Vi i ITavisen.no, som ofte har skrevet om hacking og sikkerhet, opplevde ikke oss selv som noe attraktivt mål for hackere. Kanskje noe naivt vil noen si. Uansett – tror vi at både våre lesere og vi selv kan lære av det som skjedde.
Her finner du først en kort skisse over hvordan hacket ble gjennomført. Deretter en kort beskrivelse av vårt system. Så lenker til en sak av hva loggen avslørte. (Etter hvert som vi finner ut mer vil vi i den grad det ikke kompromiterer oss selv gå ut med det).
Slik skjedde hacket
Det var ved femtiden søndag morgen den 8. oktober at hackerne begynte sitt attakk mot ITavisen.no.
I korte trekk utførte hackerne følgende:
Annonse
- Kom seg inn som brukeren www (som er vanlig brukernavn på de fleste webtjenere)
- Endret ITavisen.nos hjemmeside (itavisen.no/index.html) til itavisen.no/hackindex.html
- Endret skrivebeskyttelse for filene slik at det skulle bli vanskeligere for root å gjenopprette index.html
- Fjernet eksterne login-muligheter, så det ble litt verre å komme inn på vår egen server for å rette opp siden
- Slettet logfilene for å slette spor etter seg selv
Klokken 5.45 var hacket gjennomført. Ved nitiden ble redaksjonen tipset av våre lesere. Klokken 9.38 var hjemmesiden gjennopprettet.
Kort om vår webtjener
ITavisen.no kjører vår webtjener på operativsystemet Linux Red Hat 6.2. Vår webutvikler konstanterer noe rødmende at de løpende sikkerhetsoppdateringene fra Red Hat ikke var fulgt (rettet nå).
Webtjeneren er hostet av KPNQwest. Den er ikke innefor en brannmur.
Nedenfor finner du en lenke til hvordan vi berget loggfilene – og hva de avslørte.
For øvrig kan vi anbefale de av dere som er spesielt interesserte til å følge newsgruppen no.it.sikkerhet.diverse.
Eventuelle tips, kommentarer og innspil kan e-postes til [email protected].
Annonse
