Webhuset er hacket....

[serverside]

Mange som diskuterer ulike alternative webhoteller og jeg har en erfaring jeg tenkte å dele. Det siste året har jeg hatt webhotell hos webhuset.no. Oppetiden har vært bra og hastighet etc er upåklagelig. På fredag forrige uke snudde dette inntrykket da jeg opplevde at webhotellet deres ble hacket. Jeg ringte deres support og fikk beskjed om at feilen trolig lå i min applikasjon.

 

Jeg kjørte et oppslag på webhotellets IP og fant andre domener på samme server. Deretter lagde jeg et lite program som lette etter de filene som hackeren hadde lagt inn. Da fant jeg ut at det var et 10-talls kunder som var rammet av det samme.

 

Etter flere telefoner med webhuset i Bergen er det fremdeles ikke ryddet opp i og supportsaken jeg la inn på fredag er enda ikke besvart. Hackerens filer ligger fremdeles på flere av deres kunders sider (feks http://www.yamanu.no/default.php))

 

Så mitt råd: Skygg unne webhuset.no. Ok, dette kan skje (nesten) alle, men man må kunne forlange at det ryddes opp ASAP når noe slikt skjer!

 

Noen som kan anbefale et nytt webhotell som kan drifte mine sider? Trenger .NET 2.0 støtte og MS SQL 2005 :-)

Endret 19. mai 2008 av serverside

[Demantios]

Regner med at du har windows-server siden du har .net og mssql, så ssh-hullet i debian er sikkert ikke det som har blitt angrepet. Kan derimot være en nylig oppdaget include-svakhet i ajax som du bruker kanskje samme versjon av. Hvem som skal ha skylda for det er ikke opptil meg å avgjøre, men mot slike angrep har ikke webhotellene så mye å stille opp med, men dem skal ihvertfall prøve å ordne opp i det så fort som mulig, noe det ser ut til at dem ikke har gjort

[serverside]

Regner med at du har windows-server siden du har .net og mssql, så ssh-hullet i debian er sikkert ikke det som har blitt angrepet. Kan derimot være en nylig oppdaget include-svakhet i ajax som du bruker kanskje samme versjon av. Hvem som skal ha skylda for det er ikke opptil meg å avgjøre, men mot slike angrep har ikke webhotellene så mye å stille opp med, men dem skal ihvertfall prøve å ordne opp i det så fort som mulig, noe det ser ut til at dem ikke har gjort

I og for seg enig, men dersom dette angrepet er gjort via en av webapplikasjonene så er det også veldig kritikkverdig!. Et script som lastes opp på et webhotell og kjøres derfra bør ikke under noen omstendighet ha skriverettigheter til de andre webhotellene på samme server (og heller ikke mulighet til å endre katalogrettigheter). Mange av de som er rammet har statiske sider som ikke bruker hverken ajax eller .NET eller andre script.

Endret 19. mai 2008 av serverside

[datech]

Hei

 

Setter fingeren på at "angrepet" rammer mapper med skriverettigheter og at det er svakheter med frontpage extension som er årsaken.

 

Mener at Webhuset holder på å fase ut (fjerne) støtte for frontpage extension, så mulig du bør gi de en sjanse til.

 

Vet ikke om noen delte webhotell som er 100% sikker og mitt inntrykk er nå at Webhuset ligger i toppsjiktet når det gjelder kvalitet og seriøsitet.

 

Skal du opp i sikkerhet er det vel å gå for andre serverløsninger som dedikert server eller annet. (og selv da er du ikke 100% sikker, men har flere muligheter for brannslukking o.l.)

 

Et tips når det gjelder delte webhotell er å alltid sørge for å ha lokal kopi av nettsidene.

[serverside]

Joda, har forståelse for at slikt kan skje, men jeg opplevde at responsen fra webhuset var for dårlig. De informerte lite om hva de gjorde med saken og det tok alt for lang tid (3 døgn) før de ryddet opp i saken. Du har nok rett i at FrontpageServerExt. er årsaken. Dette bør de fjerne, eller i det minste la kundene fjerne det hvis man ikke trenger det (mange webhoteller gjør dette)

 

Jeg gir nok webhuset en sjanse til, men jeg flytter ikke flere av sidene mine dit med det første..