Feilen lå i vårt annonsesystem (OpenX) som ble angrepet via såkalt SQL injection. Annonsesystemet er nå byttet ut. (Bilde: Jörgen Skjelsbæk)

TU.NO

tu.no ble angrepet

Natt til tirsdag ble tu.no angrepet med ondsinnet kode.

tu.nos annonsesystem ble angrepet og infisert natt til tirsdag.

Dette medførte etter hvert at den ene annonseplassen på nettsidene våre kunne sende våre lesere til en nedlastbar jar-fil (java archive). Denne Jar-filen utnyttet et nylig oppdaget hull i Java-programvaren.

Om den nedlastbare filen ble kjørt på et system med sårbar java, ble det lastet ned og lagt inn et virus på maskinen.

Dette viruset ble oppdaget av 10 av de 41 mest brukte antivirusprogrammene på det tidspunktet vårt annonsesystem var infisert.

Vi ble kontaktet av Telenor SOC (Security Operational Center) klokken 08.50 om at de hadde registrert mistenkelig trafikk. Vi begynte umiddelbart å sjekke våre systemer. Feilen ble funnet og rettet 20 minutter etter at vi ble kontaktet av Telenor.

Angrep annonsesystemet

Feilen lå i vårt annonsesystem (OpenX) som ble angrepet via såkalt  SQL injection, en hackermetode som er mye benyttet mot nettsystemer. Det som i praksis blir gjort, er at man sender inn en SQL-setning (databasespråk).

OpenX var sårbar for akkurat dette angrepet, og dette førte til at våre nettsider kunne sende våre lesere til den nevnte jar-filen.

Samtidig som vi fant feilen, bestemte vi oss for å bytte ut hele annonseløsningen og satte umiddelbart i gang med jobben for å bytte det ut. Etter fire timer var hele systemet byttet ut til fordel for Doubleclick for Publishers, som er en tjeneste levert av Google.

Ta kontakt

For de av våre lesere som måtte være så uheldige å ha blitt infisert med filen som tilsynelatende ble levert av tu.no, vil vi gjerne ha kontakt med og hjelpe dere med å bli kvitt viruset.

Ta kontakt med IT-ansvarlig Knut Paulsen, på telefon 95879898 eller epost knut.paulsen@tu.no .

Vi samarbeider med Watchcom og Norcert for å finne ut nøyaktig hva som skjedde. Foreløpige analyser viser at angrepet kom fra to IP-adresser, en i USA og en i Canada.

Det er svært beklagelig at våre systemer leverte ondsinnet kode til våre lesere, og vi lover å jobbe hardt for at dette ikke skal skje igjen.