[redrum]

Jag skulle vilja ha lite input om ett problem som gäller en hackad sida på Binero.

Den aktuella sidan är en föreningssida som använder CMS-systemet ModX. Den har nu i dagarna blivit hackad och innehåller en mängd filer som inte hör dit. Jag tror att även någon fil har fått några extra rader kod i sig som är skadlig.

Denna sida har tidigare blivit hackad, även då hostad av Binero.

Tidigare har jag personligen använt Binero som host. Även då blev de siter jag hade hos dem hackade. Då använde jag inte ModX, utan oscommerce. Även de siter i ren html blev hackade.

Så vad tror ni, beror detta på att Binero har låg säkerhet eller att någon hackat sig in i en av deras kunder som kör wordpress och på så sätt kommit åt övriga konton på samma server?
Eller beror det på att någon hackat sig in genom ModX?

Alla tankar om detta uppskattas.

[Kjette]

Du har ett virtuellt filsystem som är låst till dig som kund, du kommer bara åt dina egna grejor och ser inte andra kunders filer. Du kommer bara åt dina egna webbplatser och är det så att någon sida har ett säkerhetshål så kommer det högst troligt drabba alla dina webbplatser som du har lagt upp. Det är dock viktigt att hålla färdiga CMS system uppdaterade hela tiden och viktigaste av allt är att dra ner på onödiga tillägg till t.ex Wordpress eller liknande färdiga system för att slippa dra på sig ökade risker i form av att tillägget i fråga innehåller säkerhetsbrister.

Du har även tillgång till access loggar och kan spåra händelser där.

Det är också ganska vanligt att man drabbas med hjälp av sitt FTP konto, 99% av fallen så rör det sig om att kundens egna dator har haft virus som lyssnar av trafiken. Det är väldigt många som inte konfigurerar FTPS eller så och då krypteras inte trafiken.

Jag rekommenderar att köra med SFTP istället alternativt SCP. Du kan skapa ett eget SSH konto i kontrollpanelen och fortsätta använda FileZilla fast du ansluter mot sftp://ssh.binero.se och sedan användarnamn samt de lösenordet du valde att skapa i kontrollpanelen.

[Danielos]

Citat:

Ursprungligen postat av redrum

Så vad tror ni, beror detta på att Binero har låg säkerhet eller att någon hackat sig in i en av deras kunder som kör wordpress och på så sätt kommit åt övriga konton på samma server? Eller beror det på att någon hackat sig in genom ModX?

Jag tror inte det beror på att Binero har låg säkerhet, däremot är det vanligt att hackare utnyttjar sig av säkerhetshål i php-programvaran som Kjette säger. De flesta webbhotell har faktiskt obefintlig säkerhet mot sql-injections och andra typer av attacker och filtrerar ingen webbtrafik. Det finns dock några webbhotell som filtrerar webbtrafik och erbjuder något som kallas för WAF eller Web Application Firewall. Nedan nämner jag några:

www.oderland.se
www.fsdata.se
www.egensajt.se

Känner inte till några fler men någon kanske kan fylla på.

[redrum]

Stort tack för svaren.

Jag kör själv med WinSPC, och det programmet stödjer SFTP. Så jag kan sätta lägga till ett SSH-konto och sedan be de 2 eller 3 andra personer som också har ftp-uppgifterna att använda det fortsättningsvis.

Rubriken kan varit aningen missvisande.
Jag kollade lite i gamla mail och i mina tidigare trådar här på WN. Och för flera årsedan så blev alla sidor på en av Levonlines server hackade. Enligt Levonline berodde det på att hackaren tagit dig in genom en wordpress-sida på servern och på så sätt kommit åt resten av servern.
Att något liknande hänt nu var min första tanke, att någon tagit sig in genom en wordpress-sida på samma server.
Är jag helt fel ute när jag misstänker detta?

Kjette, vet du om Binero har egna loggar för ftp, eller ligger det bland de övriga loggfilerna under domännamn.se/logs?

[Danielos]

Citat:

Ursprungligen postat av redrum

Att något liknande hänt nu var min första tanke, att någon tagit sig in genom en wordpress-sida på samma server.
Är jag helt fel ute när jag misstänker detta?

Nej, detta är inte möjligt, Kjette skrev

Citat:

Du har ett virtuellt filsystem som är låst till dig som kund, du kommer bara åt dina egna grejor och ser inte andra kunders filer.

Det troliga är att att någon kommit in via FTP eller helt enkelt hittat ett hål i ModX. Om det är så att man kommit in via ModX så rekommenderar jag dig att använda ett webbhotell som erbjuder WAF så slipper du bli hackad i framtiden.

[tartareandesire]

Om du kör med Wordpress och vanlig FTP så är det med 99,999% säkerhet din egen mjukvara som är vägen in. Säkerheten på de större svenska webbhotellen var tidigare ganska dålig i många fall men idag är det mycket bättre ställt. Vilket webbhotell du väljer har ingen större betydelse när det gäller just säkerheten.

[Danielos]

Citat:

Ursprungligen postat av tartareandesire

Vilket webbhotell du väljer har ingen större betydelse när det gäller just säkerheten.

Det där stämmer inte, alla webbhotell kör inte WAF, faktum är att merparten inte kör WAF. Alla webbhotell kör inte cloudlinux eller chrootat heller.

[redrum]

Citat:

Ursprungligen postat av tartareandesire

Om du kör med Wordpress och vanlig FTP så är det med 99,999% säkerhet din egen mjukvara som är vägen in.

Jag använder ModX (https://modx.com/). Att Wordpress-sidor utsätts titt som tätt känner jag till. Men det är väll ett attraktivt mål att hacka eftersom det finns så många potentiella mål. Huruvida Wordpress är mindre säkert än andra CMS-system har jag ingen aning om.

Stor del av att misstankarna till roten av problemet gått till Binero är för att det hänt totalt 3 ggr och med två olika system (modx och osc) hos Binero. Samt att hela Levonlines ena server blev hackad och Levonline menade att detta berodde på en av deras kunders Wordpress-site.
Om någon kommit över mina ftp-uppgifter så kunde lika gärna någon av de andra 3-4 hostarna blivit angripna, men så är inte fallet. Och jag har alltid haft minst 3-4 olika hostar samtidigt de senaste 10 åren.

[Norman]

Du kan ju ta reda på hur de tagit sig in.
Kolla loggar, se hur de droppade trojan/script osv.

Jag tror inte det är en server-wide infektion utan det är ouppdaterade sidor på ditt konto.
Men vill du ha hjälp med en koll kan jag hjälpa till.

[redrum]

Citat:

Ursprungligen postat av Norman

Men vill du ha hjälp med en koll kan jag hjälpa till.

Supernuce, jag skickar ett PM till dig.