Ett Google-søk avslører hvem som er infisert

2.500 norske nettsider ble infisert i et massivt hacker-angrep. Slik ser du om du er berørt.

Noen enkle søk på Google avslører raskt hvilke nettsider som er infisert
Noen enkle søk på Google avslører raskt hvilke nettsider som er infisert
30. mai 2008 - 10:50

Tidligere denne uken skrev digi.no om ett massivt hacker-angrep mot norske nettsteder.

    Les også:

Angrepet er ikke målrettet mot norske bedrifter og kommuner, men mange har likevel blitt infisert med ondsinnet kode som retter seg mot besøkende uten oppdaterte operativsystem og applikasjoner.

- Vi har sett en ekstrem økning av norske, infiserte nettsteder de siste dagene, sa Frank Stien, leder for Telenor Security Operations Centre (Telenor SOC), til digi.no tidligere denne uken.

Han oppfordret alle bedrifter og kommuner om å sjekke at serverne deres ikke var infisert, og at de var oppdatert med de siste sikkerhetsfiksene.

Denne oppfordringen har nådd ut til mange, men langt fra alle har oppdatert sine servere.

Det er imidlertid mulig også for andre enn bedriftene selv å sjekke ut hvem som er infisert. Det kan gjøres gjennom ett enkelt Google-søk.

Det har blant annet Geir Tore Furås gjort. Han jobber til daglig som IT-konsulent i et oljeselskap i Rogaland. Han har forsøkt å ta direkte kontakt med mange av de som har hatt infiserte nettsteder.

Furås estimerer at cirka 2.500 norske nettsider er infisert, hvis man teller hver enkelt side. Det vil si at ett nettsted kan ha mange forskjellige sider som er infisert, så det er trolig snakk om et langt mindre antall nettsteder, selv om det er mange nok.

- Jeg har sendt mail til noen av nettsidene. De eneste jeg har fått svar i fra er Myo Shop som sa de jobbet med å få det fikset, ellers har jeg ikke hørt noe, sier Furås.

Her er e-posten han har sendt ut:

Viktig melding ang dine nettsider.

Hei, den siste tiden er det blitt gjort et stort angrep mot norske nettsider.

Angrepet ser ut til og ha opphav fra Kina, og går ut på at de lurer inn en kodesnutt inn i deres nettsider som igjen linker til et javascript på en webserver i Kina, som igjen legger inn et trojan/malware på dine besøkende sine maskiner.

Det er viktig at du/dere går igjennom deres nettsider og ser etter svakheter og koder i scriptet som ikke hører hjemme.

Det er viktig at dette blir fjernet fortest mulig slik at skadene blir begrenset så mye som mulig.

Håper dette blir fikset fortest mulig.

Hvis du er usikker på om dette stemmer, så sjekk vårt googlesøk: http://www.google.no

Her vil du finne din nettside.

- Jeg var nødt til å gi opp å sende ut mail til de som hadde problemet, antallet ble for høyt til slutt, sier Furås til digi.no.

Furås henviser også til sin blogg, der han har forsøkt å forklare litt mer i detalj.

Telenor Security Operations Centre bekrefter at dw95.com er ett av domenene som benyttes ved innsprøytningen av kode.

- De vi har sett flest av den siste tiden er www.adw95.com, www.banner82.com og www.dota11.cn, sier Morten Kråkvik i Telenor Soc, til digi.no.

Kråkvik viser til at de som vil ha en komplett liste over domenene, kan sjekke ut en slik oversikt hos ShadowServer.org. Han påpeker imidlertid at tallene der er noe utdatert.

Her kan du selv sjekke om ditt nettsted er infisert av de tre mest aktuelle skriptene:

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

digi.no gjør oppmerksom på at slike søk på Google viser hvilke nettsteder som var infisert på tidspunktet da siden ble indeksert. Nettstedene som dukker opp i søkeresultatene kan ha fikset problemene etter at de ble kjent.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra