Bineros säkerhet?
 

Jag skulle vilja ha lite input om ett problem som gäller en hackad sida på Binero.

Den aktuella sidan är en föreningssida som använder CMS-systemet ModX. Den har nu i dagarna blivit hackad och innehåller en mängd filer som inte hör dit. Jag tror att även någon fil har fått några extra rader kod i sig som är skadlig.

Denna sida har tidigare blivit hackad, även då hostad av Binero.

Tidigare har jag personligen använt Binero som host. Även då blev de siter jag hade hos dem hackade. Då använde jag inte ModX, utan oscommerce. Även de siter i ren html blev hackade.

Så vad tror ni, beror detta på att Binero har låg säkerhet eller att någon hackat sig in i en av deras kunder som kör wordpress och på så sätt kommit åt övriga konton på samma server?
Eller beror det på att någon hackat sig in genom ModX?

Alla tankar om detta uppskattas.

Du har ett virtuellt filsystem som är låst till dig som kund, du kommer bara åt dina egna grejor och ser inte andra kunders filer. Du kommer bara åt dina egna webbplatser och är det så att någon sida har ett säkerhetshål så kommer det högst troligt drabba alla dina webbplatser som du har lagt upp. Det är dock viktigt att hålla färdiga CMS system uppdaterade hela tiden och viktigaste av allt är att dra ner på onödiga tillägg till t.ex Wordpress eller liknande färdiga system för att slippa dra på sig ökade risker i form av att tillägget i fråga innehåller säkerhetsbrister.

Du har även tillgång till access loggar och kan spåra händelser där.

Det är också ganska vanligt att man drabbas med hjälp av sitt FTP konto, 99% av fallen så rör det sig om att kundens egna dator har haft virus som lyssnar av trafiken. Det är väldigt många som inte konfigurerar FTPS eller så och då krypteras inte trafiken.

Jag rekommenderar att köra med SFTP istället alternativt SCP. Du kan skapa ett eget SSH konto i kontrollpanelen och fortsätta använda FileZilla fast du ansluter mot sftp://ssh.binero.se och sedan användarnamn samt de lösenordet du valde att skapa i kontrollpanelen.

Jag tror inte det beror på att Binero har låg säkerhet, däremot är det vanligt att hackare utnyttjar sig av säkerhetshål i php-programvaran som Kjette säger. De flesta webbhotell har faktiskt obefintlig säkerhet mot sql-injections och andra typer av attacker och filtrerar ingen webbtrafik. Det finns dock några webbhotell som filtrerar webbtrafik och erbjuder något som kallas för WAF eller Web Application Firewall. Nedan nämner jag några:

www.oderland.se
www.fsdata.se
www.egensajt.se

Känner inte till några fler men någon kanske kan fylla på.

Stort tack för svaren.

Jag kör själv med WinSPC, och det programmet stödjer SFTP. Så jag kan sätta lägga till ett SSH-konto och sedan be de 2 eller 3 andra personer som också har ftp-uppgifterna att använda det fortsättningsvis.

Rubriken kan varit aningen missvisande.
Jag kollade lite i gamla mail och i mina tidigare trådar här på WN. Och för flera årsedan så blev alla sidor på en av Levonlines server hackade. Enligt Levonline berodde det på att hackaren tagit dig in genom en wordpress-sida på servern och på så sätt kommit åt resten av servern.
Att något liknande hänt nu var min första tanke, att någon tagit sig in genom en wordpress-sida på samma server.
Är jag helt fel ute när jag misstänker detta?

Kjette, vet du om Binero har egna loggar för ftp, eller ligger det bland de övriga loggfilerna under domännamn.se/logs?

Nej, detta är inte möjligt, Kjette skrev
Det troliga är att att någon kommit in via FTP eller helt enkelt hittat ett hål i ModX. Om det är så att man kommit in via ModX så rekommenderar jag dig att använda ett webbhotell som erbjuder WAF så slipper du bli hackad i framtiden.

Om du kör med Wordpress och vanlig FTP så är det med 99,999% säkerhet din egen mjukvara som är vägen in. Säkerheten på de större svenska webbhotellen var tidigare ganska dålig i många fall men idag är det mycket bättre ställt. Vilket webbhotell du väljer har ingen större betydelse när det gäller just säkerheten.

Det där stämmer inte, alla webbhotell kör inte WAF, faktum är att merparten inte kör WAF. Alla webbhotell kör inte cloudlinux eller chrootat heller.

Jag använder ModX (https://modx.com/). Att Wordpress-sidor utsätts titt som tätt känner jag till. Men det är väll ett attraktivt mål att hacka eftersom det finns så många potentiella mål. Huruvida Wordpress är mindre säkert än andra CMS-system har jag ingen aning om.

Stor del av att misstankarna till roten av problemet gått till Binero är för att det hänt totalt 3 ggr och med två olika system (modx och osc) hos Binero. Samt att hela Levonlines ena server blev hackad och Levonline menade att detta berodde på en av deras kunders Wordpress-site.
Om någon kommit över mina ftp-uppgifter så kunde lika gärna någon av de andra 3-4 hostarna blivit angripna, men så är inte fallet. Och jag har alltid haft minst 3-4 olika hostar samtidigt de senaste 10 åren.

Du kan ju ta reda på hur de tagit sig in.
Kolla loggar, se hur de droppade trojan/script osv.

Jag tror inte det är en server-wide infektion utan det är ouppdaterade sidor på ditt konto.
Men vill du ha hjälp med en koll kan jag hjälpa till.

Supernuce, jag skickar ett PM till dig.

Har tidigare jobbat som 3rd line hos 3 olika webbhotell och vi fick handskas med detta dagligen! Till 99,9% så berodde alla intrång på kunders hemsidor;

* Dåliga lösenord / stulna lösenord
* Ej uppdaterade plugins oavsett CMS
* Ej uppdaterade CMS
* XSS
* Formulär som låg vidöppna utan säkerhet
* Virus på kundernas burkar
* Dålig kunskap om hur man bygger hemsidor

Så nej, det beror inte alls på Binero utan p.g.a kunden till 99,9% av fallen!

De mesta av de intrång du nämner löser WAF (Web Application Firewall), utom första punkten, så jag antar att inget webbhotell du jobbade på hade WAF? Binero kör tex. inte WAF så långt jag vet.

Kommenterar Inte angående just Bineros säkerhet, men det är möjligt (men ovanligt) att skräp hamnar i dit webbhotell utan att du har säkerhetshål i din kod även om hostingservern kör cloudlinux eller andra system som separerar kunder från varandra.

En hostingserver kan potentiellt hackas precis som andra servrar om de inte hålls uppdaterade etc. Om en hostingserver hackats kan personen som hackat utnyttja att det är just en hostingserver och plantera in skräp i en eller flera av webbhotellskundernas kod.

Men som sagt tidigare är den vanligaste anledningen ouppdaterad egen kod eller liknande.

De vanligaste attackerna på webbsajter kommer utifrån, sql-injektioner osv. Så det är inte speciellt enkelt att hacka en sajt som ligger på ett webbhotell som kör WAF som står för web application firewall. De flesta tror att alla webbhotell har någon form av yttre skydd när i själva väldigt få webbhotell erbjuder detta. Vår WAF blockerar tom bad bots och brute-force login attacker.

Både ja och nej, WAF kan säkert skydda en hel del men har din kund en applikation där du bara kan ta dig igenom med enkel sql injection så hjälper inte WAF alls.

Har en kollega till mig som använder WAF på samtliga utav sina system och den stoppar mycket men långt ifrån allt!

Det var en dålig WAF, för den ska hindra 100% sql injections. Vi har kört webbhotell i minst 8år nu och inte haft en enda hackad sajt till dags dato. Och då har vi massor med kunder som kör jättegamla och sårbara installationer av Joomla, tex 1.5.

Kanske eller så täpper den inte allt.
Detta är de som han kör "Comodo WAF (web-application firewall)"