De havde ikke en kinamands chance for at knække mit password, men alligevel var det kinesere, der hackede min side. Læs hvordan de gør det.

Meget aktuelt er nogle fagforeningers IT-systemer blevet hacket, og mange tænker sikkert: ”Hvordan gør de det?”

Der er flere måder, og man kan læse en populær beskrivelse her, hvor man ikke behøver at have større teknisk indsigt. Meget ofte benytter hackerne sig af ”huller” i PHP-scripts, og hvad er så lige det for noget?

PHP er et programmeringssprog, som bruges til at danne dynamiske websider – fx WordPress blogs som denne. På serveren er der en PHP-fortolker, som programmet bag websiderne ”fodrer,” og så spytter fortolkeren resultatet ud.

Hvis en hacker kan finde et sikkerhedshul i fx et plugin til WordPress, kan han bruge plugin’et til at kanalisere ordrer til serverens PHP-fortolker (eller måske SQL databasen) og på den måde få adgang. Han udnytter så at sige serverens tillid til websidens PHP-script.

Har man adgang til sine logfiler, vil man se en masse forespørgsler på fx contact.php, thumb.php, timthumb.php m.fl., og laver man en søgning på disse navne, ser man, at det er WordPress plugins med kendte sikkerhedshuller.

Så nogle hackeres robotter sender simpelthen forespørgsler ud i cyberspace som spredehagl for at se, om de kan finde sider, der har plugins med en sikkerhedsbrist. Jeg har masser af den slags forespørgsler logget i min 404-log (404 er den kode, serveren returnerer, hvis en side ikke findes).

Hvordan kom de så ind hos mig?

Jeg har gransket logfilen for juli måned og kan se, at de må være kommet ind via min gamle PHP-baserede gæstebog. Hele måneden, indtil jeg opdager miseren den 20. juli, er der livlig trafik fra en 3-4 IP-adresser i hhv. Putian (Fujian-provinsen) og Shanghai.

Den kinesiske trafik gik til en bestemt kommentar (id=74) i gæstebogen, og for mig ser det ud, som om de kommanderede med serveren via denne kommentar, men jeg forstår ikke det krimskrams, som ligner binær kode. I logfilen ser det fx sådan ud, hvor ”gb” var kataloget med den gamle gæstebog. Jeg har forkortet den meget:

112.111.190.3 – – [15/Jul/2012:19:30:37 +0200] “GET /gb/comment.php?gb_id=74+%5BPLM=0%5D+GET+http://www.sitestory.dk/gb/comment.php?gb_id=74+%5B0,7729,3018%5D+-%3E+%5BN%5D+POST+http://www.sitestory.dk/gb/comment.php+%5B0,0,3450%5D [PLM=0] GET /gb/comment.php?gb_id=74+%5BPLM=0%5D+GET+http://www.sitestory.dk/gb/comment.php?gb_id=74+%5B0,7729,3018%5D+-%3E+%5BN%5D+POST+http://www.sitestory.dk/gb/comment.php+%5B0,0,3450%5D [0,7763,2640] -> [N] POST http://www.sitestory.dk/gb/comment.php [0,0,3484] -> [N] [… og en masse mere af samme skuffe …]” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; YPC 3.0.2; .NET CLR 1.1.4322; yplus 4.4.02b)”

En meget usædvanlig logning, og der var mange lignende! Et meget mere normalt eksempel (hvor jeg har slettet de første cifre i IP-adressen) ser således ud:

xx.xx.135.63 – – [24/Jul/2012:14:21:14 +0200] “GET /rejser/facts/cypernfacts.htm HTTP/1.1” 200 5684 “http://www.google.dk/search?q=cypern&ie=UTF-8&oe=UTF-8&hl=da&client=safari” “Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B206 Safari/7534.48.3”

Hvis læseren kan komme i dialog på en eller anden måde, er det en særlig kritisk side. Det kan som her være kommentarfeltet i en gæstebog, men det kan også være formularer eller andet, hvor læseren”naturligt” kan skrive noget, som i virkeligheden er kommandoer til PHP-fortolkeren.

Hackerne havde fuld adgang til min side, kunne jeg se på det, de havde efterladt, men om det hele er foregået via gæstebogens kommentar med id=74, ved jeg ikke, og hullet er solidt lukket nu.

Fra nu af holder jeg bedre øje med bl.a. min 404-logfil, for her kan man få et vink med en vognstang om, hvad hackerne er på jagt efter.

Man må lade dem, at de er skrappe, men nogen er skrupelløse svindlere, og andre er båtnakker, som fx dem der har hacket 3F og besværliggjort dagpengeudbetalingen for en masse mennesker. De har ikke noget at være stolte af og hører hjemme bag tremmer.