Jeg har et godt tilbud til dig!

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Boysen — Sun, 12 Aug 2012 09:40:42 GMT

Hej Alle

Jeg lavede en aftale med Anders, som lød således:

Anders laver et gratis sikkerhedstjek af www.sikkerhedseksperten.dk, mod at Kenneth fortæller ærligt om hans oplevelser.

Og det vil jeg så gøre!

Testen

Anders kontaktede mig i onsdags og gav mig valget i mellem test torsdag eller fredag. Test perioden ville vare omkring 5 timer og der ville være en mindre risiko for at min side ville blive langsommere i den tidsrum.

Jeg valgte torsdag og blev om eftermiddagen ringet op af en fra Anders´s hold. Han fortalte at de havde fundet et problem, som de gerne ville teste yderligere, med risiko for at ligge siden ned 5-10 min.

De valgte selv at gøre det torsdag aften, selvom de havde fået ok fra mig, til at gøre det i dagtimerne.

Fredag blev jeg ringet op af selv samme person, der forklarede mig de forskellige ting, på en let og forståelig måde, så selv jeg kunne forstå det :)

Resultatet (mail fra Anders)

Du får også på skrift hvad vi fandt på din hjemmeside: Domæne der er scannet: www.sikkerhedseksperten.dk

Generel beskrivelse:

Hjemmeside programmeringen er programmeret efter php standard, og der er ikke efterladt ”rester” som gør en hacker i stand til at opsnappe informationer om database forbindelser mv.

Der er dog en del døde links på hjemmesiden, som bør fjernes hvis man ønsker en god indeksering hos Google.

Ting der bør rettes:

På hjemmesiden findes der en mappe ved navn ”Application” denne kan der opnås direkte adgang til ved at skrive følgende i sin browser: http://www.sikkerhedseksperten.dk/application herfra kan man downloade filer, som indeholder alt fra konfiguration, til billeder af produkter. Der er dog lavet en sikkerhedsforanstaltning som gør at følsomme filer med brugernavne og adgangskoder ikke kan hentes med et klik, dog vil det tage en ondsindet hacker få minutter / timer og tilegne sig disse filer. Råd: Kontakt programmøren af hjemmesiden, og få identificeret sårbare mapper som indeholder konfigurations filer, få disse dokumenteret, og kontakt web udbyderen, og få denne til at sætte ”Directory Listing Not allowed” på disse.

Konklusion

Jeg havde frygtet at jeg ville blive bombarderet med fejl og filer hvor koder med mere ville være synlige. Jeg havde frygtet at Anders´s hold på ingen tid kunne finde informationer omkring mine kunder, deres handler og meget andet. Sådan blev det heldigvis ikke :=)

Min webshop er bygget på et costum made CMS, så jeg har mere eller mindre været med fra bunden af denne opbygning. Jeg har hyret en virksomhed i Inden til at lave udviklingen og jeg har, ærlig talt, været mere obs på SEO end sikkerhed. Tilgengæld har jeg hyret Indere, der koster 25 USD i timen og jeg ved de kan deres kram. Derfor er jeg også super glad for at koden er pæn og det generelle sikkerhedsniveau er højt for min side.

Jeg kontaktede efterfølgende min programmør, der lukkede siderne med mappelister ned på 10 sekunder. Han beklagede selvfølgelig :)

Anbefaling

Nu har jeg fået et gratis produkt, mod at sige min ærlige mening. Så tag min anbefaling som du vil!

Min oplevelse med inetsecurity.dk har været rigtig godt. Jeg har talt og kommunikeret med professionelle mennesker, jeg føler, ved hvad de taler om. Også har jeg fået det skåret tilstrækkeligt ud i pap, så selv jeg forstår det :)

Produktet havde jeg investeret i uanset hvad, på et tidspunkt, for jeg mener at sikkerheden er vigtigt, men må også erkende at som nystarter er det ikke det der er højst på listen.
Men jeg havde brugt pengene på det, for jeg ligger inde med mange timers arbejde, kunde relationer, kunde oplysninger og meget andet, som for min virksomhed kunne have store konsekvenser at miste.

Jeg føler mig i hvert fald rigtig godt behandlet af Anders og hans team, og sender de varmeste anbefalinger deres vej!.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Mikkel Mikjær Christensen — Sun, 12 Aug 2012 01:51:30 GMT

Tak for eksemplet, så prøver vi lige det samme hvor vi, som jeg foreslog, også lige skifter ejer på filen:

mikjaer@127-0-0-1:~/test$ echo "foobar" > testfile
mikjaer@127-0-0-1:~/test$ cat testfile
foobar
mikjaer@127-0-0-1:~/test$ sudo chmod 000 testfile
mikjaer@127-0-0-1:~/test$ sudo chown root:root testfile
mikjaer@127-0-0-1:~/test$ cat testfile
cat: testfile: Permission denied
mikjaer@127-0-0-1:~/test$ chmod 700 testfile
chmod: changing permissions of `testfile': Operation not permitted
mikjaer@127-0-0-1:~/test$ cat testfile
cat: testfile: Permission denied

;-)

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Frands — Fri, 10 Aug 2012 18:14:47 GMT

Mikkel Mikjær Christensen:

Frands:
Hvis samtlige systemkaldsfunktioner er slået fra og der er open_basedir() så bevæger man sig i den rigtige retning.

Det eneste rigtige er at udnytte den sikkerhed som ligger i operativsystemet, og som har lagt der siden midten af halvfjerdserne. Nemlig at hvert webhotel skal køre med sin egen unikke UNIX Brugere, filer og mapper ejes af denne bruger og scripts eksekveres som denne bruger ... for at beskytte mod klaphatte der sætter for åbne rettigheder på egne filer kan man så passende implementere basedir, og kun åbne for systemkalds funktioner for de kunder der kan finde ud af at styre det.

Jeg er kun delvist enig.

Man introducerer en anden problemstilling når man bruger suphp, fcgi el.lign. hvor scripts eksekveres som ejeren - nemlig at webserveren derved får skriverettigheder til alle filer. Man kan godt administrativt fratage denne bruger sine skriverettigheder, men på *NIX vil ejeren af en fil altid kunne give sig selv skriverettigheder igen ved brug af chmod.*

Der er ikke en hel gylden løsning som tager højde for det hele, men at lade filer være ejet af brugeren selv og i gruppe med webserveren som kun har skriverettigheder i de biblioteker hvor det er påkrævet giver rigtig god mening, hvis man vil (så godt som muligt) afværge både angreb igennem webserveren men også angreb (bevidste eller ubevidste) mod andre kunder forsøgt af føromtalte klaphatte.

* Eksempel:

fbh@testbox $ echo "heste" > testfile
fbh@testbox $ cat testfile
heste
fbh@testbox $ sudo chmod 000 testfile
fbh@testbox $ cat testfile
cat: testfile: Permission denied
fbh@testbox $ chmod 700 testfile
fbh@testbox $ cat testfile
heste

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Mikkel Mikjær Christensen — Fri, 10 Aug 2012 18:04:22 GMT

Frands:
Hvis samtlige systemkaldsfunktioner er slået fra og der er open_basedir() så bevæger man sig i den rigtige retning.

Det eneste rigtige er at udnytte den sikkerhed som ligger i operativsystemet, og som har lagt der siden midten af halvfjerdserne. Nemlig at hvert webhotel skal køre med sin egen unikke UNIX Brugere, filer og mapper ejes af denne bruger og scripts eksekveres som denne bruger ... for at beskytte mod klaphatte der sætter for åbne rettigheder på egne filer kan man så passende implementere basedir, og kun åbne for systemkalds funktioner for de kunder der kan finde ud af at styre det.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anders A — Thu, 09 Aug 2012 16:40:51 GMT

selv tak, vi har nu lanceret gratis sikkerhedstest, i kan se mere i denne tråd:

http://www.amino.dk/forums/t/169935.aspx

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Zoë Escher — Thu, 09 Aug 2012 16:29:14 GMT

Hej Anders

Tak for tilbuddet.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Frands — Thu, 09 Aug 2012 16:23:49 GMT

Elias Sørensen:

For mit vedkommende havde jeg én Wordpress-blog på mit webhotel, der består af 10 websites (hvor 5 af disse websites KUN har en .html fil med en "ventetekst"). Wordpress-bloggen var ikke opdateret, men samtlige 10 addon-domæner blev defaced. Det burde ikke kunne lade sig gøre, hvis basedir var sat korrekt.

Jo, det kan det godt. Det er i den grad falsk tryghed at stole på open_basedir restriktioner alene.

Altså, man kan ikke bruge typiske php funktioner som fopen() osv, men der er intet der forhindrer i at lave systemkald, som kigger uden for ens basedir. F.eks. ved brug af exec(), passthru(), system() og mange andre PHP funktioner der laver systemkald. Hvis samtlige systemkaldsfunktioner er slået fra og der er open_basedir() så bevæger man sig i den rigtige retning. Men open_basedir alene er farligt at stole på.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Elias Sørensen — Thu, 09 Aug 2012 12:30:31 GMT

Hej Patrick

Bare af ren nysgerrighed.

Har i også ordnet problematikken mht. at scriptet kunne komme "ud" af aktive domæne, og påvirke/deface alle andre domæner på ens webhotel?

For mit vedkommende havde jeg én Wordpress-blog på mit webhotel, der består af 10 websites (hvor 5 af disse websites KUN har en .html fil med en "ventetekst"). Wordpress-bloggen var ikke opdateret, men samtlige 10 addon-domæner blev defaced. Det burde ikke kunne lade sig gøre, hvis basedir var sat korrekt.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anonymous — Thu, 09 Aug 2012 12:01:28 GMT

Anders A:

Hej Patrick !

Sorry, jeg kan godt se at formuleringen er forkert ! Du har ret i at fejlen var i WP og ikke hos jer ! Jeg beklager den fejlagtig oplysning / formulering !

ja sådanne sikkerhedshuller kan nemt ramme bredt og det er svært at forhindre fordi det er ikke alle som er lige gode til at huske at opdatere deres wordpress.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anders A — Thu, 09 Aug 2012 09:00:42 GMT

Hej Patrick !

Sorry, jeg kan godt se at formuleringen er forkert ! Du har ret i at fejlen var i WP og ikke hos jer ! Jeg beklager den fejlagtig oplysning / formulering !

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Patrick - Meebox — Thu, 09 Aug 2012 08:58:17 GMT

Anders A:

Jeg er dog ikke helt enig i din betragtning ang, at det kun er store kunder der har brug for sikkerhed. Prøv og søg på hack her på amino og se hvor mange der var oppe på tå spidserne da meebox havde nogle servere hvor alle hjemmesider blev hacket. Selvfølgelig en blog som bare beskriver hvad familien laver, eller små tips og tricks er selvfølgelig ikke forretnings kritisk som eks. en shop er ! Lad os sige en shop får stjålen alle brugernavne og adgangskoder og disse bliver lækket på nettet, hvor mange af deres kunder tror du kommer igen ? Og hvor mange tror du der bruger samme kode på nettet ?

Hej Anders,

Bare lige for at vi er helt enige om hvad der forgik: Det var hverken Meebox's servere eller alle hjemmesiderne på vores servere der blev hacked. Det er et sikkerhedshul i WordPress som giver hackeren mulighed for at uploade et script der kan ændre indholdet af et webhotels filer.

Vi har selv fikset hullet ved at lave en masse tiltag og har bl.a. sørget for at dette script ikke kan eksekveres på vores servere. Men hullet eksistere stadigvæk i WordPress (seneste version), og alle udbydere og websites er potentielt i farezonen.

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anonymous — Wed, 08 Aug 2012 20:43:57 GMT

Tak det er jeg glad for at høre

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anders A — Wed, 08 Aug 2012 20:42:34 GMT

Haha Du er ihvertfald hjertlig velkommen :)

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anonymous — Wed, 08 Aug 2012 20:39:40 GMT

Hej Anders

Der er nok et behov, men er folk villig til at betale, det er nok mere det jeg tvivler på medmindre det er et større firma.

Kender ikke årsagen til hvorfor meebox blev hacket, det kan være en bug i kontrolpanelet eller måske en dygtig hacker, tror ikke nogen af os kan føle os sikre.

Lyder hyggeligt, det bliver nok hos jer, jeg bor i øjeblikket i en lille lejlighed med 3 børn, kanin, undulat og en kone + en masse værdiløse computere som jeg selv har samlet så der er ikke megen plads til mødeaktivitet og det roder med mit og ungernes legetøj så det kan også være farligt

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Anders A — Wed, 08 Aug 2012 20:30:18 GMT

Hej Peter

Du har ret i at certificeringer ikke altid er et must, dog på den anden hånd skader de absolut heller ikke og have.

Jeg er dog ikke helt enig i din betragtning ang, at det kun er store kunder der har brug for sikkerhed. Prøv og søg på hack her på amino og se hvor mange der var oppe på tå spidserne da meebox havde nogle servere hvor alle hjemmesider blev hacket. Selvfølgelig en blog som bare beskriver hvad familien laver, eller små tips og tricks er selvfølgelig ikke forretnings kritisk som eks. en shop er ! Lad os sige en shop får stjålen alle brugernavne og adgangskoder og disse bliver lækket på nettet, hvor mange af deres kunder tror du kommer igen ? Og hvor mange tror du der bruger samme kode på nettet ?

Anyways, du er altid velkommen til enten og komme forbi os, eller vi kan kigge forbi dig, vi har ihvertfald altid kaffe på kanden, og du kan se vores kontor, og møde nogle af nørderne :)

Jeg har et godt tilbud til dig!

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***

Svar: Er din hjemmeside / Online butik sikret ? *SPAR 50 % som Amino medlem***