Man kan vel mildt sagt si at jeg ble litt stressa natt til søndag når jeg oppdaget at det var uregelmessigheter på mine websider. På blog.kak.net og car.kak.net var skrifttypen litt større enn normalt og på prat.kak.net kom det en feilmelding over siden en gang i blant, men hvis jeg trykket på F5 for å oppdatere siden, forsvant den. Så den tenkte jeg ikke så mye over med en gang. Men skrifttypen på blog.kak.net og car.kak.net må jeg innrømme at jeg stussa fælt på. Trodde først det bare var nettleseren min som hadde forstørret skriften, men det viste seg å være feil. Derfor tok jeg en titt på kildekoden og så at det var mildt sagt noe rart der. Når jeg fikk tatt en nærmere titt på filene som på serveren, så var det skutt inn «eval base64» kode i toppen av alle mine index.php filer. Det var dermed et faktum at websidene mine hadde blitt hacket.
Må innrømme at jeg syntes det var litt merkelig, for jeg er veldig flink til å holde både blog.kak.net og car.kak.net oppdatert med nyeste versjoner av alt. Både WordPress og de plugin’ene jeg har installert. Men nå er det jo selvfølgelig noen slike plugin som utvikleren slutter å vedlikeholde, og da kan det jo være en viss risiko. Det samme gjelder selvfølgelig det themet/designet man bruker i WordPress. Jeg har kjørt et og samme theme i 4,5 år nå. Og selv om det har kommet oppdaterte utgaver av den etterhvert, så har jeg valgt å beholde den gamle, da jeg hadde gjort en masse endringer manuelt i koden. Det ville derfor være litt av en jobb å starte på nytt igjen med en ny utgave av themet. Men jeg hadde prøvekjørt flere av versjonene som hadde kommet underveis, men utvikleren bak themet hadde gjort en del endringer som jeg ikke likte, derfor har jeg latt det være som det var. Det fungerte bra så.
Men det var ikke der sårbarheten til websidene mine var heller. Etter mine undersøkelser og gjennomgang av alle filene som befant seg på serveren, så viste det seg at det var på prat.kak.net at hackeren hadde klart å komme seg inn og lagt inn en «bakdør» og skutt inn «eval base64» kode i alle mine index.php-filer. Det vil si at det var lagt til malware i index-filene mine. Det kan være ganske harmløst, men det bør ikke være det. Uansett er det noe man må få fjernet fort som fy. Og det holder ikke å fjerne den koden som har blitt lagt til i index.php-filene, men man må finne den «bakdøra» som hackeren har lagt igjen, slik at han ikke får tilgang til websidene igjen, selv om man kanskje hadde oppgradert programvaren til nyeste versjon. Det kan være to grunner til at de har klart å komme inn via forumet på prat.kak.net. Det var 7 eller 8 dager siden det kom en oppdatering som jeg ikke hadde fanget opp. Det er den ene grunnen, den andre er at det kan være at det har ligget igjen litt gammelt «grums» fra gamle versjoner av forumprogramvaren etter at de endret filstruktur for en tid tilbake. Dette hadde jeg ikke fått ryddet opp i.
Det var i cache-mappa til prat.kak.net at jeg fant det som så ut til å være «bakdøra» hackeren hadde lagt igjen. Natt til søndag tok jeg en kjapp reinstallasjon av programvaren på car.kak.net, blog.kak.net, og jeg slettet en masse på prat.kak.net og sørget for at koden som hadde blitt lagt til i starten av index.php-filene ble fjernet. Men når klokka var nærmere 3 om natta, valgte jeg å ta kvelden og fortsette jobben dagen etter. Og det var ikke noen tvil om at jeg ikke hadde noe annet valg enn å slette absolutt alt som lå på serveren og starte på nytt. Det vil si, jeg tok vare på alle bilder og databasen selvfølgelig. Men absolutt alt annet fra serveren ble fjernet. Jeg tok dog være på config-filene på blog.kak.net, car.kak.net og prat.kak.net. Men jeg tok bare vare på dem for å ha innstillingene for hånden. Jeg lagde nye config-filer med de som fulgte med de nye versjonene av WordPress og IP.Board for å sørge for at det ikke var noe som helst tull igjen etter hackingen.
Jeg startet med prat.kak.net, og jeg må innrømme at jeg sleit noe jævlig med å få den opp å gå igjen som normalt. Det jeg endte opp med, som viste seg å være løsningen, var å foreta en helt ny installasjon av IP.Board på prat.kak.net med en ny database. Når den var oppe og gikk og fungerte som den skulle, endret jeg bare tilbake til min gamle database, og vips så var alt oppe og gikk igjen som normalt. På blog.kak.net og car.kak.net var det mye enklere. Det var bare å laste opp siste versjon av WordPress, lage de nye config-filene og vips så var websidene oppe og gikk igjen. Jeg prøvde meg på siste versjon av mitt gamle theme, men jeg fikk den andre til å fungere slik som jeg ønsket. Det var også store problemer med å få dette themet og Jetpack (et WordPress-tillegg for integrering med WordPress.com sin funksjonalitet) til å fungere som de skulle sammen. Den ene ødela for den andre, for å si det sånn.
Derfor valgte jeg heller å være på utkikk etter et nytt theme. Og det er mildt sagt en hel haug med theme å velge mellom til WordPress. Det er bare å finne det man liker aller best. Men det er jaggu ikke en lett jobb skal jeg si deg. En ting er at utseendet skal være som man vil ha det, i tillegg skal det være litt innstillingsmuligheter for å gjøre det tilpasningene man ønsker. Jeg fant først et theme som jeg synes fungerte bra og som ville være et bra utgangspunkt, men dagen etter fant jeg et helt annet theme som var mye mer «knæsj», for å si det sånn. Det er det themet jeg kjører på blog.kak.net og car.kak.net i dag. Themet heter Graphene og har en masse tilpasningsmuligheter. Og jeg har ikke vært nødt til å gjøre en eneste endring i selve koden for at det skal se ut slik som det gjør i dag.
Det er dog en ting jeg kunne tenkt meg å ha som en mulighet. På toppen av artiklene på begge sidene har jeg en «slider» som viser et utvalg av artikler. På blog.kak.net er det et antall håndplukkede artikler som jeg ønsker å «promotere» på toppen av siden, mens på car.kak.net er det 10 tilfeldige artikler som blir vist. Det jeg kunne tenke meg, var at de til enhver tid 10 mest mest leste artiklene hadde blitt vist. Men man kan ikke få alt heller. På blog.kak.net får jeg i dag «promotert» et utvalg av de artiklene jeg selv ønsker å ha der, mens på car.kak.net er ikke det så aktuelt. Derfor har jeg valgt å bare ha 10 tilfeldige artikler der.
Legg også merke til at på blog.kak.net så er det både en knapp til RSS-feed, en link til min Facebook- og Twitter-profil helt øverst på venstre side. Det aller meste av «funksjoner» er egentlig som det alltid har vært, men det er noen endringer også da selvfølgelig. Siden jeg nå bruker Jetpack-tillegget til WordPress.com, har det nå åpnet seg en del muligheter som jeg ikke har hatt før. Noe av årsaken til at jeg har valgt å gå for Jetpack, er at WordPress.com Stats-tillegget ikke blir oppdatert lengre. Og jeg har nå valgt å vrake alle mine gamle tillegg og finne nye som er oppdaterte. Og WordPress.com sitt eget Jetpack-tillegg skulle man jo tro at de holder oppdatert fremover, ikke sant?
Det som er nytt for de som leser blog.kak.net, er blant annet at det er lettere å legge igjen kommentarer til artiklene mine. Før måtte man skrive inn navn, epost-adresse, webside (frivillig) og selvfølgelig selve kommentaren. Det kan man gjøre nå også, men i tillegg har man mulighet til å logge inn med WordPress.com, Facebook eller sin Twitter-konto, hvis man har en eller flere av disse! Det vil jo gjøre det mye enklere og terskelen blir forhåpentligvis lavere for å legge igjen en kommentar på artiklene mine på blog.kak.net. På car.kak.net har jeg for lang tid tilbake valgt å stenge for å kommentere, da det var så mye spam og vanskeligere å skille mellom reelle kommentarer og spam, enn det er på blog.kak.net. Legg også merke til at under boksen man skriver selve kommentaren, så har man mulighet til å sette en hake for «Send meg e-post hvis det kommer oppfølgende kommentarer» og/eller «Send meg link til nye innlegg på epost». Det er enkelt og greit at man får en epost hvis det kommer nye kommentarer til det innlegget du kommenterer og/eller at man ønsker å få tilsendt en epost hver gang det blir publisert en artikkel på blog.kak.net! Genialt å kunne abonnere på oppdateringer for dem som ønsker å følge blog.kak.net regelmessig!
Under artiklene (under Relaterte artikler) ser man også at det har kommet opp nye knapper. «Del dette på:» og så er det en Facebook-, Twitter- og Google+-knapp! Hvis man ønsker å dele noen av mine artikler på en av disse sosiale mediene, er det bare å trykke på disse knappene! Hvis man klikker seg inn på en artikkel som inneholder ett eller flere bilder, og klikker på dem, så vil bildet bli åpnet i en «lightbox» slik som jeg har hatt før. Men det som er nytt nå, er at hvis det er flere bilder i artikkelen (eller man har gått inn i et av mine gallerier) så vil bildene automatisk vises som «slideshow». Hvert bilde blir stående i 7 sekunder før det automatisk går videre til neste bilde. Med mindre du velger å trykke på å stoppe slideshow eller manuelt klikker deg videre til neste bilde.
Så nå har det forsåvidt kommet noe positivt ut av dette også, jeg har fått et nytt design, jeg har fått noen nye funksjoner og ikke minst jeg har fått tatt en reell opprydding på serveren og fått vekk alt gammelt «rusk». Men jeg må si at det ikke er noe særlig «kult» å bli hacket. Nå har jeg forsåvidt ikke mistet noe av det jeg hadde på websidene mine, men det har vært en forferdelig jobb å få rydda opp igjen. Hvis jeg hadde blitt såpass seriøst hacket at jeg hadde mistet absolutt alt, hadde jeg selvfølgelig hatt en backup å legge inn. Men det er jo alltid en fare for at man vil miste NOE, men det legger man jo litt opp til selv. Det vil si hvor ofte man tar backup. Men sist jeg ble hacket, det var også på forumet, er 6 eller 7 år siden. Jeg håper selvfølgelig at jeg ikke kommer til å oppleve dette igjen. Hvis jeg skulle være så uheldig igjen, så er det ihvertfall gull verdt å ha gode backuprutiner!
2 kommentarer
Ble passe satt ut når du nevnte du hadde blitt hacka. Hvordan kan noen hacke siden din tenkte jeg, for du har jo alltid det meste på stell.
Men jeg må innrømme at det kom noe godt ut av hackingen da. Jeg simpelthen elsker den nye layouten på blog.kak.net og muligheten for å kommentere med hjelp av facebook 🙂
Men håper du slipper å oppleve hackingen en gang til kompis.
Forfatter
Jeg skal love deg at jeg ble noe jævlig stressa når jeg oppdaga hva som hadde skjedd! Jeg trodde også at jeg hadde alt på stell, men det viste seg altså å ikke stemme helt. Men det var den websiden som det både er mest tungvint å holde oppdatert, som har endret filstrukturen og dermed etterlatt diverse «grums» og ikke minst den websiden som jeg bruker minst tid på. Det er ikke til å stikke under en stol at jeg har vurdert å legge ned hele prat.kak.net. Det er jo så og si ingen som bruker den uansett, ikke jeg heller kan du si. Men det er noen få som er innom og skriver litt om modellbiler nå og da. Men vi får se hva jeg velger å gjøre etterhvert. De to gangene jeg har blitt utsatt for hacking, så har det begge gangene vært via forumet. Så det er jo tydeligvis en sikkerhetsrisiko i tillegg.
Men ja, det har også kommet en del positivt ut av dette! Jeg fikk tatt en real opprydding, fikk meg et nytt design og ikke minst har fått implementert en del nye funksjoner som både jeg og dere som leser det jeg skriver kommer til å dra nytte av!
I tillegg til at du nå har hatt mulighet til å legge igjen en kommentar med din Facebookkonto, så har jeg nettopp publisert en link til denne artikkelen på Facebook og Twitter med de hendige «Del dette på:»-knappene i bunn av artikkelen! Det er uten tvil enkelt og kjapt i forhold til hvordan jeg har gjort det før. Det vil si, Twitter-oppdateringene har jeg faktisk gjort automatisk tidligere med en plugin, men Facebook-oppdateringen har jeg kjørt manuelt. Nå er det forsåvidt manuelt, men allikevel unnagjort med noen få klikk på musa! 🙂