Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Submitter: hipy

Hackers hebben bij een aanval op het bedrijf achter DirectAdmin gegevens van klanten buitgemaakt. Naar een onbekend aantal DirectAdmin-klanten zijn e-mails met malware gestuurd. Creditcardinformatie is veilig, belooft het bedrijf.

In een post op het DirectAdmin-forum bevestigt een beheerder dat er met succes een hackaanval is uitgevoerd op het bedrijf. Hoewel DirectAdmin de zaak nog onderzoekt, is al wel duidelijk dat hackers toegang wisten te krijgen tot een server en dat ze persoonsgegevens van klanten hebben buitgemaakt. Daarbij gaat het onder andere om namen, e-mailadressen en licenties.

Bovendien hebben de hackers de mailserver van DirectAdmin gebruikt om klanten te spammen. De mail doet zich voor als een officiële DirectAdmin-mail, waarin gebruikers een beveiligingsupdate wordt aanbevolen. De link in de mail verwijst echter naar een pagina die een rootkit probeert te installeren op de pc van de gebruiker. Volgens DirectAdmin zijn bij de hack geen betalingsgegevens, zoals creditcardnummers en PayPal-accounts, buitgemaakt. Volgens het bedrijf beschikt het zelf niet over die gegevens.

De aanval is pijnlijk voor DirectAdmin, dat software aanbiedt waarmee webservers kunnen worden beheerd. Juist bij dergelijke software is de veiligheid immers belangrijk. Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen.

Direct Admin hack

Screenshot: hipy

Moderatie-faq Wijzig weergave

Reacties (54)

Het bericht wat ik heb gekregen:

Dear Gerwim F***

Please note that currently there is a security vulnerability concerning the current
DirectAdmin version, in order to learn how to protect your server until we can issue
a patch please visit http://gevaarlijkelink.com


Thank you,
DirectAdmin.com

Ik heb DirectAdmin gevraagd of de update servers zijn gehackt (aangezien ik mijn server gisteren net heb geüpdatet) maar dit is al gecontroleerd en blijkt veilig te zijn gelukkig.
De link in mijn mailtje gaf een 404'tje, waarschijnlijk toen al opgespoord door verscheidene instanties.
niet dat ik geloofde dat er werkelijk een patch was, maar ik heb toch weinig te vrezen voor 0-day exploit onder ubuntu.
Klopt, de link 404'ed nu niet meer, maar je wordt doorgestuurd naar een andere website.
de 404 pagina verspreide een trojan/java virus
Het is de laatste tijd wel scheer en inslag, benieuwd wat de volgende hack gaat worden.
Er is denk ik een groot verschil :).

Kijk, bedrijven werden vroeger ook al gehackt, zeker in de jaren 90! Alleen nu is het ineens hip voor journalisten om te vertellen wie er gehackt is. Hacken is "hot" op dit moment.

Oftewel:
Bedrijven werden al gehackt, alleen alles ging in de doofpot. Nu komt alles uit en hoor je waar en hoe het allemaal mis gaat.

Security is geen maatrelen, het is een mentaliteit die je als bedrijf moet handhaven. Niet als schil er overheen, maar vanaf de kern ingebouwd
En beter weten wij wat er gaande is dan dat we denken dat we de software en/of het bedrijf gewoon kunnen vertrouwen. Als het bedrijf ook meteen informatie verstrekt over de hack zelf kunnen de klanten/gebruikers ook meteen (deels) gerustgesteld worden. Eveneens is deze publiciteit een aansporing voor het bedrijf om eens goed alle beveiliging na te kijken.
Ben ik het niet helemaal mee eens... Als je de kranten leest (niet alleen op IT gebied) wordt je bijna paranoďde... Het enigste waarover je leest is oorlog, financiële crises, demonstraties, verkrachtingen en bedrijven die gehacked worden. Omdat al die vieze jurno's (sorry tweakers :P) zo sensatie geil zijn worden de mensen die het lezen bijna bang om te leven (iets wat overdreven). Ik vind dus ook dat ze dit niet meer moeten doen en lekker alleen posten op tech sites omdat de mensen die daar komen weten wat de consequenties zijn... Zelfde als dat een maatje van mij laatst naar me toe kwam dat hij geen whatss app meer gaat gebruiken omdat iedereen alles van hem zou kunnen lezen... Ik een beetje verder vragen natuurlijk en wilde weten of hij dat via een open wifi doet of via 3G... Dat wist hij niet eens maar omdat het in de krant stond gaat hij er vanuit dat het door een simpele sniffer oid uit te lezen is (niet nagedacht over de 3G encryptie)
Omdat al die vieze jurno's (sorry tweakers ) zo sensatie geil zijn worden de mensen die het lezen bijna bang om te leven (iets wat overdreven).
Gedeeltelijk mee eens. Een bericht als dit is denk ik interessant voor onze doelgroep, zeker omdat er ook DirectAdmin-klanten tussen zitten. En daarnaast is het simpelweg mijn baan om er over te schrijven. Aan de andere kant zie je dat mainstream-media nu buitengewoon veel aandacht hebben voor beveiligingslekken - wat in principe goed is, maar veel journalisten missen de technische kennis om het te relativeren.

Ik denk eigenlijk ook niet dat de aandacht van mainstream-media voor dit soort onderwerpen uit een oprechte interesse voorkomt.
Sorry mogelijk was ik niet helemaal duidelijk. Ik vind het ook dat dit op tweaker gepost moet worden. Vooral omdat de redactie ook echte IT kennis heeft en al de zaken die niet duidelijk zijn, uitgelegd worden door mensen die hier echte kennis over hebben. Ik doelde inderdaad op de mainstream media die hiermee de mensen alleen maar bang aan het maken is (zie ook mijn voorbeeld van whats app)
Bedrijven werden al gehackt, alleen alles ging in de doofpot. Nu komt alles uit en hoor je waar en hoe het allemaal mis gaat.
Als alles in de doofpot ging zou je er nu ook niks over horen. Informatie over hacks bij bedrijven komt al jaren gewoon naar buiten, alleen wordt er niet gelijk gebeld naar de krant met de vraag het te publiceren.
Het verschil is dat journalisten nu op dit soort nieuwtjes zitten te wachten en het publiceren, waar ze eerder nieuws over hacks negeerden omdat er geen "vraag" naar was.
Security is geen maatrelen, het is een mentaliteit die je als bedrijf moet handhaven. Niet als schil er overheen, maar vanaf de kern ingebouwd
Onzin, de mentaliteit van een bedrijf moet met zijn core-business te maken hebben, security is meestal een bijzaak, een belangrijke bijzaak, maar voor veel bedrijven niet core-business, en zeker niet iets waar je je bedrijf omheen gaat bouwen.
Is zo'n beetje hetzelfde verhaal als met natuurrampen. Vroeger hoorde je nu en dan iets over een natuurramp. Nu moet er nog maar een zware vrachtwagen voorbij rijden en de volgende dag staat in de krant dat er een licht aardbeving heeft plaats gevonden.
Security is een integraal onderdeel van elk proces.
En zelfs dan is 100% niet te garanderen.

Met mentaliteit houd je niets tegen. (behalve in de Matrix.)
Het is voor journalisten van een techsite zoals Tweakers.net altijd al ' hot' geweest om te vertellen wie er gehackt is.
Alleen Tweakers weten wat het inhoud, waar het door veroorzaakt is en wat de consequenties zijn... De journalist van de telegraaf vind het alleen gaaf maar snapt het verder echt niet
Helemaal waar, maar ja, in de jaren 90 was er ook niet veel aan. Administrator zonder paswoord op wel ja ... 80% van de windows boxes die online stonden. Het was vergeleken met nu kinderspel.

Nu is het moeilijker geworden hoewel informatie makkelijker verkrijgbaar is.

Toch als je zelf bugs kan vinden in bepaalde software en deze kan misbruiken dan is het natuurlijk nog steeds kinderspel...
Is dit niet het gevolg van een bepaalde exploit die gevonden is die nu wordt toegepast om meerdere sites te hacken? Ik zie veel berichten dat sites zijn gehackt. Misschien zijn er 2 exploits gevonden welke op meerdere sites toegepast kunnen worden zoals de SQL inject.

Ik ben zelf ICT'er en wordt toch wel wat voorzichtiger met waar ik mijn gegevens invul. Mijn credit card was gekoppeld aan mijn PSN account bijvoorbeeld wat ik toch dacht dat het redelijk veilig zou zijn. Nieuwsberichten zoals deze maakt me toch wat voorzichtiger.
Als je een beetje aan basale beveiliging doet is een SQL inject zo af te vangen. Met een server sided taal als PHP is het in ieder geval kinderspel.

Van ASP(.NET) en java heb ik geen verstand maar ik denk dat het daar ook niet moeilijk is.
In het .net framework moet je flink je best doen om uberhaupt sql-injections mogelijk te maken.
Misschien zijn er 2 exploits gevonden welke op meerdere sites toegepast kunnen worden zoals de SQL inject.
Dat is toch geen bug/exploit maar gewoon slecht (slordig) geprogrammeerd?

Over het algemeen heb ik bij vrijwel elk "hack" bericht het gevoel gekregen van "eigen schuld dikke bult"... Elke keer zijn het foutjes in de code of servers die qua software zwaar achterlopen

[Reactie gewijzigd door Mellow Jack op 26 mei 2011 09:36]

Maar dat is het nou net, er is maar een beperkt aantal zero-day exploits, en die worden ook nog eens af en toe gevonden door bedrijven zelf, of door bonafide hackers. Daarna wordt er een mooie update voor gemaakt, en na een dag of 3-4 is het lek gedicht. Het enige wat dan nog rest is systeembeheerders die de boel updaten. Daar gaat het dan ook mis. Beveiliging is gewoon 'eens per maand de updates draaien', anders kan er hier lokaal wel eens iets misgaan... Soms updatet men pas veeeeel later, zodat de bugs uit de bugfix zijn... Tja, dan ben je dus tussentijds kwetsbaar voor een (inmiddels aangekondigd) probleem.
Als ICT security specialist ben ik eigenlijk wel "blij" met al die aandacht voor het beschermen van o.a. klant data. (Natuurlijk juich ik het stelen van data niet toe.)

Ik hoop echter nog steeds dat bedrijven nu eindelijk de nodige aandacht aan een goede (systeem)beveiliging gaan besteden en ook voldoende budget vrij maken om de applicaties op dat gebied te onderhouden/monitoren.

Wij tweakers weten natuurlijk allang dat:
een applicatie die vanmorgen veilig was, 's middags al zo lek als een mandje kan blijken zijn.
"al wel duidelijk dat hackers toegang wisten te krijgen tot een server en dat ze persoonsgegevens van klanten hebben buitgemaakt. "

"Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen"

Eerst weten ze wel hoe er toegang is verkregen tot de server en op het eind niet meer :?
Als je het achter elkaar zet, dan klopt het wel hoor.
Ze weten dat ze toegang hebben gekregen tot de server, alleen ze onderzoeken nog HOE.

Dus het klopt wel :).
Quad was me voor..

[Reactie gewijzigd door Asteryz op 26 mei 2011 09:18]

Ze bedoelen dat ze wel weten dat ze de servers binnen gekomen zijn, maar niet hoe. Denk ik.
"al wel duidelijk dat hackers toegang wisten te krijgen
Eerst weten ze wel hoe er toegang is verkregen tot de server en op het eind niet meer :?
Er is een verschil tussen weten *dat* er toegang verkregen is en weten *hoe* dat gebeurt is......
Lees goed, er staat dat ze toegang tot een server wisten te krijgen.
Er staat niet bij hoe ze toegang hebben gekregen.

OT:
Zelf gebruik ik ook DA als webpanel, werkt erg prettig.
Jammer dat dit gebeurd is, maar hier zullen ze alleen maar van kunnen leren.

[Reactie gewijzigd door Brantje op 26 mei 2011 09:24]

Als je hele huis overhoop is gehaald door inbrekers, maar je deur is niet geforceerd en je ramen zijn nog heel, dan weet je toch ook dat er is ingebroken, maar alleen nog niet hoe ???
Staat er in de eerste zin HOE ze dat hebben gedaan? Ik lees daar alleen DAT ze het hebben gedaan. De tweede zin ligt dit toe, en verteld dat ze niet weten hoe. Ik zie hier absoluut geen contradictie in.
Dit verbaasd me eigenlijk totaal niet.. Als je ziet hoe hakkie-takkie hun product is, dan zal dat hetzelfde ook wel zijn met de beveiliging van hun eigen servers.
Waarschijnlijk het gevolg van draaien op oude versies.
Het gaat om hun eigen site, niet om het product zelf...
En bovendien; het is een uitstekend product. We draaien het al vele jaren op honderden servers. Het is snel, flexibel en zit logisch in elkaar. Een genot voor de beheerder. Helemaal in vergelijking met Plesk.
Ik heb begrepen dat ze zijn gesnift op een netwerk van een ander waardoor toegang tot hun backoffice was verkregen. Iemand die thuis werkt of niet op een vaste lijn. Dus geen softwarelek. Blijkbaar geen https :).
Een admin van Directadmin heeft zelf gezegd dat hun mail server op NIET-root niveau gehacked is.

Ze hebben hun mail server plat gegooit om te voorkomen dat nog meer mensen deze mail kregen.
Ik zeg ook niet dat ze op root niveau zijn gekomen. Ik denk dat ze een login van een medewerker (geen hoge admin) hebben gekregen met mailinglist functies en klantbeheerfuncties meer niet. Alsof je iemands wachtwoord van de email van iemand anders weet en iedereen een mailtje gaat sturen.
En weer een prachtig voorbeeld. Echt een voordeel zo'n centrale server/cloud waar alles aan gekoppeld is...

Vroegah, toen installaties nog op zichzelf stonden zonder direct en altijd verbinding met een moeder-server te hoeven hebben, toen was alles beter. De cloud is deaud, leve de cloud!
Uh, Directadmin heeft alleen een klantendatabase op een enkele server. De servers van klanten draaien standalone en daarop hebben zij (normaalgesproken) geen toegang. Niks cloud dus. Gewoon een (blijkbaar slecht beveiligde) server met emailadressen van klanten.
Dat is toch niet helemaal correct.

cPanel bijvoorbeeld belt regelmatig naar huis om de licentie even te checken en eventueel updates te installeren. Ik mag er niet aan denken dat iemand er in slaagt om een valse update in dit systeem te smokkelen.Al geldt dit natuurlijk voor alle software met auto-update functionaliteit.
Directadmin doet dat standaard niet. :)
De aanval is pijnlijk voor DirectAdmin, dat software aanbiedt waarmee webservers kunnen worden beheerd. Juist bij dergelijke software is de veiligheid immers belangrijk. Het is nog onduidelijk hoe de hackers toegang tot de server wisten te krijgen.
Leest publieke forum versie:
Powered by vBulletinŽ Version 3.8.4
googled versienummer - Voila. Als het een goede hack is krijg je via via ook wel toegang tot de webserver z'n root, en daarbij ook onderliggende gegevens zoals licenties enz. Het had dus voorkomen kunnen worden.

[Reactie gewijzigd door Jism op 26 mei 2011 20:16]

Voor de volledigheid nog een antwoord van Directadmin zelf.

In the last 24 hours an e-mail was sent to clients with the subject: "DirectAdmin Client Message." This message claimed there was a serious DirectAdmin security issue and included a link to a phishing website.

We apologize to all our clients because this was a result of our server being compromised. Please DELETE the phishing e-mail and run a virus scanner if you clicked on the link. Most people were not exposed to the phishing site because it was taken down very quickly. For this reason you may have seen a 404 error only.

First and foremost, your billing information remains 100% safe. We store no financial information on our server. In addition, we use a merchant gateway that restricts us, even as owners, from viewing your credit card information. Secondly, there is no security issue with the latest version of DirectAdmin. We have no reason to belive that DirectAdmin or any related software is vulnerable to attack. There are thousands of DirectAdmin servers and no reports of any being compromised.

Please note that we encrypt ALL passwords; for example, any password generated (e.g. client account password) and any password you provide (e.g. server password on the order form). Although cracking encrypted passwords is unlikely, changing your password is the best way to guarantee 100% security. Aside from that, there is nothing else you need to do as a customer. Your DirectAdmin server is not open to any new vulnerabilities.

We sincerely apologize and take responsibility for this incident. If you require more specific information please contact me at mark@jbmc-software.com for a personal response, or you can use our regular support@directadmin.com address. I'm available for addressing specific questions and concerns.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True