1. Byt ut dina lösenord om du har använt samma på Bloggtoppen som någon annanstans.
2. Använd inte samma lösenord i olika tjänster.
3. Välj svåra lösenord som du ändå kan minnas. Minst 9-10 tecken. Använd såväl gemener som versaler och släng in ett par siffror och ett specialtecken när du ändå håller på. t4G3te5#f0T@ är ett exempel på ett ruskigt svårknäckt lösenord som ändå består av två vanliga ord: tagetes och fota fast med vokalerna utbytta mot siffror och sista aet mot ett snabel-a och så ett #-tecken istället för ett mellanslag.
   Lösenord som vips, vipsvips, getingbo, mona54 är däremot exempel på riktigt dåliga. Jag tror att ni själva kan se varför.

Petzäll twittrar journalisters lösenord

Dagen började med att William Petzäll (eller åtminstone någon som tagit kontroll över hans konto) twittrade ut md5-hashar av lösenord som tillhörde journalister. Det blev stor skandal och om inte Petzäll redan var ordentligt smutskastad från SD-håll så blev han det nu. Hans juridiska ombud (som hade haft kontakt med honom, på telefon får man förmoda) bedyrade att det inte var Petzäll som satt och spred uppgifterna eftersom han varken hade tillgång till telefon eller dator.

Lösenorden som spreds var riktigt dåliga. Brottsligt dåliga enligt vissa. Själv tycker jag att det är rena hånet mot den meddelarfrihet och det källskydd som jag, och samma journalister vars lösenord lades ut, lika ivrigt omhuldar.

Jag hade förstås inte dekrypterat någonting över huvud taget, utan hade bara använt en öppen tjänst på webben där man samlar på md5-hashar och kan presentera vad det står i dem i klartext. Efter att ha twittrat om att jag inte längre vågar maila med journalister blev jag intervjuad (via telefon) av Medievärlden (som kallar mig Niklas i artikeln). Tjänsten på md5decrypter.co.uk är för övrigt flitigt använd av svenskar under kvällen.

Sedan visade det sig att Bloggtoppen blivit hackade (vilket alla som slaviskt följer Flashback hade vetat i en månad), och att alla de md5-hashar som spreds från Petzälls konto kom från den datadump som ligger ute och öppen för alla att hämta hem. Det är inte jättesvårt att förstå att Petzäll hade använt samma lättknäckta lösenord på Bloggtoppen som på Twitter (eller i sin mail dit återställningsmailet från Twitter säkert kom) och därmed var kontot övertaget.

I datafilen, som är på 6,7 MB, finns 90000 e-postadresser och lösenord. Jag har minst tre olika sajter anmälda till Bloggtoppen och alltså lika många olika e-postkonton anmälda där, så det rör sig definitivt inte om 90000 olika människors lösenord, men det är likväl många konton, och åtskilliga av dessa konton har säker använt samma lösenord på Bloggtoppen som på andra tjänster. Det hade i alla fall många av de journalister vars lösenord spreds från Petzälls Twitter-konto.

Spammarna slår till

Sedan tog det inte lång tid förrän några verkliga opportunister såg till att adresserna i datadumpen började komma till användning. Mot slutet av eftermiddagen började webbutiken BangerHead använda e-postadresserna för att skicka spam med ett erbjudande om 100 kr rabatt på sina produkter. Läs mer om det här. Maken till dumhet!

Vi lär höra mer om det här hacket mot Bloggtoppen i framtiden. Det lär finnas många som inte har uppfattat vad som har hänt, och som i och med detta kommer att få sina mail-konton öppnade och lästa. I somras läste jag (eller hörde faktiskt) Svenska Hackare, och jag minns allt elände som svepte över webben efter att Bilddagbokens användarregister hade öppnats och lagts ut. Det lär bli likadant den här gången, för folk verkar inte ha fått mer säkerhetstänkande precis. Jag ska försöka se vad Linus Larsson säger när han försöker förklara morgonsoffan imorgon. Jag vill framför allt höra en analys av vad vi kan vänta oss framöver, och om vi nu står inför en ny våg av hackande och crackande, likt den tid då AUH och VFH höll på som bäst.

Och så lite Kent Ekeroth på det då

I övrigt har dagen, helt i skymundan, inneburit att Kent Ekeroth, i radio, har sagt att sajten avpixlat.info, som tagit vid efter Politiskt Inkorrekt, är hans ”egna initiativ och projekt”. Han säger faktiskt så, i slutet av det här ljudklippet från Sveriges Radio, och möjligen pressad av de då väldigt spridda uppgifterna från Petzälls Twitter-konto. Men det innebär, om jag förstår saken rätt att han även borde ta på sig utgivaransvaret för sajten, men det är väl mer än man kan förvänta sig, att Kent Ekeroth ska ta ansvar för någonting alltså…

Läs mer om Bloggtoppen-hacket i Computer Sweden:
http://www.idg.se/2.1085/1.412262/losenorden-kommer-fran-bloggtoppense
http://www.idg.se/2.1085/1.412290/ingen-avancerad-attack

Liknande

• 2011-10-25 -- BangerHead.se – spammande puckon och digitala hälare
• 2011-12-19 -- Peter Karlsson behöver nog websidahjalp.com
• 2011-12-16 -- Sverigedemokraterna och ansvaret
• 2011-10-27 -- Roliga Prylar gör e-postutskick på rätt sätt
• 2011-10-27 -- Även Bloggplatsen ägnar sig åt digitalt häleri
• 2011-10-24 -- Anna säljer länkar från politisktinkorrekt.info?
• 2011-10-20 -- Tror Caribbean Selection att jag är dum i huvudet?
• 2011-06-27 -- Dagliga länkar från 2011-06-27
• 2010-09-21 -- Sverigedemokraternas kontaktregister publicerat
• 2010-02-12 -- En massa viktig information
• 2007-12-28 -- SMTP-problem hos Bredbandsbolaget
• 2004-02-18 -- Äntligen ett svenskt spam-förbud!

Vill du se om din sajt är drabbad? Sök då på Google efter
site:dindomän.se viagra|cialis|levitra
Byt ut dindomän.se mot din egen domän. Om du inte får några resultat kan du istället gotta dig åt alla andra som har drabbats av hacket genom att istället googla på
site:.se online viagra|cialis|levitra wordpress
När man hittar en välkänd sajt, som unt.se, egenblogg.se, uplandsnation.se eller varför inte mpbloggar.se kan man göra sökningen mer specifik och bara titta på den domänen. Här en sökning på mpbloggar.se, en av de drabbade sajterna:
site:mpbloggar.se viagra|cialis|levitra

Viagr/Cialis-spamet finns på hela mpbloggar-nätverket.

Effekten av sökningen ovan är slående för hur det här hacket fungerar. Den som går direkt in på någon av de drabbade bloggarna märker ingenting alls. Bloggarna på mpbloggar.se ser ut som vanligt, utan några som helst tecken på att det finns några länkar på den. Den som går direkt in på t.ex. riksdagsgrupp.mpbloggar.se märker alltså ingenting eftersom sajten ser ut, och fungerar precis som vanligt:

riksdagsgrupp.mpbloggar.se utan Viagra-spam

Om man däremot tittar på hur Google ser sidorna på sajten, genom att titta på Googles cachade version av en sida, så ser sajten helt annorlunda ut. Namnet på bloggen har ändrats, liksom alla kategorilänkar:

riksdagsgrupp.mpbloggar.se som Google ser sajten

Skulle däremot, någon sida från en hackad sajt (och det finns otroligt många fler än bara mpbloggar.se, den här sökningen hittar skrämmande många), så skickas besökaren direkt till North American Pharmacy, men fortfarande under den ursprungliga domänen. Så här ser det ut:

Så här ser sajten ut om man kommer från en Google-sökning som innehåller något av läkemedelsnamnen

Dessutom (tack @anderseriksson ) visar det sig att AVG hindrar användare från att gå in på sidor från mpbloggar.se som är drabbade av det här hacket.

Så vad har hänt?

Så vad har hänt här då? Det vet jag faktiskt inte ännu eftersom jag inte har haft möjlighet att titta på just den här sajten. Men högst troligen har sajten hackats genom en svaghet i något plugin eller funktion som används i sajtens tema. Det är inte helt otroligt att det är timthumb som är den ursprungliga svagheten här. Men det behöver inte vara så.

Jag har alltså ännu inte kommit åt att se hur exakt den här  versionen av hacket fungerar, men jag fick för några veckor sedan möjlighet att studera en tidigare version av hacket. Då lades länkar till innan innehållet på sidan, och igår såg jag ännu en variant, som inte hade ändrat kategorinamn och blogg-title, utan bara hade lagt till länkar i bloggfoten.

Den gången hade hacket gått in och modifierat en rad i filen /wp-includes/general-template.php och sagt åt WP-installationen att ladda in en fil med det oskyldiga och mycket troliga namnet wp-image.php som skulle ligga i samma katalog. Den filen är, i sin tur, base64-kodad, och är den som kollar huruvida det är en vanlig besökare eller Google som kommer på besök och därefter förändrar innehållet på sajten.

En extra rad i filen /wp-includes/general-template.php

Den gången åtgärdade jag problemet helt enkelt genom att kommentera bort den raden där wp-image.php laddades in, och sedan ordnade det hela upp sig själv på en vecka.

Förhoppningsvis kommer det vara lika lätt för Miljöpartiet att åtgärda detta. Jag skulle dels leta efter filer som har modifierats vid någon udda tidpunkt, desl leta efter om något plugin, eller själva temat använder en gammal version av timthumb.php, som tyvärr, i de allra flesta fall verkar vara upphovet till hela den här hackvågen.

Just på sajten ovan fanns ett plugin som inte ens användes, som heter IGIT Related Post With Thumb och som inkluderade en gammal opatchad version av timthumb.php, som nästan alltid verkar vara upphovet till det onda.

Så hur städar man bort Timthumb-hack från sajten?

Tyvärr räcker det oftast inte med att bara ta bort de pluggar som använder timthumb.php eftersom de som utnyttjar svagheten, mycket väl kan ha lagt upp liknande funktionalitet, under andra namn, på helt andra ställen på sajten. Den som vill säkra upp ordentligt bör därför se till att ta bort alla plugins som inte anvvänds, manuellt byta ut alla filer och kataloger i sin wp-content, och sedan byta ut hela WP-installationen separat.

Om du vill förstå mer om hur timthumb.php kan ha åstadkommit så mycket skada så ger den här bloggposten en ganska bra beskrivning.

Men du kan skydda dig!

Om du vill scanna av dina bloggar efter förekomster av timthumb.php rekommenderar jag att du installerar ett plugin som heter Timthumb Vulnerability Scanner och som letar igenom din sajt efter just denna svaghet, även i filer som kan ha helt andra namn. Jag själv hittade, i gamla versioner av Thesis (som nu är bortplockade från sajten) och i temat Artemia som jag mig veterligen aldrig har använt på någon sajt, timthumb-funktionalitet som ligger i filer med helt andra namn.

Med blygselns rodnad på kinderna och i transparensens namn… Här låg de:

Thesis och Artemia inkluderar Timthumb-kod

Jag har under natten mot söndag och söndagsförmiddagen försökt nå någon på Miljöpartiet, men utan resultat. Det är ju inte så vansinnigt svårt att bli av med detta. Jag hjälper gärna till, men vill framförallt ge Miljöpartiet och andra som använder WordPress rådet att börja scanna av sina WP-installationer bättre och hänga med i säkerhetsnyheterna kring WordPress.

För trots detta, är WordPress fortfarande min favoritplattform. Det krävs dock, liksom med alla andra CMS, att man håller koll på sin sajt, och håller den uppdaterad. Ett extra gott råd i sammahanget är att ta bort teman och plugins som inte används.

Jag har alltså hittat timthumb.php i två teman och en plugin nu på förmiddagen. Om du hittar svagheten i andra pluggar och teman, tipsa gärna andra i kommentarsfunktionen här nedan.

Uppdatering: Jag har under måndagen haft kontakt med Johan Schiff på Miljöpartiet som har följt instruktionerna i den här bloggposten och framför allt i Björn Alsborgers kommentar, och nu verkar ha rensat ut i WordPress-installationen på mpbloggar.se. Nu gäller det bara att Google snabbt re-indexerar sidorna. 

Se även:
WordPress-sajter hackade med TimThumb
How to protect your WordPress site as hackers exploit TimThumb security hole
You shouldn’t run too many plugins, and here’s why

Liknande

• 2010-06-17 -- WordPress 3 är här (och jag har uppdaterat)
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2010-03-08 -- Skärmsläckare på bloggen
• 2010-01-26 -- Disqus (jag gav efter för trycket)
• 2010-01-25 -- Aktiva WordPress-plugins på Lindqvist.com
• 2009-05-18 -- Två SEO-buggar i Thesis (och hur du fixar dem)
• 2009-05-07 -- Nytt tema (igen)
• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-12-17 -- NoFollow Free uppdaterad till 1.5.9 för WordPress 2.7
• 2008-10-15 -- Bra sammanställning av den mörka sidan av SEO
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?

Säker surf på Facebook

När man aktiverat ”secure browsing” (någon som vet vad det kallas på svenska?) får man en https-anslutning istället för den vanliga, okrypterade http-anslutningen som du har på t.ex. den här sajten.

Facebook över https

Skyddet ser dessutom ut att vara fullgott, med en 128 bitarsnyckel.

Det var skojigt att knycka folks lösenord med hjälp av Phiresheep på konferenser, och alltid samma succé när man gjorde en fejsrejp live inför en förvånad publik. Men nu är det över, och ingen är lika glad som jag över det.

Liknande

• 2011-06-01 -- Google +1
• 2010-12-06 -- Facebook dubbelt så stort som Aftonbladet.se
• 2010-12-04 -- WTF? Google annonserar på Facebook
• 2010-09-24 -- Riksdagsvalet 2010 på Facebook slutar i spam relaterat till Bonnier
• 2010-07-19 -- Fetch your Facebook statuses as RSS (and expose all your friends statuses at the same time)
• 2010-07-15 -- Dina vänners Facebook-status via RSS
• 2010-07-02 -- Gillar du Nikke Index? Visa det på Facebook!
• 2010-04-14 -- Google Uppdateringar visar alla realtidsresultat
• 2010-01-13 -- Gmail blev just lite säkrare
• 2009-09-11 -- När Facebook ägde TechCrunch
• 2009-07-28 -- Idel galenskaper
• 2008-03-18 -- Vinn en iPhone? Det verkar snarare som om man köper den

Följer man någon av dessa båda länkar så landar man på en sida som ser ut så här:

Titta på URLen. Det ser ut som Twitter.com men är ltwltter.com

Vi tar en closeup på URLen tror jag:

Det här är inte den korrekta URLen till Twitter.com

Du ser va? Det är ett l inlagt innan twitter.com i URLen och i:et är inte ett i utan ett l. http://ltwltter.com istället för http://twitter.com

Faktum är att den där URLen inte ens existerar på riktiga Twitter, och den som loggar in där kommer i själva verket att ge sitt Twitter-lösenord till de bedragare som sköter sajten. Jag vet inte om bedragarna även byter lösenord åt de stackars lättlurade satarna vars lösenord de har lagt beslag på, men jag misstänker att så är fallet, för jag har inte fått svar på DM från någon av de båda som har skickat URLen till mig idag.

[uppdatering] Kontona verkar inte bli kapade, men det är en stark rekommendation att ni som har blivit drabbade av den här luringen byter lösenord på Twitter så fort som möjligt, innan bedragarna gör det åt er. Har ni samma konto på andra tjänster, som t.ex. Google, så glöm för all del inte att byta även där.[/uppdatering]

Så snälla, snälla, snälla. Begå inte misstaget att logga in från sidor som ser ut som Twitter. Försäkra er om att det verkligen är Twitter innan ni gör någonting sådant. OK?

Liknande

• 2011-08-02 -- Hur kopplar man Google+ till Twitter?
• 2011-05-31 -- ÅÄÖ-domäner och sökmotoroptimering
• 2010-09-20 -- Nu kan Tre-användare twittra via SMS
• 2010-09-15 -- Twitter ska bli användbart även på webben
• 2010-07-10 -- Mer Littorin än #almedalen
• 2010-06-15 -- Nystart på Twitter
• 2010-04-14 -- Google Uppdateringar visar alla realtidsresultat
• 2010-03-07 -- Twitter-portalen på SIS-index
• 2010-03-05 -- 10 miljarder tweets! #10billion
• 2010-02-27 -- Går det att hitta dig på Twitter?
• 2010-01-02 -- Bugg i Googles relaterade sökningar
• 2009-11-27 -- Äntligen en strategi för FollowFriday!

Först en fråga:
Har någon någonsin fått ett annat besked än att det är 36 minuters väntetid när man ringer till Ticnet?
Jag har haft anledning att ringa dem några gånger den senaste månaden, och varje gång fått samma besked.

Nåväl. Till saken. Det är möjligt att du har flera olika konton hos Ticnet – men kopplade till samma e-postadress. De beställningar och betalningar du gör i ett konto är inte synliga i de andra. Här är mitt bevis för detta:

1. När jag köper biljetter via Ticnet så levereras mailen till mig men med ett annat namn än vad som finns angivet i mitt konto.
2. När jag loggar in på Ticnet så kan jag inte se biljetter som jag har köpt för uthämtning, bara s.k. TicketFast-biljetter, som levereras i mailen.
3. Jag har två olika lösenord till mitt konto på Ticnet varav jag bara känner till det ena.

Jag misstänker dessutom att anledningen till att Ticnet använder sig av en pinkod för att man ska få ut biljetterna är att biljettbeställningsnumren är linjära. Men det krävs så mycket adrenalin för att få ut en saknad pinkod att det faktiskt ändå är ett tillräckligt säkert system.

Så här uppdagades problemet med mitt dubbla Ticnet-konto

Jag köpte för fem dagar sedan biljetter till Hammarby-AIK. Jag och sönerna vill gärna se vad som kan bli det sista stockholmsderbyt på länge*. Till min förvåning fick jag inte biljetterna på TicketFast, så att de var utskriftsbara, utan jag fick som enda alternativ till min beställning välja om jag skulle hämta ut biljetterna hos ett Ticnet-ombud (något jag sedan länge har lärt mig att undvika eftersom det knappast finns några) eller hos ett ATG-ombud. Jag valde ATG-omubud och band en tråd om fingret för att komma ihåg att hämta dem.

Jag stod där i tobaksaffären och letade reda på mailet med mitt bokningsnummer från Ticnet då jag såg det där idiotiska om att jag dessutom måste ha en pinkod för att kunna hämta ut mina biljetter.

OK. Jag följer länken. Kommer in på ticnet.se och inser att jag inte har den blekaste aning om vad jag kan ha för lösenord hos dem. Testar med några av de vanliga men inget funkar. Kollar i min gmail och ser att jag faktiskt har återställt lösenordet vid ett tidigare tillfälle, men inte heller det lösenordet fungerar. Därför gör jag ytterligare en lösenordsåterställning. Allt det här tar dryga 10 minuter. När jag så loggar in på Ticnet så kan jag inte hitta min beställning där över huvud taget! Ändå har jag mailet. Konstigt. Det finns heller inga spår av någon pinkod någon annanstans under ”Mitt konto”.

Tobaks/spelbutiksinnehavaraen börjar nu tycka synd om mig och erbjuder sig att ringa deras eget supportnummer (där väntetiden faktiskt är kortare än 36 minuter). Han räcker över telefonen till mig och jag får prata med en dam som säger att javisst behöver man en pinkod för att hämta ut de biljetter man har betalt. Jag berättar att jag är inloggad men inte ens kan se att jag har köpt biljetterna. Det tycker hon förstås låter konstigt och ber mig om mitt lösenord till mitt konto. (Bara det rätt märkligt. Tänk om jag faktiskt hade haft något av mina master-lösenord till kontot.) Jag börjar ge henne den kombination jag just hade fått i mitt återställningsmail, men hon avbryter mig och säger att det är ett lösenord som enbart består av siffror.

Det är riktigt märkligt, eftersom jag aldrig har använt ett helt numeriskt lösenord.

Jag berättar att jag just har använt deras lösenordsåterställningsfunktion och loggat in med ett färskt lösenord som de har skickat till mig. Men det hjälper inte stort. Damen i luren säger åt mig att jag måste logga in med samma lösenord som jag använde när jag köpte biljetterna.

Bakom mig i tobaksaffären har vid det här laget en liten kö bildats. Detta eftersom telefonen och kortläsaren går på samma telefonlina. Tobaksaffärsinnehavaren börjar titta rätt surt på mig och det syns att han ångrar att han tjänstvilligt hjälpte mig att ringa deras specialnummer…

Men damen i kundtjänst är envis. Dessutom börjar hon låta anklagande och frågar hur det kan komma sig att jag som heter Nikke Lindqvist har biljetter som är beställda i namnet Love Lindqvist. Ungefär här börjar jag känna att jag håller på att förvandlas till En Besvärlig Kund.

En av kunderna i butiken trycker nu in sitt kontokort i kortläsaren och det börjar pipa i örat.

Som Besvärlig Kund börjar jag ställa krav på att antingen få tillbaka mina pengar eller omedelbart få min pinkod så att jag kan hämta ut mina biljetter. Hela tiden med pipanden i örat. Till slut meddelar damen i telefonen att jag (trots att det med all önskvärd tydlighet framgår att jag som inte ens kan hålla reda på mina lösenord inte borde få gå på fotboll) ska få min pinkod. Hon ber mig vänta och jag får lyssna på pipanden och pausmusik, antagligen medan hon vrålar ut sin frustration över mig för sina kollegor. Och på sätt och vis förstår jag henne. Efter några minuter återkommer hon, meddelar pinkoden och slänger på luren i örat på mig.

Vid det här laget är jag rätt upprörd och slänger, på hemvägen, ur mig följande tweet från min iPhone:

46 minuter senare (varav 36 minuter i telefonkö) så inser jag att det kanske inte är ett säkerhetshål som Ticnet har, men ett hål lik förbannat. Ett hål där mina biljettpengar skulle försvinna om jag inte var en ilsken och påstridig typ som verkligen vill gå på fotboll imorgon.

Nu är jag en smula lugnare, och det kan Ticnet tacka sin medarbetare Jossan för. Hon har dessutom lovat att reda ut mitt dubbla konto på måndag och ringa mig. Heja! Det är så kundtjänstupplevelser ska vara. Jossan bör få löneförhöjning. Utan henne skulle den här texten ha varit betydligt argare.

Nåväl. All well that ends well. Biljetterna har jag i handen och på måndag hoppas jag får mitt konto ordentligt utrett.

* Ja jag vet att Råsunda ligger i Solna och nej jag räknar inte riktigt Grimsta-derbyn som riktiga stockholmsderbyn ännu.

Liknande

• 2009-12-21 -- Fotbollsresor
• 2009-10-28 -- Skärpning Ticnet
• 2008-08-11 -- Londonmusikaler.se säljer musikalbiljetter i London
• 2010-07-05 -- Google behåller kakan i resebranschen
• 2009-01-08 -- Har ditt företag rutiner för att bemöta offentligt framförd kritik?
• 2008-11-03 -- Gå på teater eller musikal i London

Så här ser det ut på häpnadsväckande många svenska bloggar just nu. Alla kör WordPress 2.7.1 och har det gemensamt att de ligger hos Binero.

Klicka på bilden:

Koden ligger instoppad i index.php-filen i wordpress-roten som ju dessutom ofta är webbroten. I de installationer som jag har haft insyn i så har webbkatalogen alldeles för vidlyftiga rättighter satta (777) vilket i sin tur har gjort det möjligt att ändra index-filen.

Nu ska jag inte skylla Binero för det här. Det största felet ligger förstås i att inte uppgradera sina installationer. Jag kan bara hålla med Börja Blogga om vikten att uppdatera sina WordPress-installationer. Att det är så många bloggar som ligger hos Binero kan mycket väl bero på att många bloggar ligger hos Binero, även om det förstås även kan vara något problem med autoinstallationen.

Kolla om du är drabbad

Titta i källan till din förstasida. Sök efter Tamiflu. Hittar du ingenting så är du inte drabbad. Åtminstone inte av den variant som visas i bilden ovan. Ett annat sätt att upptäcka det på är att få ett mail från Google, som meddelar att de stänger ute sajten ur indexet i 30 dagar på grund av länkspam. Det är en otäck bieffekt av denna WordPress-världens motsvarighet till svininfluensan.

Det finns även en annan, betydligt ovanligare variant, som förra veckan drabbade Urban Lindstedts blogg Uppkopplat.se (även den hostad hos binero). I det fallet var länkarna instoppade direkt under textinnehållet i enstaka bloggposter. Så här såg det ut (klicka på bilden):

Jag har en distinkt känsla av att vi kommer att höra mer om det här, men vill absolut råda alla, oavsett om sajten är hackad eller inte, att omedelbart uppgradera till den senaste versionen av WordPress – i skrivande stund WordPress 2.8.4.

Se även uppdateringsuppmaningarna på Binero-bloggen.

Liknande

• 2010-10-23 -- WordPress bug regarding custom menues
• 2010-08-09 -- Sökmotoroptimering – en föreläsningsserie
• 2010-10-23 -- WordCamp Stockholm – Uppstädning pågår
• 2010-09-22 -- WordPress beyond the blog – Thord Daniel Hedengren
• 2010-02-19 -- Wordpress.com nere i 2 timmar
• 2010-02-16 -- Old School hack av MKSE.com
• 2010-02-16 -- Drömmer om WordPress VIP
• 2009-12-16 -- Jajja testar publiceringssystem i år igen
• 2009-12-12 -- Nu begår jag SEO-mässigt självmord!
• 2009-08-31 -- 200 000 spam-kommentarer!
• 2009-07-30 -- En annorlunda filmblogg
• 2009-07-23 -- Håll ögonen på Webpal

Tack till Mymlan som gjorde skärmdumpen och som också har fångat en del talande kommentarer från mikrobloggarna.

Mer kritik, och ännu fler kritiska kommentarer finns hos Projo.

Uppdatering: Brokep ber idag, via sin blogg, supporters att låta bli med den här typen av aktiviteter: http://blog.brokep.com/2009/02/19/were-winning-stop-hacking-plz/

Our case is going quite well as most of you have noticed. In the light of that it feels very bad that people are hacking web sites which actually puts us in a worse light than we need to be in. I just got back home and read on blogs that ifpi.se was hacked and the rumour on IRC now is that something is going on with ifpi.org and (my old domain) ifpi.com. If anyone involved in the acts going on is reading this – please stop, for our sake. We don’t need that kind of support.

The internets is having a fever and this might be a way to get cooled down. But I hope it’s over now and that we can go back to winning our case without taking these measures. The hacking can only reflect on us badly and if you want to help us, please stop with the attacks.

Klart besked så det räcker tycker jag.

Liknande

• 2010-08-26 -- The Piratebay har stulit 382 biljoner dollar från skivbolagen!
• 2009-10-03 -- TPB är tillbaka i Google
• 2009-07-28 -- Idel galenskaper
• 2009-06-30 -- The Pirate Bay säljs för 60 miljoner SEK
• 2009-02-17 -- Det mest subversiva rummet norr om Afghanistan
• 2009-02-08 -- Strömlöst hos The Pirate Bay
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-08-25 -- The PirateBay gör reklam för Piratpartiet
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger

Joakim Jardenberg på Mindpark lyckades få bort blockeringen av de berörda bloggarna och berättade i en bloggpost om hur det hade gått till. Tydligen var huvudorsaken till avstängningen en kvarlämnad ”vacation responder” som kanske hade studsat lite för frekvent i olika e-postlistr.

Idag är bloggarna avstängda igen. Så här ser det ut när man försöker ta sig till http://allandnothing.tryggve.se/:

Det här är inte bra Google – det är faktiskt riktigt, riktigt oroande.

Liknande

• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2012-01-25 -- Google byter sekretesspolicy och användarvillkor
• 2012-01-24 -- Google deltar i dokumentären
• 2011-12-29 -- Bing vs Google (Sverigedemokraterna suger)
• 2011-11-30 -- Google bygger in sökrutan i topp-menyn
• 2011-10-30 -- Dittforetagonline.se – Google ökar sin kundbas
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2011-09-27 -- Grattis på födelsedagen Google
• 2011-02-08 -- Google är tomt
• 2010-11-17 -- Spotlife borta från Google pga felanvänd canonical
• 2010-10-29 -- Google laborerar med förhandsvisning av sajten
• 2010-10-26 -- Google TV – din TV får en hemsida

Det visar sig att det finns en hel del som går att göra. Intressantast är nästan kommentaren om varför riksdagen tror att just terrorister är så dumma att de skulle använda sig av okodad kommunikation när de planerar terrordåd.

http://jonatan.jaiku.com/presence/37696354

Man kan ju obstruera också…

Jag kunde inte låta bli att fundera över hur man bäst kan ställa till det för FRA (som ju redan avlyssnar och scannar en massa kommunikation). Det bästa jag kan komma på är att jag sätter upp en mail action i min GMail som skickar allting som ser ut som spam vidare till en oanvänd mailbox som står på en server i Sverige och som genast skickar tillbaka den till Gmail där jag genast slänger alla inkommande mail som skickas från just den mailboxen. Om jag lägger till några hyggligt slumpmässigt valda men misstänkta ord i slutet av varje mail så skulle ju detta innebära att bara min mailkommunikation skulle belasta FRA-servrarna med uppåt 10000 mail om dagen.

Så här skulle kedjan gå.

1. Någon av mina svenska e-postadresser får ett spam-mail.
2. Detta skickas (liksom all annan e-post) vidare till GMail.
3. GMail försöker stuva undan spam-mailet i Spam-arkivet.
4. En mail action hoppar in, och skickar vidare till en adress som t.ex. mail snabel-a nerpsammad.se efter att ha lagt till en sidfot med några kluriga ord om bröllop, kärkraftverk, fest, bilbomb och annat smarrigt i sidfoten.
5. Servern som läser av all mail för domänen nerspammad.se lägger också till några väl valda stoppord i sidfoten och skickar omgående tillbaka mailet till GMail som
6. kastar bort mailet utan att titta på det.

Om jag räknar rätt borde de flesta spam-mail passera sveriges gränser fyra gånger på detta sätt och dessutom bli skummare och skummare för varje gång. Möjligen kunde man lägga in ytterligare några mailkonton i loopen och även blanda in Hotmail och Yahoo mail för att riktigt röra till det.

Någon som har fler goda idéer för hur vi ska möta upp ifall riksdagen röstar fel på onsdag?

Liknande

• 2008-09-15 -- Imorgon visar vi att vi fortfarande inte gillar FRA-lagen
• 2010-01-13 -- Gmail blev just lite säkrare
• 2008-06-17 -- Spioneri på Ryssland – inte på terrorister
• 2008-06-16 -- Heja Bahnhof!
• 2008-06-16 -- Kolla vilka bloggar FRA själva läser
• 2008-06-16 -- Bloggbävningen kring FRA-lagen rullar vidare
• 2008-06-10 -- Min transparens är mitt eget val
• 2010-07-07 -- FRA och integritet iskallt i Almedalen
• 2010-06-19 -- Stänga av sökhistoriken eller jävlas tillbaka?
• 2010-01-13 -- Google lämnar Kina
• 2009-03-02 -- Jag begriper inte Dagens Nyheter
• 2008-09-26 -- Är det något han vill så är det väl att lyssna…

Uppdateringen klassas av WordPress själva som en ”urgent security release” och problemet är att någon illvillig rackare har hittat på ett sätt att pinga bloggar på ett sätt så att det går att ändra i texterna på bloggen. Problemet är litet om du inte tillåter andra att anmäla sig som användare på bloggen, men om du tillåter anmälan av andra användare, så kan en spammare utnyttja säkerheltshålet till att skicka en RPC-ping som är utformad på ett sånt sätt att andra användares poster kan ändras.

Inte riktigt som det var tänkt kan man säga.

Nu räcker det med att byta ut filen xmlrpc.php, även om WordPress även har gjort iordning ett helt nytt paket, med versionsnumret 2.3.3. Båda går att ladda ner från: http://wordpress.org/development/2008/02/wordpress-233/

Liknande

• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-10-23 -- WordPress bug regarding custom menues
• 2010-10-23 -- WordCamp Stockholm – Uppstädning pågår
• 2010-08-09 -- Sökmotoroptimering – en föreläsningsserie
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2010-02-19 -- Wordpress.com nere i 2 timmar
• 2010-02-16 -- Old School hack av MKSE.com
• 2010-02-16 -- Drömmer om WordPress VIP
• 2009-12-16 -- Jajja testar publiceringssystem i år igen
• 2009-12-12 -- Nu begår jag SEO-mässigt självmord!
• 2009-09-10 -- WordPress 2.7.1 och Tamiflu
• 2009-08-31 -- 200 000 spam-kommentarer!

Här är texten som VFH hade placerat på LOs sajt för ett år sedan:

Efter hatobjekt ett så kommer hatobjekt två!

Under 2007 kommer LO fortsätta kämpa för att alla ska få samma usla lön! Medlemsavgifter osv kommer gå direkt till att smutskasta småföretagare! GOTT NYTT ÅR!

Pablin77, YOU SUCK!!

Polisen: När vi hackade SSU så lämnade vi fyra påhittade spår för att kontrollera hur snabba ni var. Tyvärr hittade ni bara ETT av dem och sprang iväg och beslagtog datorer hos en helt oskyldig stackars liten kille! Skäms på er! Men vad kan man förvänta sig när polisen.se körs på en gammal webbserver med ett säkerhetshål som rapporterades 2004!

Även denna gång har vi lämnat roliga spår! Lycka till!

Vuxna Förbannade Hackare – Det slutar inte här.

dinapengar.se/Avdelningar/Artikel.aspx?ArticleID=2007%5C01%5C01%5C5123

Aftonbladet.se minns också: www.aftonbladet.se/nyheter/article470916.ab
De har till och med en bild:

Tänk vad fort ett år går. Så mycket man hinner glömma.

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2007-12-26 -- Mac är säkrare… ännu så länge
• 2007-09-26 -- Jag uppgraderar till WordPress 2.3

Idag dök en film upp på Youtube, som påstås vara gjord av den tidigare kända hackergruppen Arga Unga Hackare [AUH] (som stängde Antipiratbyråns sajt en gång i tiden). Jag känner mig mycket skeptisk till att det verkligen skulle vara AUH som har gjort videon. Den känns snarast parodisk med sina kommentarer om ”fina arbetargrabbar”, men det hör egentligen inte hit. Det är ytterligare uppmärksamhet för VFH.

Men VFH-attacken mot Aftonbladet har också börjat göra bra avtryck. Reklam- och mediaforumet Bold.se skickade just ut nedanstående mail till sina medlemmar där de rekommenderar alla att byta sina lösenord. Ett bra initiativ tycker jag (som så sent som igår bytte till ett ännu starkare lösenord för mina Google-tjänster):

Hej N!kke @ bold.se,

Några som kallar sig Vuxna Förbannade Hackare har ställt till det rejält för Aftonbladet. I ett inlägg på Flashback beskriver man attacken. Bland annat har man postat 1030 användarnamn och lösenord till mailservern, och det orsakade rena läsfesten innan teknikerna drog ur pluggen. Ur ett källskyddsperspektiv är det naturligtvis inte alls bra, och belyser igen hur viktigt det är att vi alla försöker tar vårt ansvar för tekniken. Flera av lösenorden som användes av högt uppsatta chefer på tidningen är verkligen ett skämt, och då hjälper det inte hur hårt it-avdelningen än jobbar.

Därefter har man även tagit sig in i tidningens annonssystem och på samma sätt publicerat både mailadresser till annonsörer/byråer med flera med lösenord.

Det är många som använder sig av samma användarnamn och lösenord på olika forum eller t ex Facebook osv.

Vi uppmanar nu att våra medlemmar att byta lösenord för att säkerställa att ingen tar sig in på era konton.

På Bold gör du det här: http://bold.se/forum/profile.php?do=editprofile

Därefter knappen: ”redigera e-post och lösenord”.

på TV sade en expert att bör ha stora och små bokstäver, siffror och till antalet åtta i sina lösenord för att känna sig säkrare. Och då olika på de ställen man använder.

Med vänlig hälsning
Kenneth
——————————

——
Mötesplats för reklam, medier och design.
http://www.bold.se
http://butik.bold.se

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2007-12-26 -- Mac är säkrare… ännu så länge
• 2007-09-26 -- Jag uppgraderar till WordPress 2.3

Det är häpnadsväckande läsning. Hur i allsin dar kan det komma sig att man ännu inte har åtgärdat säkerhetsluckor som man har känt till sedan i Juni 2006?

www.flashback.info/showthread.php?t=598838

Aftonbladet bjuder in VFH på fika

Aftonbladets primära reaktion på det inträffade var en lång tystnad. Det kan man i och för sig förstå. Flera timmar efter att den första tråden hade lagts ut på Flashback publicerades den här notisen. Även dagens forumtråd blev en notis, och först därefter började Aftonbladet göra rätt.

Någon gång i kväll skrev Aftonbladets nytillträdde chefredaktör Jan Helin en krönika där han bjuder in VFH på fika. Han vill försöka förstå var det är som har gjort dem så arga skriver han:

Jag är nytillträdd chefredaktör för Aftonbladet och på riktigt intresserad av vad i vår journalistik som gör Vuxna Förbannade Hackare så upprörda att de begår brott. Därför säger jag så här:

Kom och hälsa på mig på redaktionen söndag klockan 15.00, eller på måndag samma tid. Vi kan göra något så omodernt men mysigt som att dricka eftermiddagskaffe. Jag ska med spänning lyssna på er och förklara hur jag ser på saken.
http://www.aftonbladet.se/nyheter/article1573466.ab

Det är riktigt smart. Jan Helin lägger sig med strupen bar, bjussar på fika och räcker ut en hand. Det ger folkets sympatier och ställer de upprörda och förbannade i skuggan. I Flashback-tråden ser man också hur oppinionen så smått har svängt. Vad är det de är så förbannade över? Och varför hojtar de så högt och ljudligt över det? Vill de bara ha uppmärksamhet?

Om Aftonbladet tar itu med säkerheten ordentligt nu och ser till att samtliga lösenord byts ut så tror jag att de kan komma ut ur den här affären starkare än förut. Och helt säkert säkrare i alla fall.

Per Hellqvist om det inträffade:
http://blog.perhellqvist.se/?p=275

Liknande

• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2009-09-30 -- Aftonbladet och Strix lurar riksdagsledamöter
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-09-15 -- Panschocommunity av GetUpdated?
• 2008-04-02 -- Hackade Wordpress-bloggar sprider trackback-spam
• 2008-02-15 -- SJ har ingen koll på webbläsarna
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3

Från IDG:

Redan i dag har US Army cirka 20 000 Macar i sina nätverk, men majoriteten av arméns sammanlagt 700 000 datorer och servrar är Windowsbaserade. Nu väljer armén att satsa på Mac och OS X för att höja säkerheten.

US Army är tillsammans med bl.a. Pentagon, Boeing och Raytheon favoritmål för hackare, och även för spioneriförsök.

Kan de inte börja använda Ubuntu eller något annat obskyrt istället? Jag har inte använt något som helst antivirusprogram på någon av mina Macar sedan 1997. Sedan jag slutade använda Word och Excel har jag inte heller stött på något som helst virusaktigt. Nu börjar det kanske bli dags att tänka om…

Tillägg: Läs gärna introduktionen till datorvirus och maskar som Kristoffer tipsar om nedan om du vill veta vad det egentligen är vi skyddar oss ifrån.

Liknande

• 2011-10-16 -- Länkar din WP-sajt till viagra-försäljning?
• 2010-04-16 -- Sverigedemokraterna.net hackad två gånger
• 2009-08-28 -- Snow Leopard installerad över Tiger
• 2009-02-18 -- Otroligt onödig defacement av ifpi.se
• 2008-09-30 -- Det här är inte bra Google
• 2008-09-26 -- Säkerhetshål i Googles kontorutiner?
• 2008-02-05 -- Uppdatera din WordPress-installation till 2.3.3
• 2008-01-07 -- VFH för ett år sedan
• 2008-01-07 -- VFH gör avtryck på webben
• 2008-01-05 -- Vuxna förbannade hackare – del 2
• 2005-05-19 -- Sober.q worm spamming from whitehouse.gov
• 2005-05-18 -- Loads of German political spam via Sober.q