Se også et lite skribleri fra 29. juni
Advarsel:
For å være på den sikre siden, ikke besøk de sidene det linkes til med din vanlige nettleser uten å ha slått av javascript først.
For å være helt sikker bør du også deaktivere cookies, ActiveX og andre uhumskheter i nettleseren din.
Kort sammendrag
Websteder over hele verden er blitt hacket i massivt omfang i det siste.
Dette gjelder også norske websider.
For den vanlige nettsurfer innebærer dette en risiko for selv å bli infisert via kodesnutter (linker) på de hackede webstedene.
Disse kodesnuttene omdirigerer deg som bruker til andre websteder som hackerne har kontroll over.
På disse webstedene forsøker de å ta kontroll over din maskin, antakeligvis for å kunne bruke den i et såkalt botnet.
Hvilke norske websteder?
Dette søket ved hjelp av Google illustrerer omfanget (igjen: for sikkerhets skyld, ikke besøk noen av disse webstedene hvis du ikke vet nøyaktig hva du gjør)
Noen norske websteder som har vært infisert, men som har "ryddet opp":
Halden kommune, Bø kommune, Tandberg, Thon Hotels, Tafjord Kraft, IT Fornebu/IT Fornebu Inkubator (m.fl), Hafslund (flere websteder - hafslund.no, protect.no, infratek.no), barnelegen.no/.net/.org/, og så videre. Det er snakk om flere hundre, muligens flere tusen norske websider.
Hvem har ikke ryddet opp?
(Pr. 31. mai - og igjen: Disse bør du holde deg unna akkurat nå).
Mange av linkene som er lagt inn på de hackede websidene fungerer ikke akkurat nå på grunn av at disse er "suspendert" på grunn av innholdet.
Men: Hittil har det bare tatt relativt kort tid innen hackerne har lagt inn kodesnutter med linker til nye websteder som infiserer deg som bruker. Det er derfor svært viktig at det ryddes opp i de norske webstedene og at sikkerhetshullet tettes slik at de ikke kan hackes på nytt.
Et eksempel på dette er nettstedet hotrod.no. Først ble brukerne omdirigert til adw.95. Etter at dette domenenavnet ble suspendert endret hackerne linken til locale48.com. Som igjen omdirigerte surferne til et annet websted.
Akkurat nå ser det ut som om linkene til de fleste sidene til hackerne ikke fungerer.
Men enkelte av disse ble suspendert i går eller i natt og det er antakeligvis bare et spørsmål om tid før de endres på nytt igjen.
Så hvilken holdning har de norske ISP-ene til dette? Jeg sjekket bare et par stykker, og det var ikke særlig oppløftende.
Nettsted med flere butikker/enkeltsider som alle er infisert.
Kontaktet dem i går via skjema på websidene. Jeg prøvde derfor i dag å kontakte eieren av domenet, men dette var umulig. Flere telefonnummer som ikke var i bruk.
Jeg kontaktet til slutt daglig leder hos firmaet der websidene ligger, ServeTheWorld AS. Presenterte meg og forsøkte å forklare at brukerne av shops.no kunne bli infisert bare ved å besøke nettstedet.
Han kunne ikke garantere at det ble gjort noe, han fikk som daglig leder mange henvendelser privat også videre (jeg har i grunnen full forståelse for det, har man helg så har man helg. Eller er man daglig leder, så er man daglig leder?).
Men han skulle kontakte en tekniker. Nå, to åtte timer seinere er webstedet enda oppe. Fremdeles hacket.
Google har også funnet ut at dette ikke er noe særlig til nettbutikk. Dette er resultatet av et søk på "shops.no":
Riktignok er sannsynligvis linkene til hackernes websteder ikke aktive akkurat nå, men dette er sannsynligvis bare et spørsmål om tid. NB: Dette har skjedd og linkene til hackernes sider er aktive, se oppdateringen rett under.
shops.no forsvant i løpet av søndag. Ser ut som om sjappa enkelt og greit har lagt ned for godt.
OPPDATERING:
Bare minutter etter at jeg hadde skrevet ferdig denne hadde hackerne endret på noen av videresendingene.
Dette betyr at brukere av noen av de norske hackede websidene igjen risikerer å bli infisert dersom de besøker dem (gjelder både kakemonsen.no, hotrod.no og shops.no).
De webstedene som har fått lagt til linker til locale48.com vil nå være aktive i dette.
Tidligere pekte h||p://www.locale48,com/b.js til et domene som var blitt suspendert. Nå peker det til domenenavnet en-us18.com som fremdeles er oppe og går (hostet på et botnet). Det samme gjelder de webstedene som har fått injisert koden "http:||www.rexec39,com/b.js", som også omdirigeres til en-us18.com (jeg tar ikke med den direkte linken til den infiserte fila der - den finner du sjøl, men vis aktsomhet!).
Om hackerne er riktig lure har de også endret ørlite på måten du blir infisert på slik at det ikke oppdages av antivirusprogrammer.
Spørsmålsstillingen er interessant:
ServeTheWorld AS er blitt gjort oppmerksomme på et hacked websted, hostet av dem.
De gjør nada og resultatet kan være at tilfeldige nettsurfere blir infisert.
Men det er godt å ta helg, ikke sant ServeTheWorld?
For min del vet jeg at jeg ikke ville valgt dem som host.
Tør jeg foreslå et nytt motto for ServeTheWorld, dere kan velge fra følgende:
- "Vi gir blaffen i både deg og kundene dine og forsåvidt alle nettsurfere"
- "Besøk våre kunder og bli infisert"
- "ServeTheWorld - er det helg, så er det helg!"
Eier av nettstedet er klar over at de er hacket. AdCom Data skulle ha ryddet opp i dette ifølge han.
Jeg får prøve å kontakte dem.
Å kontakte AdCom på en lørdag var vanskelig. Havna til slutt hos en kar i Namsos som ikke kjente til noe slikt. Han kjente ikke noe nummer brukere kan ringe til i helgene når det gjelder slikt som dette.
Så konklusjonen må bli at AdCom gir blanke f... i om du som bruker risikerer å bli infisert via et hacked nettsted som hostes av dem.
Vent til mandag. Men, de har jo visst om dette noen dager iflg eier av hotrod. Så ..... vent til AdCom gidder, ikke bare i helgene, men ellers også.
Jeg ville ikke ha hostet mine websteder hos dem.
hotrod.no ga mandag kveld følgende: "Nettstedet er midlertidig utilgjengelig på grunn av tekniske problemer. Vennligst prøv igjen litt senere."
Slik kan det også sies. Når helga er over.
"Nummer ikke i bruk" hos eier av webstedet.
Host: reaktor.no. Svarer ikke på "beredskapstelefonen".
Sendt e-post.
Jeg ville ikke ha hostet hos dem heller.
Det er tydeligvis noen som leser e-posten hos reaktor.
kakemonsen.no gir nå (søndag ettermiddag) resultatet "No web site is configured at this address."
Med tanke på å unngå mulige hijackinger av brukeres maskiner er vel det en fornuftig midlertidig løsning.
Så om du har blitt infisert av et av de nevnte webstedene i helga kan du spørre hosten om hvorfor det ikke ble gjort noe med dem.
Det verst tenkelige scenarioet er at hackerne får opp aktive domener/websteder som infiserer tilfeldige nettsurfere.
Akkurat nå ser det ikke ut som om det skjer, men som sagt: Dette kan endre seg når som helst.
Der har det endret seg, se OPPDATERING over.
Dette var bare et lite utvalgt på 3 nettsteder som er hacket og som fremdeles er oppe og går.
Det finnes antakeligvis atskillig flere.
Aktuelle linker
Digi.no: "Massivt hacker-angrep mot norske nettsteder".
Digi.no refererer til Geir Tore Furås sin blog for nærmere informasjon: http://oppdatert.blogspot.com/2008/05/norske-nettsider-er-fulle-av-virus.html
Ifølge Furås er trojanen kalt "W32.Mariofev.A", les mer om den hos Symantec. Oppdatert: Det varierer antakeligvis hvilken trojan man "støter" på.
En annen norsk blogger, Eivind Savio, med link til løsning for hosten:
http://www.savio.no/blogg/a/45/massivt-sql-injection-angrep-paa-asp-nettsider
Dancho Danchev har skrevet om denne nylig (engelskspråklig), denne gir god bakgrunnsinfo:
http://blogs.zdnet.com/security/?p=1122
Jeg har selv skrevet om dette tidligere i en annen blog (forsøk på engelsk):
http://www.matchent.com/wpress/
