Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Publicerad

OpenX används för att sprida skadlig kod

Hackade OpenX-servrar som sprider skadlig kod via annonser blir allt vanligare. Läs vår FAQ hur du skyddar dig.

Vad är problemet?

OpenX är en annonsserver som många webbplatser använder för att publicera annonser. Tidigare versioner av produkten innehåller sårbarheter som gör det möjligt för en angripare att ta över servern och publicera annonser som infekterar besökare med skadlig kod. Då webbplatsen besöks med en webbläsare vars insticksprogram är ouppdaterade infekteras datorn utan användarinteraktion. Många användare blir alltså smittade "i bakgrunden" genom att surfa in på välkända webbplatser som har skadliga annonser.

OpenX-servern är skriven i PHP och gamla versioner innehåller två allvarliga säkerhetshål som kan utnyttjas för att sprida skadlig kod:

Tyvärr är det vanligt att gamla och sårbara versioner av OpenX används fortfarande.

Hur säkrar jag upp min OpenX-server?

  • Uppgradera till den senaste versionen (för närvarande v2.8.10). Uppdatera även insticksprogram till OpenX samt övrig programvara, exempelvis webbservern och operativsystem. Ta bort eller inaktivera insticksprogram som inte används.

  • Admin-sajten bör inte vara publikt tillgänglig på internet. Attacker där angriparen gissar lösenord mot inloggningssidan kan då undvikas. Om den måste vara publikt tillgänglig kan en extra webbserver-inloggning läggas på. Ett annat alternativ är att sätta upp ett IP-filter i brandväggen och endast tillåta access från vissa IP-adresser.

  • Använd svårgissade lösenord och byt de regelbundet.

  • Undvik användarnamnen "admin" eller "administrator". Detta måste göras direkt mot databasen och kan inte göras via GUI-gränssnittet (se länk nedan). DNS-namnet för servern bör vara något annat än "openx".

  • Ändra databas-schemat så att JavaScript inte kan läggas till som prefix eller suffix i annonsen (se länk nedan).

  • Säkerställ att loggningen fungerar för webb- och OpenX-servern så eventuella attackförsök kan upptäckas. Använd helst en central loggserver så loggarna inte går att manipulera.

För ytterligare råd rekommenderas denna guide:

http://mandagreen.com/hardening-openx/

Hur upptäcker jag att min OpenX-server är hackad?

  • Har angriparen skapat en ny admin-användare?

  • Finns JavaScript tillagt under "Append settings" som är angriparens?

  • Är loggningen ändrad? Exempelvis kan angriparen inaktiverat "Audit Trail" i OpenX.

  • Finns nya filer som inte känns igen? De ligger förmodligen, men inte nödvändigtvis, i www-roten.

  • Hör användare av sig och klagar över virusvarningar då de surfar in på webbplatsen med annonserna.

Vad gör jag om min OpenX-server blivit hackad?

  • Ta OpenX-servern ur produktion så inga besökare riskeras smittas.

  • Ta backup på loggfiler och www-roten för senare analys.

  • Försök identifiera hur angriparen har tagit över servern. Kontakta gärna CERT-SE (<cert@cert.se> eller 08-678 57 99) ifall ni behöver hjälp.

  • Installera om servern helt från grunden, dvs installera om maskinen med nytt operativsystem. Att rensa bort angriparens filer är en annan metod men det går aldrig att vara 100% säker att alla bakdörrar hittats. CERT-SE rekommenderar därför alltid en full ominstallation.

  • Byt alla lösenord.

  • Säkra upp servern (se ovan).

Hur skyddar jag mig då jag surfar?

En del av de webbplatser som drabbats av skadliga annonser är stora och välkända. Råden att "surfa lugnt", "tänk innan du klickar" och undvik okända webbplatser är alltså värdelösa i detta fall. Följande kan göras för att skydda datorn mot skadliga annonser:

Inaktivera alla insticksprogram som inte används eller som inte känns igen. Exempelvis är insticks-Java en vanlig infektionsvektor och det är få webbplatser nu för tiden som använder Java. Gör så här för att se installerade insticksprogram samt möjlighet att inaktivera de:

  • Google Chrome: Skriv chrome://plugins/ i URL-raden.
  • Microsoft Internet Explorer: Tools - Manage add-ons :: Ändra listboxen: Show - All add-ons
  • Mozilla Firefox: Tools - Add-ons :: Gå till Plugins-fliken.

Detta är en utförlig guide över hur insticks-Java inaktiveras (råden kan lätt appliceras på andra insticksprogram): http://nakedsecurity.sophos.com/2012/08/30/how-turn-off-java-browser/

Uppdatera webbläsaren, insticksprogram samt operativsystemet kontinuerligt.

Använd ett uppdaterat virusskydd. Det finns en uppsjö av produkter och vissa är gratis.