Tidligere denne uken skrev digi.no om ett massivt hacker-angrep mot norske nettsteder.
Les også:
- [27.10.2008] Ondsinnet kode skal knekkes av omdømme
- [15.10.2008] Opera lager nytt spesialsøk for weben
- [19.09.2008] 316 norske nettsteder hacket siste måned
- [30.06.2008] Gidder ikke å fikse sikkerhetshull
- [29.06.2008] Krever åpenhet om datavirus
- [28.06.2008] 80 offentlige nettsteder sprer datavirus
- [28.05.2008] Massivt hacker-angrep mot norske nettsteder
Angrepet er ikke målrettet mot norske bedrifter og kommuner, men mange har likevel blitt infisert med ondsinnet kode som retter seg mot besøkende uten oppdaterte operativsystem og applikasjoner.
- Vi har sett en ekstrem økning av norske, infiserte nettsteder de siste dagene, sa Frank Stien, leder for Telenor Security Operations Centre (Telenor SOC), til digi.no tidligere denne uken.
Han oppfordret alle bedrifter og kommuner om å sjekke at serverne deres ikke var infisert, og at de var oppdatert med de siste sikkerhetsfiksene.
Denne oppfordringen har nådd ut til mange, men langt fra alle har oppdatert sine servere.
Det er imidlertid mulig også for andre enn bedriftene selv å sjekke ut hvem som er infisert. Det kan gjøres gjennom ett enkelt Google-søk.
Det har blant annet Geir Tore Furås gjort. Han jobber til daglig som IT-konsulent i et oljeselskap i Rogaland. Han har forsøkt å ta direkte kontakt med mange av de som har hatt infiserte nettsteder.
Furås estimerer at cirka 2.500 norske nettsider er infisert, hvis man teller hver enkelt side. Det vil si at ett nettsted kan ha mange forskjellige sider som er infisert, så det er trolig snakk om et langt mindre antall nettsteder, selv om det er mange nok.
- Jeg har sendt mail til noen av nettsidene. De eneste jeg har fått svar i fra er Myo Shop som sa de jobbet med å få det fikset, ellers har jeg ikke hørt noe, sier Furås.
Her er e-posten han har sendt ut:
Viktig melding ang dine nettsider.
Hei, den siste tiden er det blitt gjort et stort angrep mot norske nettsider.
Angrepet ser ut til og ha opphav fra Kina, og går ut på at de lurer inn en kodesnutt inn i deres nettsider som igjen linker til et javascript på en webserver i Kina, som igjen legger inn et trojan/malware på dine besøkende sine maskiner.
Det er viktig at du/dere går igjennom deres nettsider og ser etter svakheter og koder i scriptet som ikke hører hjemme.
Det er viktig at dette blir fjernet fortest mulig slik at skadene blir begrenset så mye som mulig.
Håper dette blir fikset fortest mulig.
Hvis du er usikker på om dette stemmer, så sjekk vårt googlesøk: http://www.google.no
Her vil du finne din nettside.
- Jeg var nødt til å gi opp å sende ut mail til de som hadde problemet, antallet ble for høyt til slutt, sier Furås til digi.no.
Furås henviser også til sin blogg, der han har forsøkt å forklare litt mer i detalj.
Telenor Security Operations Centre bekrefter at dw95.com er ett av domenene som benyttes ved innsprøytningen av kode.
- De vi har sett flest av den siste tiden er www.adw95.com, www.banner82.com og www.dota11.cn, sier Morten Kråkvik i Telenor Soc, til digi.no.
Kråkvik viser til at de som vil ha en komplett liste over domenene, kan sjekke ut en slik oversikt hos ShadowServer.org. Han påpeker imidlertid at tallene der er noe utdatert.
Her kan du selv sjekke om ditt nettsted er infisert av de tre mest aktuelle skriptene:
digi.no gjør oppmerksom på at slike søk på Google viser hvilke nettsteder som var infisert på tidspunktet da siden ble indeksert. Nettstedene som dukker opp i søkeresultatene kan ha fikset problemene etter at de ble kjent.
Les også:
- [27.10.2008] Ondsinnet kode skal knekkes av omdømme
- [15.10.2008] Opera lager nytt spesialsøk for weben
- [19.09.2008] 316 norske nettsteder hacket siste måned
- [30.06.2008] Gidder ikke å fikse sikkerhetshull
- [29.06.2008] Krever åpenhet om datavirus
- [28.06.2008] 80 offentlige nettsteder sprer datavirus
- [28.05.2008] Massivt hacker-angrep mot norske nettsteder