av erfarenheten.

  2. Usch, det låter inte alls bra. Väldigt jobbigt. Glad att du är tillbaka iallafall och att du din vana trogen kan hitta den positiva sidan av saken.

Leave a comment