{"id":9128,"date":"2012-07-27T15:23:57","date_gmt":"2012-07-27T15:23:57","guid":{"rendered":"http:\/\/\/\/sitestory.dk\/wordpress\/?p=9128"},"modified":"2021-07-19T03:19:46","modified_gmt":"2021-07-19T01:19:46","slug":"hvordan-hackerne-kom-ind","status":"publish","type":"post","link":"https:\/\/sitestory.dk\/wordpress\/2012\/07\/27\/hvordan-hackerne-kom-ind\/","title":{"rendered":"Hvordan hackerne kom ind"},"content":{"rendered":"<p><strong>De havde ikke en kinamands chance for at kn\u00e6kke mit password, men alligevel var det kinesere, der hackede min side. L\u00e6s hvordan de g\u00f8r det.<\/strong><\/p>\n<p>Meget aktuelt er nogle fagforeningers IT-systemer blevet hacket, og mange t\u00e6nker sikkert: <em>\u201dHvordan g\u00f8r de det?\u201d<\/em><\/p>\n<p>Der er flere m\u00e5der, og man kan l\u00e6se en popul\u00e6r <a title=\"How they hack your website...\" href=\"http:\/\/www.cmswire.com\/cms\/web-cms\/how-they-hack-your-website-overview-of-common-techniques-002339.php\" target=\"_blank\" rel=\"noopener\">beskrivelse her<\/a>, hvor man ikke beh\u00f8ver at have st\u00f8rre teknisk indsigt. Meget ofte benytter hackerne sig af \u201dhuller\u201d i PHP-scripts, og hvad er s\u00e5 lige det for noget?<\/p>\n<p>PHP er et programmeringssprog, som bruges til at danne dynamiske websider \u2013 fx WordPress blogs som denne. P\u00e5 serveren er der en PHP-fortolker, som programmet bag websiderne \u201dfodrer,\u201d og s\u00e5 spytter fortolkeren resultatet ud.<\/p>\n<p>Hvis en hacker kan finde et sikkerhedshul i fx et plugin til WordPress, kan han bruge plugin\u2019et til at kanalisere ordrer til serverens PHP-fortolker (eller m\u00e5ske SQL databasen) og p\u00e5 den m\u00e5de f\u00e5 adgang. Han udnytter s\u00e5 at sige serverens tillid til websidens PHP-script.<\/p>\n<p>Har man adgang til sine logfiler, vil man se en masse foresp\u00f8rgsler p\u00e5 fx contact.php, thumb.php, timthumb.php m.fl., og laver man en s\u00f8gning p\u00e5 disse navne, ser man, at det er WordPress plugins med kendte sikkerhedshuller.<\/p>\n<p>S\u00e5 nogle hackeres robotter sender simpelthen foresp\u00f8rgsler ud i cyberspace som spredehagl for at se, om de kan finde sider, der har plugins med en sikkerhedsbrist. Jeg har masser af den slags foresp\u00f8rgsler logget i min 404-log (404 er den kode, serveren returnerer, hvis en side ikke findes).<\/p>\n<h3>Hvordan kom de s\u00e5 ind hos mig?<\/h3>\n<p>Jeg har gransket logfilen for juli m\u00e5ned og kan se, at de m\u00e5 v\u00e6re kommet ind via min gamle PHP-baserede g\u00e6stebog. Hele m\u00e5neden, indtil jeg opdager miseren den 20. juli, er der livlig trafik fra en 3-4 IP-adresser i hhv. Putian (Fujian-provinsen) og Shanghai.<\/p>\n<p><!--more-->Den kinesiske trafik gik til en bestemt kommentar (id=74) i g\u00e6stebogen, og for mig ser det ud, som om de kommanderede med serveren via denne kommentar, men jeg forst\u00e5r ikke det krimskrams, som ligner bin\u00e6r kode. I logfilen ser det fx s\u00e5dan ud, hvor \u201dgb\u201d var kataloget med den gamle g\u00e6stebog. Jeg har forkortet den meget:<\/p>\n<p>112.111.190.3 &#8211; &#8211; [15\/Jul\/2012:19:30:37 +0200] &#8220;GET \/gb\/comment.php?gb_id=74+%5BPLM=0%5D+GET+http:\/\/www.sitestory.dk\/gb\/comment.php?gb_id=74+%5B0,7729,3018%5D+-%3E+%5BN%5D+POST+http:\/\/www.sitestory.dk\/gb\/comment.php+%5B0,0,3450%5D [PLM=0] GET \/gb\/comment.php?gb_id=74+%5BPLM=0%5D+GET+http:\/\/www.sitestory.dk\/gb\/comment.php?gb_id=74+%5B0,7729,3018%5D+-%3E+%5BN%5D+POST+http:\/\/www.sitestory.dk\/gb\/comment.php+%5B0,0,3450%5D [0,7763,2640] -&gt; [N] POST http:\/\/www.sitestory.dk\/gb\/comment.php [0,0,3484] -&gt; [N] [&#8230; og en masse mere af samme skuffe &#8230;]&#8221; &#8220;Mozilla\/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; YPC 3.0.2; .NET CLR 1.1.4322; yplus 4.4.02b)&#8221;<\/p>\n<p>En meget us\u00e6dvanlig logning, og der var mange lignende! Et meget mere normalt eksempel (hvor jeg har slettet de f\u00f8rste cifre i IP-adressen) ser s\u00e5ledes ud:<\/p>\n<p>xx.xx.135.63 &#8211; &#8211; [24\/Jul\/2012:14:21:14 +0200] &#8220;GET \/rejser\/facts\/cypernfacts.htm HTTP\/1.1&#8221; 200 5684 &#8220;http:\/\/www.google.dk\/search?q=cypern&amp;ie=UTF-8&amp;oe=UTF-8&amp;hl=da&amp;client=safari&#8221; &#8220;Mozilla\/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit\/534.46 (KHTML, like Gecko) Version\/5.1 Mobile\/9B206 Safari\/7534.48.3&#8221;<\/p>\n<p>Hvis l\u00e6seren kan komme i dialog p\u00e5 en eller anden m\u00e5de, er det en s\u00e6rlig kritisk side. Det kan som her v\u00e6re kommentarfeltet i en g\u00e6stebog, men det kan ogs\u00e5 v\u00e6re formularer eller andet, hvor l\u00e6seren\u201dnaturligt\u201d kan skrive noget, som i virkeligheden er kommandoer til PHP-fortolkeren.<\/p>\n<p>Hackerne havde fuld adgang til min side, kunne jeg se p\u00e5 det, de havde efterladt, men om det hele er foreg\u00e5et via g\u00e6stebogens kommentar med id=74, ved jeg ikke, og hullet er solidt lukket nu.<\/p>\n<p>Fra nu af holder jeg bedre \u00f8je med bl.a. min 404-logfil, for her kan man f\u00e5 et vink med en vognstang om, hvad hackerne er p\u00e5 jagt efter.<\/p>\n<p>Man m\u00e5 lade dem, at de er skrappe, men nogen er skrupell\u00f8se svindlere, og andre er b\u00e5tnakker, som fx dem der har hacket 3F og besv\u00e6rliggjort dagpengeudbetalingen for en masse mennesker. De har ikke noget at v\u00e6re stolte af og h\u00f8rer hjemme bag tremmer.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>De havde ikke en kinamands chance for at kn\u00e6kke mit password, men alligevel var det kinesere, der hackede min side. Meget aktuelt er nogle fagforeningers IT-systemer blevet hacket, og mange t\u00e6nker sikkert: \u201dHvordan g\u00f8r de det?\u201d Jeg ved nu, at det var kinesere, der hackede min side, jeg ved i princippet, hvordan de gjorde det, og jeg har eksempler p\u00e5, hvordan de fodrede serveren. Lad det tjene til skr\u00e6k og advarsel!<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[788,2329,2328,1553,1753],"class_list":["post-9128","post","type-post","status-publish","format-standard","hentry","category-it-internet","tag-hackere","tag-logfiler","tag-php","tag-plugin","tag-server"],"_links":{"self":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/9128","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/comments?post=9128"}],"version-history":[{"count":1,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/9128\/revisions"}],"predecessor-version":[{"id":17646,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/posts\/9128\/revisions\/17646"}],"wp:attachment":[{"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/media?parent=9128"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/categories?post=9128"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sitestory.dk\/wordpress\/wp-json\/wp\/v2\/tags?post=9128"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}