De havde ikke en kinamands chance for at knække mit password, men alligevel var det kinesere, der hackede min side. Læs hvordan de gør det.

Meget aktuelt er nogle fagforeningers IT-systemer blevet hacket, og mange tænker sikkert: ”Hvordan gør de det?”

Der er flere måder, og man kan læse en populær beskrivelse her, hvor man ikke behøver at have større teknisk indsigt. Meget ofte benytter hackerne sig af ”huller” i PHP-scripts, og hvad er så lige det for noget?

PHP er et programmeringssprog, som bruges til at danne dynamiske websider – fx WordPress blogs som denne. På serveren er der en PHP-fortolker, som programmet bag websiderne ”fodrer,” og så spytter fortolkeren resultatet ud.

Hvis en hacker kan finde et sikkerhedshul i fx et plugin til WordPress, kan han bruge plugin’et til at kanalisere ordrer til serverens PHP-fortolker (eller måske SQL databasen) og på den måde få adgang. Han udnytter så at sige serverens tillid til websidens PHP-script.

Har man adgang til sine logfiler, vil man se en masse forespørgsler på fx contact.php, thumb.php, timthumb.php m.fl., og laver man en søgning på disse navne, ser man, at det er WordPress plugins med kendte sikkerhedshuller.

Så nogle hackeres robotter sender simpelthen forespørgsler ud i cyberspace som spredehagl for at se, om de kan finde sider, der har plugins med en sikkerhedsbrist. Jeg har masser af den slags forespørgsler logget i min 404-log (404 er den kode, serveren returnerer, hvis en side ikke findes).

Hvordan kom de så ind hos mig?

Jeg har gransket logfilen for juli måned og kan se, at de må være kommet ind via min gamle PHP-baserede gæstebog. Hele måneden, indtil jeg opdager miseren den 20. juli, er der livlig trafik fra en 3-4 IP-adresser i hhv. Putian (Fujian-provinsen) og Shanghai.

Læs resten →