30.000 websteder baseret på Wordpress inficeret med malware

Interessant.

Men godt at se at der ikke er nogle danske imellem statistik fordelingen i rapporten.

Min blog blev ramt.

Den var så snedig at den kun sendte folk videre til skumle sider hvis man kom gennem Google og ikke hvis man direkte tastede adressen ind. Så som ejer så det hele fint ud men alle dine besøgende blev sendt videre.

Især mange Dreamhost har været ramt (mit site "lå" også hos Dreamhost)

Ja jeg læste godt det med dreamhost.. De nævner også 1-click install som et muligt parameter.. Er det noget du kan genkende hos dig Rasmus ? - eller har du selv sat installationen op manuelt ?

WordPress er ikke det eneste CMS system der er hacket for tiden – Et af de større webhoteller i DK har mange tusinde hackede sider indekseret på Google på kundernes websites.

Meldingen er det er kunderne, der ikke har sikret deres system godt nok, en sandhed med modifikationer, når der uploades filer fra root så kunne det tyde på der anvender et rootkit, som giver adgang til hele chokoladefabrikken på den pågældende webserver.

Webhotelejeren har ikke rootadgang, men en almindelig brugerkonto.

Den enkelte websiteejer kan ikke gardere sig imod angreb via rootkit, men er tværtimod på herrens mark, hvis udbyderen ikke lever op til at sikre sine webservere.

Der florerer ligeledes link-cloaking i stor stil på rigtigt mange websites i Danmark pt. Link-cloaking kan ikke ses med det blotte øje, men en almindelig bruger kan ved at skimme sine indeksere sider på f.eks. Google se om der pludselig er viagra, porno og andre spændende ting repræsenteret i søgeresultatet. Der ligger typisk 50 – 100 links med alt mulig snask pr. side.

I eksemplet herunder er det ikke vores kunde, men et tilfældig udvalgt, som tilsyneladende flyder med viagra, spil og porno-link. Og der er mange hackede websider på samme webhotel - en kort test viser over 21.000 sider med disse links på denne server.

http://webcache.googleusercontent.com/search?q=cache:Zszz8ph7Ze8J:www.hca-samfundet.dk/medlemskab/kontingentsatser+site:hca-samfundet.dk+viagra&hl=da&gl=dk&strip=1

Jeg har skrevet om lignende episoder i 2010, hvor der ligeledes var en del oprydningsarbejde i forbindelse med storangreb.

http://blog.onlinemarketing.dk/hacker-angreb-pa-et-af-landets-store-webhoteller.html

http://blog.onlinemarketing.dk/hacker-angreb-pa-webhoteller.html

Hvis nogen er løbet ind i problemer er i velkommen til at kontakte os, vi har fjernet en del af sådan noget snask. Nogle af metoderne er rimelig simple, men der er andre, der kan deres kram, og får det fedtet rigtigt godt ind i systemet.

Jeg har også blogget lidt om min egen oplevelse og hvordan jeg i sidste ende fik skidtet fikset.

http://my4hours.com/hackers-got-my-ass-and-how-you-can-prevent-it-from-happening-to-you

Jeg havde også andre sites hos Dreamhost der blev inficeret, men mange af dem har ikke været live (domænet har simpelthen peget på en anden host) så de er tydeligvis kommet godt ind bag ved sikkerheden.

Nu har det så givet mig en god mulighed for at få ryddet godt og grundigt ud i alle de gamle sites der stadig ligger der man som jeg ikke bruger længere.

Jeg har haft et par sites, der også blev ramt. Derfor har jeg skrevet et blog indlæg om, hvordan jeg fjernede denne virus her:

http://marketingsiden.dk/how-to-remove-god_mode_on-wordpress-virus/

Så I andre kan slippe nemmere om ved det :-)

Det er vildt - og beviser bare vigtigheden af at tage sine forholdsregler. Husk altid som minimum at opdatere til seneste stabile version, når du bruger open source-systemer.