FORUM 
» Senaste inläggen
» Översikt

» Föreningsfrågor (84)
» Kustobsar (80)
» Svalan (76)
» Lokaler (179)
» Utrustning (71)
» Atlasinventeringen (38)
» Fågelskydd (55)
» Torslandaviken (25)
» Rapportering/RRK (49)
» Fältbestämning (189)
» Observationer (291)
» Foto (49)
» Kustfoto (51)
» Upplevelser i fält (78)
» Köp & Sälj (349)
» Samåkning (34)
» Övrigt (631)

     LOGGA IN 
För att göra inlägg i forumet måste du logga in. Eftersom forumet drivs i samarbete med Kustobsar, är det Kustobsars användaruppgifter som gäller.
ANVÄNDARNAMN

LÖSENORD

» Ny användare
     Svalan 


Direkt till
senaste svaret


Visa fler trådar
under Svalan


Till
översikten
Artportalen utsatt för hackattack

Pär Lydmark     



Som flera säkert redan märkt ligger hela Artportalen nere, vilket innebär att det varken går att rapportera eller visa observationer från Svalan. De obsar som visas här på Kustobsar är vår senaste cachning av observationerna innan Artportalen la av för några timmar sedan.

Anledningen är tydligen att Artportalen blivit utsatt för en hackattack. Jag citerar följande från ett mail av Stefan Cherrug på Brevudvan:

"Tyvärr har Svalan hackats och det har lagts ut länkar till en kinesisk sajt med trojaner. Svalan är nu nedstängd, men tyvärr kommer det att ta flera dagar innan den kommer på benen igen. Systemansvariga kommer förhoppningsvis med ytterligare info inom kort."

Vi återkommer med mer information om vi hör något om när hackspettarna har fåtts under kontroll.

2008-06-14 21:25:45


Pär Lydmark     



Här kommer lite mer info från Johan Nilsson på Svalan/Artportalen som bekräftar ovanstående och ger lite mer info om läget:

"Som Stefan Cherrug skriver har sidan 'Dagens fågel' hackats av någon som vill åt vår trafik, sannolikt inte våra data, för att sprida reklam/virus. Det kostar på att vara en av Sveriges största icke kommersiella sajter. Vad vi hittills har kunnat konstatera är det bara sidan 'Dagens fågel' som fått "extra funktionalitet". Så snart vi konstaterat detta stängde vi ner hela Artportalen. Kan man komma åt en sida så kan man komma åt andra sidor. Vi kan inte öppna Artportalen förrän vi vet hur intrånget gått till."

Vi kan helt enkelt bara avvakta och se. Och kanske passa på att ägna oss åt lite nostalgisk skådning som den var förr, innan alla la mer tid på att knappa in sina obsar vid datorn än på själva skådningen... ;)

2008-06-14 21:51:01


Jörgen Grahn     



Svalan är uppe just nu, men det finns inte nån info om
nertiden. Jag antar att det betyder att dom löst problemen,
och inte att jag sitter och laddar ner kinesiska trojaner?

2008-06-17 20:32:05


Magnus Persson     



Är det någon svalanrapportör som "smittats! med virus eller trojaner i samband med rapportering?

Jag fick en trojan under w24, men vet ej var den kom ifrån. Dock meddelade virusskyddet/brandväggen om upptäckt trojan just efter inloggning i svalan (kan ha varit en tillfällighet).

2008-06-18 08:02:03


Niklas Aronsson     



Vet inte vad du menar med w24, men det är väl inte osannolikt att den kom från Svalan.

De kinesiska hackarna lyckades ta sig in inte bara på Svalan utan även på Sofnet, enligt uppgift, och på en rad andra sidor också bör påpekas.

Det som händer är att en filsträng överförs till användarens dator när man klickar på en länk. I Svalans fall var det när man klickade på länkar på Dagens Fågel, till exempel dagens bilder.

Saknar man då virusskydd blir man bärare av viruset och kan i sin tur smitta andra datorer via nätverk och nätsidor.

Viruset har ändrat i en del av Svalans tabeller och därför ser det, förhoppningsvis tillfälligt, konstigt ut på sina håll.

Lärdomen är väl att uppdatera virusskydden. Om inte för egen del så i alla fall för andras.



2008-06-18 09:09:55


Fredrik Kronhamn     



Jag är ganska säker på att de berörda sajterna utsattes för en så kallad "SQL injection". Den senaste tiden har metoden använts i storskaliga angrepp som smittat många hundra tusen servrar. I princip går det ut på att man skickar ett kommando till databasen som förändrar alla i databasen befintliga textsträngar (inlägg) så att dessa länkar till trojaner eller virus. En sökning i databasen installerar viruset hos klienten, osv.

Läs mer här:
http://www.f-secure.com/weblog/archives/00001427.html

"What makes this attack possible is poorly written ASP and ASPX (.net) code", menar F-Secure. Man har alltså programmerat slarvigt - inläggens "giltighet" kontrolleras troligen inte alls.

För övrigt kan det nämnas att så kallade "drive-by downloads" numera är den mest utbredda metoden att sprida virus och trojaner (glöm e-postvirusen!). "Pålitliga" sajter hackas och trojaniseras, och din dator smittas genom din webbläsare.

2008-06-18 10:23:31


Pär Lydmark     



Jag gissar att Jörgen med w24 menar vecka 24. Eftersom det är vecka 25 nu borde det ju tidsmässigt kunna stämma.

2008-06-18 13:01:25


Magnus Persson     



Japp, jag menar vecka 24. Borde kanske uttryckt mig klart här, men vissa yrkesskador ger sig ibland tillkänna.

Tack till förklaringarna och vill samtidigt ursäkta att jag inte förklarat mig i tid (w24). Mitt virusskydd förpassade min kinesiska trojan till oändligheten (tror jag). Nu kan man bara hoppas på att man inte stöter på några trojaner eller babylonier, så att man vågar rapportera i lugn och ro.

2008-06-18 16:05:51


Lingon     



Skickade nedanstående varning till webmastern redan den 11 maj.


To:webmaster@artdata.slu.se
Date:
2008-05-11 19:31
Hej!

Hittade ett påstående om att artportalen (eller delar av den) är sårbara för SQL-injection. Har ingen aning om det stämmer eller ej, men tänkte passa på att varna. Se länkar:

http://www.idg.se/2.1085/1.160875
http://www.flashback.info/showthread.php?t=671947

Har idioterna rätt är det bara en tidsfråga innan artportalen blir hackad.

Med vänliga hälsningar och tack för en mycket trevlig tjänst!

//XXX



De bemödade sig inte ens med att svara mig! Otroligt dåligt! Som Fredrik Kronhamn nämner ovan är detta en "säkerhetslucka" som inte borde finnas överhuvudtaget då det enligt vad jag har förstått ska vara mycket enkelt att skydda sig.

Jag hoppas att de går ut med en varning till alla användare som kan ha blivit smittade. Sen är frågan om de även stulit våra lösenord? Var dessa krypterade eller inte? (jag kommer dock byta lösenord på de sajter där jag har samma lösen)

Har de stulit data?

Hur som helst borde de snabbt som attan få ut information via förstasidan.

Jag har försökt få någon respons på mina frågor med de ignorerar mig. Kan inte fler personer maila och be att de lägger upp info om vad de utsatt oss för?

//Lingon




2008-06-18 20:49:51


Fredrik Kronhamn     



Intrång blir sällan varken offentliggjorda eller till polisärende. Det är pinsamt att bli hackad, och man tystar helst ner historien. De ansvariga för artportalen släckte dock ner hela sajten så fort det blev känt, och det får väl anses föredömligt. Visst är det kass att dom inte tog varningen den 11/5 på allvar, men vem läser egentligen mejl till webmaster? ;-)

Jag tror inte man behöver oroa sig för att lösenord läckt ut, eller att någon vill åt databasen (se PLs inlägg med info från Johan Nilsson). Den här typen av angrepp görs främst i syfte att sprida malware.

2008-06-19 09:55:34

 
Jörgen Grahn     



"Lingon": om du bara drog till med webmaster@artdata.slu.se,
så är chansen stor att det är en kontaktadress som finns men
ingen läser. Det är i så fall dåligt, men tyvärr vanligt.
Lätt att vara efterklok, men du borde nog mailat
svalansupporten ...

Fredrik: det må vara pinsamt, men nu vet hela västkusten
om det i alla fall, och då känns det ännu mer pinsamt att det
inte står nånting om det på Artportalen ...

Fredrik (igen): tills vi hör nåt annat så ska vi nog anta att
våra personliga uppgifter (lösenord osv) stulits. Mer än en
grupp har antagligen brutit sig in. Å andra sidan, lösenorden
är nog inte värda så mycket på svarta marknaden, och
kontokortsnummer ligger det ju inte på Svalan ...

Detta är ytterligare en anledning att jag vill ha mer info från
artportalen.

2008-06-28 08:49:30



Svara på
detta inlägg