Har du fått e-post om skadelig kode på ditt webhotell?

Vi har begynt å ta i bruk et nytt system for å raskere og bedre håndtere, samt varsle våre kunder om skadelig kode på deres webhotell. Systemet tas gradvis i bruk på flere av våre servere og vil innen kort tid dekke alle servere med webhotell. Når alle servere er dekket vil alle kunder bli varslet via e-post innen få minutter av at skadelig kode blir funnet.

Hvorfor gjør vi dette?

Dersom det er skadelig kode hos en av våre kunder kan det utgjøre en risiko for andre brukere på serverne, samt andre brukere på nettet. Hackere kan via slik kode for eksempel:

• Hente ut alle data du har lagret i webhotellet/nettsiden, eller legge inn hull for å kontinuerlig ha tilgang til dine data.
• Sende spam og phising e-poster (som vil medføre svartelisting av serverens IP adresser og medfører at alle kunder på serveren får problemer med å sende e-post).
• Angripe andre maskiner på nettet for å forsøke å spre virus og skadevare eller delta i DDoS angrep.
• Kjøre kode som overbelaster serveren slik at det går ut over andre kunder på serveren.

Dersom vårt system finner filer med skadelig kode vil vi utføre følgende steg hvor neste steg kun utføres dersom forrige steg ikke var vellykket:

1. Sjekke backup for uinfisert fil og automatisk gjenopprette filen fra backup.
2. Rense filen for skadelig kode.
3. Legge filen i karantene.
4. Slette filen.

Vi prøver med andre ord å hjelpe deg som kunde med å fjerne koden på den måten som er minst skadelig for deg, men går mer drastisk til verks dersom dette ikke går. Noe vi må ettersom skaden kan være stor dersom vi ikke gjør det på denne måten.

Hva er dette systemet?

Systemet vi benytter kalles Imunify360 og leveres av CloudLinux (som leverer OSet til våre webhotell servere). Vi har benyttet Imunify360 siden CloudLinux lanserte systemet i starten av 2017 og har siden den gang samarbeidet om hvordan det skal fungere. Det er likevel først nå vi mener systemet er modent nok til å bli tatt i bruk på denne måten og at vi har integrert det opp mot våre egne systemer.

Imunify360 gjør mye mer enn å bare finne skadelig kode i filer. Blant annet:

• Stopper angrep via web applikasjonsbrannmur mot nettsiden din.
• Stopper bruteforce angrep (forsøk på å finne ut passord) via tjenester som SSH, IMAP mm.
• Patcher programvare på serveren som har kjente sårbarheter som for eksempel kernel (uten behov for omstart).
• Stopper skadelige prosesser som samtidig også finner rotårsak via logger.
• Finner domener som er svartelistet.

Imunify360 er med andre ord en viktig del av sikkerheten på våre servere, og vil bare bli viktigere ettersom systemet utvikles videre.

Hvor kan jeg se hva som blir funnet?

Du har full tilgang til filene og logg via kontrollpanelet (cPanel) som vist i guiden Malware skanner i Imunify360. Her kan du også gjenopprette filer fra karantene, samt hviteliste filer som blir ansett som skadelige uten at de burde (falsk positiv).

I e-postene som sendes når vi tar i bruk systemet kan det hende at noen filer er håndtert for svært lenge siden. Vi kunne latt være å rapportere disse, men gjør det likevel for ordens skyld i tilfelle det skulle være viktig informasjon. I gamle tilfeller er det ikke sikkert du finner filen nevnt i loggene da Imunify360 ikke logget disse på samme måte i starten som de nå gjøres.

Hva bør jeg gjøre dersom noe blir funnet på mitt webhotell?

Du bør sjekke om nettstedet ditt fungerer som det skal. Er filene gjenopprettet eller renset så skal det ikke være nødvendig å gjøre noe med filene. Er de satt i karantene eller slettet bør du finne ut om disse tilhører løsningen du benytter og sjekke om de inneholder kode som ikke burde være der. Er du i tvil kan du spørre leverandør av løsningen eller oss.

Foruten å gjennomgå filene bør du følge tipsene i guiden Hvordan sikre ditt nettsted mot angrep fra hackere.

Spørsmål eller kommentarer? I så fall hører vi gjerne fra deg 🙂