Karl Ove Hufthammer

Innbrot i bloggen

I likheit med Jesro Christoffer Cena vart eg òg hardt ramma av eit nytt tryggleikshol i logganalysatoren AWStats. Les meir om holet på:

Kort sagt: Om du kjører ein AWStats-versjon under 6.3, kan kven som helst bryta seg inn på nettstaden din og gjera kva som helst.

Etter eit slikt innbrot er det berre éin ting å gjera:

  1. Slett alle filene på nettstaden.
  2. Byt alle passorda (det gjeld blant anna e-postpassord, databasepassord og Movable Type-brukarpassord).
  3. Hent ned oppdaterte versjonar av Movable Type, alle tillegga du brukar, samt alle andre skript. (Berre for få dagar sidan kom det ei oppdatert utgåva av Movable Type, som retta eit tryggleikshol.)
  4. Last opp «reine» filer frå den lokale reservekopien du sjølvsagt har laga på førehand.
  5. Sørg for at at du i framtida følgjer nøyare med, og alltid brukar oppdaterte versjonar av alle skript.

7 kommentarar

  1. Kort sagt: Om du kjører ein AWStats-versjon under 6.3, kan kven som helst bryta seg inn på nettstaden din og gjera kva som helst.

    Altså: Dette gjelder ikke dersom du, som jeg rent personlig synes man bør, sperrer AWstats for ikke-autentiserte brukere vha. htaccess, eller lignende.
    Om noen skulle lure på hvorfor jeg synes man ikke skal ha statistikker offentlig tilgjengelige, så er årsaken veldig enkel: Avskum som spammer refererlogger i håp om bedre synlighet i søkemotorer, benytter seg av det faktum at folk legger slike logger åpent tilgjengelig.

  2. Eg synest det er greitt å ha statistikken tilgjengelig for dei som måtte vera interessert. Men eg har alltid «sperra» for søkemotorarar ved hjelp av robots.txt, slik at «spamming» av referentloggen iallfall ikkje vil vera til noko nytte for spammarane.

  3. Problemet er bare at spamroboter ikke bryr seg om at det finnes en robots.txt. De ser bare: «Oj, et mål å refererspamme».

  4. Dessuten så har man muligheten til å konfigurere AWStats slik at lenker til refererende sider kun vises i ren tekst og ikke er faktiske lenker, dette kombinert med en beskjed i robots.txt synes jeg må være mer enn godt nok. Jeg har gjort begge deler:

    fortellinger.net/statistikk/awstats.pl

    Slik unngås det også at man uforskyldt klikker på lenker i sin egen statistikk, og dermed vises i andre nettsteders statistikk, og så klikker kanskje eierne av de andre nettstedene på disse referansene, igjen, og så er hjulet i gang. Hvorvidt dette er til irritasjon for dere andre, eller ikke, lurer jeg faktisk på? Selv synes jeg det er en uting, men ikke at det er noe stort problem.

  5. Takk for tipset med lenkene. Eg har no gjort det same (mest med tanke på andre nysgjerrige sjelar). Og for dei som lurer, så er følgjande variabel som skal setjast:
    ShowLinksOnUrl=0

  6. Jeg hadde kun to slike lenker i min oversikt over eksterne lenker, men jeg fikk heldigvis oppdatert umiddelbart da jeg leste Blankspot. Selv fjernet jeg også hyperkoblingen til lenker i AWStats. Dette viser hvor viktig det er å vise varsomhet på nettet.

Legg til kommentar

E-postadressa vert ikkje synleg for andre. Obligatoriske felt er merkte med *.