Webshop hacket! - Hvad nu?

Tja... Alle filer med begyndelsen "index**.**" er erstattet af en fil med hilsen fra Hackerne....

Puuha jeg føler virkeligt med dig. Det er sku ikke sjovt at bruge sin tid på den slags.

Jeg antager at hacket har været en form for defacement (webgrafiti) hvor de egentlig ikke er gået efter jer specefikt men "bare" har hacket en "tilfældig" server som hoster jer og måske en masse andre sites.

Som det aller første ville jeg gøre alt hvad jeg kunne for at få sitet op igen. Det kræver nok en backup, og måske også ligefrem at du flytter til en anden host.
Umildbart tror jeg også jeg ville fjerne den besked som I har på jeres site lige pt. Det er selvfølgelig godt at informere om at man f.eks. er nede, men jeg tror godt jeres besked kan blive misforstået så folk f.eks. bliver nervøse for om deres kreditkort er i fare osv. og derfor måske ikke vender tilbage når I har fikset problemerne.

Når I har sitet oppe igen, vil jeg begynde at lede som en vildmand efter den fejl der har lukket dem ind. Det kan være en fejl i jeres kode, en ftp med for svagt password osv. Det kan jo også nemt være at fejlen slet ikke ligger hos jer men en anden på samme server, men så skal I jo nok overveje om det er en god nok måde at være hostet på i fremtiden.
Fejlen skal spores og rettes, og det er typisk denne del af processen der tager lang tid :S

Jeg er ikke klar over hvor teknisk du er, men umildbart ville jeg involvere hosten og udviklerne af jeres site, og jeg ville forvente at de arbejdede 24 timer i døgnet (Et par timers søvn kan bevilges) indtil problemer var løst.

Jeg håber jeres site kommer hurtigt op igen, og at fejlen ligger lige for, så du snart kan få din nattesøvn tilbage.

Mvh

Janus

Edit: Jeg læste lige at du skrev at alle index sider er udskiftede med en version med en hilsen fra hackeren. Så burde det være rimeligt simpelt at køre en backup af disse sider ind igen og få sitet op.
Husk dog stadig at hvis ikke I finder hullet, kommer han helt sikkert tilbage om få dage/timer/uger...

@ Mikkel har bestemt en pointe. Ingen tvivl om det - det er heller ikke der skoen trykker! Men når nu uheldet er ude, og han tydeligvis ikke har lavet en sådan aftale fra starten af, hvor de har bestemt hvad der sker i tilfælde af at sitet bliver hacket... Ja, så bliver trådstarter jo næppe meget klogere af hans spydige kommentar. Men lad nu det ligge - det var bare lige mig der skulle af med et vredesudbrud.

Jeg tror ikke det er noget på jeres site.

På Zone-h kan jeg se at en gruppe kaldet un1xmasters har defaced rigtig mange sider på Wanafinds servere, og det er vist også der i ligger.
Sådanne mass defacements klares typisk med et script og risikoen for at det script er kørt netop fra jeres side er vist ret lille.

Se evt. mere på Zone-h:
http://zone-h.org/archive/published=0/page=3

Iøverigt er der også en anden igang på danske sites idag kan jeg se, men det ser ud til at de tager et site af gangen.
Sku træls med den slags typer :S

John Nielsen, Nielco IT :

Hvis det er en standard udbudt shop, hvor hostingudbyderen står for alle driftrelaterede tiltag og alle sikkerhedsmæssige aspekter, og hvor kunden (her trådstarter) udelukkende bidrager til shoppen med varebeskrivelser og produktbilleder, vil hostingudbyderen selvfølgelig have et forklaringsproblem.

Som jeg ser det kan, være to mulige ansvarlige for episoden enten den drift ansvarlige eller den ansvarlige for vedligeholdelse. Hvis det er en standard shop som f.eks. Scannet, DanDomain eller os selv, så der kun en leverandør, og ikke så meget at rafle om!!!

Men i tilfældet med Open Source baserede shops, jeg så har kunden jo fået kildekoden gratis, samt frihed til at ændre i den. Men dermed også vedligeholdelse ansvaret!!! Hvilket betyder at hvis shoppen er blevet hacket pga. manglende opdatering eller fejl installation, ja så er det reelt set kundens ansvar. Hvilket de færreste e-købmand er opmærksom, når de vælger open source vejen.

Jeg kan godt forstå Mikkels råd, med dedikekerede server, for I et shared hosting, scenerie, skal du ikke blot stole på at du selv for lukket alle sikkerhedshuller i din software, at din hosting udbyder har lukket alle huller i sin software, men også at alle de andre på samme server har lukket huller i deres software.

Det er blandt andet derfor, at jeg mener at Open Source er godt for nørder, men dårligt for e-købmænd.

Men generelt set er det også derfor jeg i højgrad tror på Software-as-a-service, så er der nemlig et entydigt ansvar for at tingene virker og bliver ved med at virke.

Først og fremmest vil jeg gerne sige tak for de mange gode råd - Konstruktive samt mindre konstruktivt.

Jeg har nu fået styr på de forskellige sites, som jeg har hostet hos Wannafind's Linux-FTP-server. Mine sites er alle bygget op omkring OsCommerce, og der er derfor tale om opensource.

Omkring hackerangrebet kan jeg dog nævne, at alle filer som Index.php/html samt Login /loginbox er blevet erstattet med en hilsen fra hackerne. Nogle af disse filer burde være beskyttet af OsCommerce gennem backend-delen, imens enkelte af disse filer ligger i foden af sitet. Der må derfor være tale om en sikkerhedsfejl, der må deles mellem både hosten samt undertegnede.

Heldigvis har dette angreb kunne løses forholdsvist let vha. en backup og erstatning af et par enkelte filer. Heldigvis har der ikke været rodet med databasen, og jeg må derfor sige, at jeg er gået forholdvist let fra mit 'første hacker-angreb' som blot har resulteret i en times nedetid.

Til orientering er der godt en uge siden, at hele Wannafind koncernen (under Zitcom A/S) blev udsat for et DooS angreb (som det vist hedder) - Så der er vist en del hacker-aktivitet mod førnævnte udbyder pt. - Sammenfald eller tilfældighed vil jeg lade stå hen i det uvisse.

Ingen tvivl om at en sådan oplevelse sætter fokus på, hvor vigtigt backup, sikkerhed m.v. er ved E-handel. - Selvom man blot er en mindre aktør på markedet.

Tak for nu - Og fortsat god aften

Skønt du fik løst dit problem. Og som produkt af denne tråd har jeg faktisk netop tilføjet endnu en officiel service til mit firma:

http://hoeks.dk/blog/38-joomla-backup