FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Stora attacker mot WordPress

Just nu pågår omfattande attacker och intrångsförsök mot WordPress-sidor över hela världen. Attackerna utförs av ett koordinerat nätverk av ca 100 000 hackade WordPress-sidor. Tillsammans kan de testa ca 2 miljarder olika lösenord mot en WordPress-sida på 1 timme. Attackerna riktas mot WordPress-sidor med användaren ”admin”.

FS Data är ett av Sveriges främsta webbhotell för WordPress-sidor och dessa attacker berör våra kunder i högsta grad. Vi har en väldigt kompetent brandväggslösning med ett automatiskt filter som stoppar sådana här attacker, men vi vill ändå gå ut med en allmän varning och ge tips på hur man själv enkelt kan skydda sig.

Så här skyddar ni er mot de aktuella WordPress-attackerna:

  1. Använd inte en användare som heter ”admin”. Om ni har en sådan användare sedan tidigare, ta då bort den. Detta gör man enklast genom att skapa en ny användare (med ett annat namn), som man anger som administratör för WordPress-sidan. Därefter loggar man in som den nya användaren och tar bort det gamla admin-kontot.
  2. Byt lösenord/använd ett svårare lösenord. Om du inte har bytt lösenord det senaste halvåret så är det hög tid att göra det nu. Ange ett svårare lösenord, gärna en kombination av gemener, versaler, siffror och specialtecken.
  3. Lösenordsskydda WordPress-administrationen /wp-admin. Det är enkelt att lösenordsskydda mappar via vår kontrollpanel. Här är en guide till hur man lösenordsskyddar sin statistik: FS Data manualer, Lösenordsskydda statistiken. Ersätt bara /wusage med /wp-admin i denna guide.

Om du vidtar dessa åtgärder så är sannolikheten för att din WordPress-sida ska bli hackad, med de attacker som pågår nu, ytterst liten. Läs gärna vår tidigare guide till en säkrare och snabbare WordPress-sida för mer säkerhetstips.

Lämna gärna en kommentar här nedan om ni har några frågor om detta.

Om senaste tidens DDoS-attacker

Vi har under två helger i rad blivit utsatta för extremt kraftfulla DDoS-attacker (distribuerade överbelastningsattacker). Dessa attacker har påbörjats fredag kväll, för att återkomma med oregelbundna intervaller under helgen. Attackerna har främst varit riktade mot fsdata.se men även andra (slumpmässigt utvalda) servrar hos oss blivit utsatta för dessa attacker.

Att vi utsätts för DDoS-attacker är inte ovanligt. Vi har sedan tidigare en av marknadens mest kompetenta och kraftfulla brandväggslösningar, som stoppat 1 000-tals DDoS-attacker det senaste halvåret utan att våra kunder har lagt märke till detta.

De DDoS-attacker som vi har upplevt på sistone har dock varit 100-tals gånger kraftigare och mer elakt utförda än tidigare. Det är likaså första gången som fsdata.se har varit måltavlan för sådana här attacker hos oss. Någon är väldigt tydligt ute efter att skada FS Data.

Samtliga attacker har avstyrts med hjälp av vår Internetleverantör Telia. Vi kan inte gå in på exakta detaljer kring hur attackerna stoppas, men i samarbete med Telia så har attackerna hindrats från att nå vårt nätverk och fortsatt påverka våra tjänster.

För att finna en permanent lösning och skydd mot dessa extrema attacker så har vi sedan attackerna bröt ut haft en intensiv dialog med Telia om utökat skydd hos dem. Vi är i slutfas av detta arbete och vi hoppas kunna ha en riktig lösning på plats inom kort.

Vi vill givetvis beklaga att dessa attacker har påverkat tillgängligheten för våra kunders tjänster. Attackerna skadar och kostar oss väldigt mycket. Att lösa detta har högsta möjliga prioritet hos oss.

I samband med dessa attacker så har vi försökt att informera våra kunder så gott som möjligt. Under helgen som gick så var vår uppdatering av Facebook och Twitter bristfällig. Vi får be om ursäkt för det. Nya rutiner har upprättats för att informationen alltid ska komma ut snabbt överallt.

Vår tekniska jour är bemannad och redo att agera 24/7 om/när vi utsätts för en DDoS-attack. Vi har ett väldigt gott samarbete med Telia och om vår egen driftstatus inte är tillgänglig så informerar vi alltid så gott vi kan på Facebook och Twitter. Vi har även påbörjat en process för att lägga vår driftstatus externt, så att den är tillgänglig även om vårt nätverk inte fungerar.

Vi vill verkligen försäkra er om att vi gör vårt allra yttersta för att lösa situationen med dessa extrema DDoS-attacker så snabbt och bra som möjligt. Vi hoppas att ni har förståelse för detta. Om ni har ytterligare frågor om dessa attacker, kontakta då gärna vår kundtjänst.

En smartare brandvägg, för våra kunders säkerhet

FS Data har, sedan början av 2012, en av marknadens absolut bästa brandväggslösningar. Vår dubbla och redundanta uppsättning av Juniper SRX3400 kan hantera 20 Gb trafik/sekund, med 2,25 miljoner samtidiga anslutningar.

Denna nya lösning kom ursprungligen till efter en serie av kraftfulla och distribuerade överbelastningsattacker (sk. DDoS-attacker), som vår tidigare brandväggslösning inte kunde hantera. Det var attacker riktade mot våra kunder, som kunde ha sänkt i princip vilket svenskt webbhotell som helst.

För att finna ett permanent skydd till detta så undersökte vi, i princip, hela marknaden för brandväggar, från egenutvecklade lösningar till komplexa lösningar med Cisco. I slutändan visade det sig att Juniper kunde erbjuda oss och våra kunder den bästa lösningen av dem alla.

Sedan introduktionen av våra nya brandväggar så har antalet nätverksstörningar helt upphört. Med få undantag, relaterade till att det var en ny lösning, så har brandväggslösningen stoppat alla överbelastningsattacker under 2012. Då talar vi om åtskilliga tusentals attacker av denna sort.

Men det är inte bara överbelastningsattacker som våra nya brandväggar stoppar.

Som de flesta brandväggar så erbjuder vår lösning även skydd mot andra former av intrång. Men till skillnad från andra brandväggar så är vår lösning rätt så mycket smartare. Vår brandväggslösning har nämligen något som kallas för IDP.

Juniper Intrusion Detection and Prevention (IDP)

IDP är ett system som identifierar, säkerställer och styr datatrafik, utan att prestandan (läs: hastigheten) påverkas. Med IDP kan man skapa en mer pålitlig nätverksmiljö och skydda sig mot ett stort antal kända säkerhetshål. IDP-reglerna kan både hanteras manuellt och automatiskt, med listor som uppdateras dagligen.

IDP-listorna innehåller blockeringsregler för kända säkerhetshål – både för specifika lösningar såsom WordPress, Joomla, phpBB osv, men även för generella attacker via t ex SQL-injicering eller säkerhetshål i Windows (Juniper får t ex förhandsinfo från Microsoft inför deras ”patch tuesdays”).

Man kan likna detta vid ett antivirusprogram, som dagligen hämtar nya uppdateringar och virusskydd.

IDP är sedan 2 veckor tillbaka aktiverat för samtliga webbhotellsservrar hos oss. Den IDP-lista som vi använder har över 1 600 blockeringsregler, som skyddar våra kunders hemsidor och webbtjänster.

Men hur effektivt är IDP? Här är en liten topp 10-lista, med stoppade attacker under knappt 8 timmar igår:

Sårbarhet/säkerhetshål Antal attacker
HTTP:DIR:PARAM-TRAVERSE 55470
SMTP:OVERFLOW:TEXT-LINE-OF 14738
HTTP:UNIX-FILE:ETC-PASSWD 4619
HTTP:REQERR:NULL-IN-HEADER 2009
HTTP:SQL:INJ:AND-NUMBER-EQUALS 1411
HTTP:SQL:INJ:UNION-SELECT 1191
VIRUS:SMTP:LOCALHOST-HELO 973
HTTP:SQL:INJ:HAVIJ-UA 860
HTTP:PHP:PHP-CGI-CMD-LINE-RCE 478
HTTP:XSS:HTML-SCRIPT-IN-URL-PTH 456

Den fullständiga listan över stoppade attacker är givetvis mycket längre än så här, men ni förstår poängen.

För en tid sedan bloggade vi om hur viktigt det är att uppdatera sin hemsida, för att undvika att bli hackad. Då berättade vi att våra tekniker hjälper i genomsnitt 5 hackade kunder/vecka. Sedan vi aktiverade IDP (för 2 veckor sedan) så har vi haft 2 hackade kunder totalt. Det är 80 % färre hackade hemsidor.

Även om vår brandvägg nu erbjuder ett ännu bättre skydd än tidigare så är det givetvis fortsatt viktigt att man håller sin hemsida uppdaterad och säker. Precis som man installerar säkerhetsuppdateringar på sin dator så ska man även uppdatera sin hemsida.

IDP är ett kostnadsfritt skydd som ingår för alla våra webbhotellskunder. Vi håller även på att se över möjligheten att erbjuda IDP till våra serverkunder. Om ni har en servertjänst hos oss och är intresserade av detta, kontakta då gärna vår kundtjänst.