Claus Heinrich

Unoeuro ramt af malware i disse dage

Jeg sidder med en super frustreret følelse af afmagt i denne weekend, da det har vist sig at en af mine ofte benyttet hosting selskaber Unoeuro er hårdt ramt af malware på deres tjeneste.

Nogen har opnået adgang til deres servere og udskriver skadeligt kode i toppen af samtlige sider de hoster på nt (Windows, ASP) platformen.

Fredag aften mens jeg arbejde på en af mine sider, gik mit antivirus program pludselig amok på min egen hjemmeside. Jeg bemærkede hurtigt at et stykke grafik var blevet indsat i toppen af min hjemmeside.

Et kig i koden gav dette resultat:

Først troede jeg at det var min hjemmeside alene der var blevet hacked og kiggede straks i min kildekode. Men til min overraskelse var der intet at finde, alt så perfekt ud og ingen malware-kode var blevet indlejret i min kildekode.
Straks der begyndt sveden at løbe mig ned af ryggen… hvad nu med mine andre 20+ domæner hos Unoeuro…. Og min frygt blev en realitet. Samtlige domæner på deres ISS servere var ramt på præcis samme måde. Et script fra Kina bliver indsat i toppen af kilden og forsøger at installere noget malware.

Jeg lavede nogle scanninger af de delte NT servere Unoeuro har og kunne se at alle domæner var sku ramt.
Disse hackere der har gået efter Unoeuro er ikke så dumme. Ram selve serveren og inject kode på samtlige sites eet sted.
Nu har jeg intet kendskab til server opsætning og drift af sådanne, men det virker tydeligt at når et HTML output fra serveren sendes af sted til en browser, så tilknyttes denne ekstra kode alle sider.
Det glædelige ved det er at ingen filer hos deres kunder er direkte berørt eller ændret og at problemet opstår et specifikt sted i Unoeuros opsætning.

Unoeuro har selv taget bolden op og skrevet en blog post om problemet, hvilket faktisk glæder mig en del. At de er åbne overfor problemet gør at jeg stadig har tiltro til dem..
Og det virker til de knokler på problemet. Men altså, det er noget rigtig lort. Både for dem, mig og alle andre kunder hos dem.

Unoeuro har endnu ikke været i stand til at finde den direkte årsag til problemet, så jeg håber de får hevet nogle specialister ind med det samme til at finde hullet.

I disse minutter, kl. 20.00 søndag aften er ca. 10 af mine domæner igen ramt. Jeg sad og arbejdede i ro og mag på en af mine sider, da helvede igen brød løs. Alle deres NT servere igen ramt af samme injection.

Jeg er igen gået i gang med at overveje en anden form for server løsning til mine mange domæner. VPS eller lign. Der vil jeg i det mindste have mulighed for selv at gøre noget ved problemerne, frem for at være i andres hænder som nu. (Jeg aner ikke om de arbejder på sagen lige nu, eller først kigger på dette i morgen). Unoeuro har ingen support telefon, hvilket er en ting de har fravalgt for at holde udgifterne nede hos kunderne. I de gode tider er det fint nok, men nu er man sku på spanden som kunde.

Seneste:
Jeg er ved at redigere samtlige af mine Unoeuro hostet websites. Så nu bliver gæsterne henvist, via en 307 Temporary Redirect, til en anden midlertidig server hvor de modtager en statusbesked om problemet.
På denne måde kan ingen af mine gæster blive inficeret, da intet HTML output fra unoeuro serveren vil ramme deres browser.

ASP KODE TIL AT REDIRECTE TEMPORÆRT:
Denne kode jeg har brugt til at sende folk videre fra mine berørte domæner. Skal placeres i starten af din .asp fil (header). Placer koden sådan at den der det første serveren ser ved sidekald.

<%
Response.Status=”307 Temporary Redirect”
Response.AddHeader “Location”, ” http://www.domæne2.dk/”
%>

Jeg fjerner denne redirect igen når Unoeuro har løst problemet. (Er nu fjernet)

Relateret:

Unoeuro’s egen blog hvor de skriver om problemet.
– Snak om problemet i Nyhedsgruppen dk.edb.internet.udbydere.webhotel

Er der nogle af jer der er blevet ramt af dette? Husk det kun er deres NT servere der er ramt (Plejer du at kunne kende på .asp og .aspx endelser). Alle på Linux er gået fri.

Seneste Opdatering – Virus fjernet:
Citat fra Unoeuro Blog:
“Opdatering mandag kl 09:19. Vi har endelig fundet årsagen til problemerne. Vores netværk har været nede her til morgen, da serveren der er roden til alle problemerne, har formået at lave en masse problemer på hele vores netværk. nt5.unoeuro.com er pt. nede til nærmere undersøgelse, da det umiddelbart er kilden til problemerne, vi regner med at den er klar igen senere på dagen, men ikke før vi er sikker på at serveren ikke skaber flere problemer. Vi håber at have set det sidste til disse problemer nu.”
Jeg har hermed åbnet alle mine hjemmesider igen der var impliceret.

Jeg må sige at deres reaktion på dette problem har for mig været en vigtig test, for at se om jeg skulle forsætte hos Unoeuro. Og blandingen af rimelig hurtig response og fix af problemet, samt deres åbenhed tilsammen gør at jeg forsat vil have domæner hos dem.
Unoeuro har i mange år været mit lille guldæg mht. billig hosting. (Jeg har testet en del forskellige hosts igennem tiden, og Unoeuro har altid leveret varen – BILLIGT!)

Opfordring til Unoeuro. En email/SMS meddelelse når der opstår sådanne ting her vil absolut være et plus. Jeg vil føle mig bedre sikret med bevistheden om at kunne modtage en SMS hvis der er nedbrud eller andre kritiske problemer på de servere mine sider ligger.
And keep up the good job!

15 Comments

  1. Urovækkende at en så stor og velkonsolideret udbyder som unoeuro bliver udsat for dette.

    De har jo virkelig mange sider hostet, så det bliver interessant at se hvor meget rav der bliver i gaden…

  2. I den grad. De har vist en pæn bid af markedet indenfor billig hosting i Danmark. Jeg har selv været meget tilfreds med dem igennem de sidste mange år.

    Jeg kan godt forstå at man ikke kan forudsige alt, da disse spammere/hackere altid er lidt foran.
    Kravet må være at de får lukket det hul ASAP. og går da også udfra at de er i højeste beredskab. Også selvom det er weekend.

  3. Med over 30 hjemmesider hosted hos dem (med tilfredshed i øvrigt), er jeg også en kende fustreret. Ganske vist kører jeg på de fleste linux, hvor de ganske vist påstår, at der ikke har været problemer. Jeg ved ikke hvordan mine øvrige domæner er ramt, men på linux10 har jeg et domæne, der blev ramt i en kort stykke tid fredag aften.

    Jeg giver dig helt ret i, at det klæder dem at skrive ærligt og åbent om situationen. Det er spændende at se hvad der sker i de næste par dage.

  4. Det er godt, de tager problemet alvorligt trods det faktum, at de er “billig-udbyder”.

    For et halvt års tid siden opdagede jeg omfattende injections på en hel server på et af Danmarks dyreste webhoteller. De startede med at sige, at det var sgu hjemmesideejernes eget ansvar. Dernæst faldt de lidt til ro – men valgte at lyve om problemet og bilde samtlige hostede kunder på serveren ind, at de var nødt ti at tjekke deres hjemmesider en ekstra gang grundet “serverproblemer”. Deres troværdighed forsvandt som en kold øl i ørkenen for mig den dag.

    Så dyre hostingløsninger er ingen garanti.

  5. 100% enig Thomas. Ingen overhovedet er sikret mod uønsket indtrængen. Sidder der en dygtig nok hacker og vil ind, skal han/hun nok finde et hul med tiden.
    Den største test ligger i hvor effektive de er til at få løst problemet. Dette må anses som noget nær det mest kritiske der kan ske for en webhost.
    Indtil videre er der gået 48 timer uden bedring. Jeg håber at vågne op til rene servere imorgen.

  6. Hmm – nu ser det da helt skidt ud? Deres egen blog/side er nede også.

    Håber ikke mine data forsvinder da jeg ikke har for meget backup på udviklingssiderne :(…

    Kom nu unoeuro 🙂

  7. Hej, Thomas,

    Klart man overvjer sin domænesituation, når sådan noget sker. Men det er netop UnoEuros åbenhed (i forhold til andre, jeg har hørt om), som gør, jeg stadig holder ved. Informationer er klart noget, firmaet kan tjene på i den situation. Også selv om det kan synes som dårlig reklame i første omgang.

    Man kan jo ikke gøre noget ved det alligevel, når det ER sket, så hellere styre sladderen selv ved at informere om problemernem, end at det kører “in the wild”.

    Håber de fortsætter de gode takter. Og ja, nu har de været ramt, skal man skyde på, de indsætter en ekstra sikkerhed, så chancen for infection bliver mindre;)

  8. Puha, den er slem…

    Naturligvis skal de tage problemet alvorligt. Der skal ikke komme mange af den slags angreb, før folk forsvinder et andet sted hen.

    Måske man skulle overveje at bruge forskellige udbydere til sine websites.

  9. Ja det gælder om at sprede sine æg. Ud af mine godt 60 domæner, benytte jeg ca 10 forskellige webhosting selskaber. Både som test af nye, forskellige komponent krav, og for ikke at falde i med mus og mand hvis netop sådan noget her sker.
    Unoeuro har dog heldigvis vist sig fra den rigtig gode side i denne historie. Den ros skal de have.
    Jeg vil forsat beholde nogle af mine domæner hos dem, men jeg er ved at finde en mere sikker løsning for nogle af de projekter der har vokset sig for store til en billig hosting

  10. @Jane: Ja sådan noget kan ske for selv de bedste. Jeg vil til enhver tid stadig anbefale almindelige dødelige at benytte Unoeuro – til pengene har jeg til dato ikke fundet noget der virker lige så godt.
    Og de er ret flinke til at fx. benytte Twitter til at melde om evventuelle problemer de ser. Har fx. flere gange modtaget Direkte Beskeder fra dem om et lokalt problem de har observeret på et eller flere af mine domæner, og derved giver mig chancen for at udbedre det.

  11. Filoverførsel til hotmail.com er umulig
    Kender andre problemet?

Leave a Comment