Tag-arkiv: Hackere

Logfilen afslører hjemmesidens uønskede gæster

4 svar

I serverens adgangs-logfil for hjemmesiden eller bloggen kan man identificere de robotter, spammere og hackere, man helst er fri for.

De fleste med en hjemmeside eller blog følger med i, hvilke sider der får besøg, hvilke søgninger der bringer folk til siderne osv. Ofte har udbyderen et statistikprogram, eller man kan fx bruge Google Analytics.

Disse programmer fortæller dog sjældent om de mange robotter, som også kommer på besøg og grovæder af din båndbredde, eller om suspekte spam-robotter og ”hacker-følere”.

De fortæller heller ikke altid, hvem der hotlinker til dine billeder, altså smækker et af dine billeder på deres egen side med et direkte link til billedets originale adresse, så du får lov at lægge båndbredde til.

Serverens logfil – Access log

For at identificere disse størrelser og evt. formene dem adgang skal man selv granske logfilen over besøg, hvis man da har adgang til den. Der kan være forskel på, hvordan forskellige servere strukturerer logfilen, men her er et eksempel på en enkelt logning i min logfil:

2.105.72.250 – – [07/Sep/2012:15:56:43 +0200] “GET /wordpress/2010/12/20/til-tenerife-og-sydens-sol/ HTTP/1.1” 200 9734 “http://www.at-rejse-er-at-leve.dk/spanien.htm” “Opera/9.80 (Windows NT 6.1; Win64; x64; U; da) Presto/2.10.289 Version/12.02”

Læs resten

Uopdragne søgerobotter, spambots og hackere

9 svar

Om at finde og blokere uopdragne internet-robotter, der sluger din båndbredde, og som hverken vil dig eller de små børn i Afrika noget godt.

Dette indlæg er langt og nok mest interessant for webmastere, men det skal ikke altid handle om mad, katte, rejser eller besøg i byggemarkedet. 😉

Da jeg havde ryddet op efter hackernes indbrud, begyndte jeg (lidt sent!) at interessere mig for serverens access-logfiler: Hvem får egentlig adgang til mine sider, og hvad er de ude på?

Det gik op for mig, at selv en uskyldig hjemmeside som min tæppebombes med forespørgsler fra bl.a. robotter: Programmer, der gennemtrawler nettet i legitimt, ligegyldigt eller skummelt ærinde. Det ser man bare ikke i de normale besøgsstatistikker.

Det er ikke kun søgemaskiner, der bruger robotter. Spammere, hackere og andet afskum bruger dem også. Robotterne kaldes også for crawlere, spidere og bots.

Nogle er velopdragne og velkomne som fx Googlebot og Bingbot, da de bidrager til, at vi alle kan søge og finde. Okay, Googlebot bruger en del båndbredde, men Google er jo Google.

Andre er ret ligegyldige. Det er fx robotter, der søger egnede sider til reklamer eller kigger efter, hvem der reklamerer hvor, så de kan sælge deres services, hvad de så end går ud på.

Og så er der banditterne. Nogen præsenterer sig end ikke ved navn eller bruger sågar falsk identitet og kalder sig fx Googlebot. De sniger sig ind og grønthøster din side til skumle formål, som med garanti ikke er i din interesse.

Nogen leder fx efter sårbare WordPress plugins, de kan bruge til at hacke siden, andre høster e-mailadresser til spam, og så er der robotter, som poster spam-kommentarer på blogs og i gæstebøger.

I august brugte Googlebot 237 mb båndbredde på mit domæne, sitestory.dk, og Google er flittig, men de uopdragne robotter brugte i samme måned mere end 600 mb, og det var inden jeg begyndte at formene dem adgang!

Og det var endda kun de robotter, der præsenterede sig som robotter – alle de skumle, som optræder anonymt eller under falsk identitet, er ikke talt med.

Læs resten

Hvordan hackerne kom ind

2 svar

De havde ikke en kinamands chance for at knække mit password, men alligevel var det kinesere, der hackede min side. Læs hvordan de gør det.

Meget aktuelt er nogle fagforeningers IT-systemer blevet hacket, og mange tænker sikkert: ”Hvordan gør de det?”

Der er flere måder, og man kan læse en populær beskrivelse her, hvor man ikke behøver at have større teknisk indsigt. Meget ofte benytter hackerne sig af ”huller” i PHP-scripts, og hvad er så lige det for noget?

PHP er et programmeringssprog, som bruges til at danne dynamiske websider – fx WordPress blogs som denne. På serveren er der en PHP-fortolker, som programmet bag websiderne ”fodrer,” og så spytter fortolkeren resultatet ud.

Hvis en hacker kan finde et sikkerhedshul i fx et plugin til WordPress, kan han bruge plugin’et til at kanalisere ordrer til serverens PHP-fortolker (eller måske SQL databasen) og på den måde få adgang. Han udnytter så at sige serverens tillid til websidens PHP-script.

Har man adgang til sine logfiler, vil man se en masse forespørgsler på fx contact.php, thumb.php, timthumb.php m.fl., og laver man en søgning på disse navne, ser man, at det er WordPress plugins med kendte sikkerhedshuller.

Så nogle hackeres robotter sender simpelthen forespørgsler ud i cyberspace som spredehagl for at se, om de kan finde sider, der har plugins med en sikkerhedsbrist. Jeg har masser af den slags forespørgsler logget i min 404-log (404 er den kode, serveren returnerer, hvis en side ikke findes).

Hvordan kom de så ind hos mig?

Jeg har gransket logfilen for juli måned og kan se, at de må være kommet ind via min gamle PHP-baserede gæstebog. Hele måneden, indtil jeg opdager miseren den 20. juli, er der livlig trafik fra en 3-4 IP-adresser i hhv. Putian (Fujian-provinsen) og Shanghai.

Læs resten