Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties

Een hacker heeft toegang gekregen tot de servers van hostingbedrijf Inmotion Hosting. Naar eigen zeggen heeft hij 200.000 websites gedefaced. Het is onduidelijk of de hacker er ook in is geslaagd om persoonsgegevens buit te maken.

Inmotion Hosting heeft de hack bevestigd, maar geeft niet aan hoeveel websites gekraakt zouden zijn. De hacker, die eerder verantwoordelijk zou zijn geweest voor het defacen van Google Bangladesh, zegt tegen The Hacker News dat hij toegang heeft gehad tot 700.000 sites. Een lijst van The Hacker News met gehackte sites bevat echter een groot aantal doublures en 'slechts' 270.000 unieke sites.

De hacker claimt 200.000 van die gehackte sites te hebben gedefaced voordat de systemen van Inmotion down gingen. Inmotion stelt dat het gedefacede websites zal herstellen door de laatste backup terug te zetten; inmiddels zou al een groot deel van de sites hersteld zijn. Wie niet wil wachten, kan handmatig de backup herstellen.

Inmotion geeft niet aan hoe de hack heeft kunnen gebeuren en of er persoonsgegevens zijn buitgemaakt. Uit voorzorg zijn de toegang tot het cPanel-beheersysteem en de ssh-toegang tijdelijk uitgeschakeld en worden sommige wachtwoorden van gebruikers vervangen. Ftp-toegang is er nog wel.

Moderatie-faq Wijzig weergave

Reacties (64)

Hoe kan het dat zo'n groot bedrijf dat zoveel sites beheerd toch nog gehackt wordt en dat pas na 200.000 sites pas merkt?

Volgens mij moeten de servers dan toch een of ander alert geven? Waarna je de stekker uit je houting tijdelijk haalt?
Hoeveel veranderingen per seconde denk je dat die host verwerkt, met z'n 270.000 websites?? Defacen is meestal niets anders dan 1 bestand overschrijven met je eigen versie... Hetzelfde als dat een klant dus zelf zijn homepage update...

Als de servers een probleem hadden ontdekt en een alarm hadden afgegeven, was de hack dus niet gelukt... 't Is een beetje hetzelfde als met een virusscanner, die moet eerst een virus herkennen, voordat er een melding gegeven kan worden...

Handmatige detectie door een sysadmin??? Een bestand via script laten overschrijven, hoe lang zal dat duren??? Webservers kunnen enkele honderden, zo niet duizenden verzoeken per seconde afhandelen en het bestand is maar een paar bytes groot... Laten ze zeggen, 500 requests per seconde, rekent wel makkelijk... Dan is het script dus zo'n 400 seconden bezig geweest... 7 Minuten, knappe sysadmin die dat zo snel merkt, als dze überhaupt al aanwezig was...
11:30am EST Update

If you have a backup of your site, you may upload your index.php files to correct this. You may need to do this for each directory.
(Bron)

Ja, is dus een simpel search-and-replace scriptje geweest... ;)
Dan nog zou je kunnen scannen, Het is best knap dat dan ineens 200.000 gebruikers binnen 10 min alle index.html/php pagina's aanpassen. Daar zou je een server wel op kunnen programmeren.

Ik kan me zelf namelijk niet indenken dat in 1 keer alle sites op je server zijn veranderd.. Kop op jongens.. en dat dan door een root user.

Daarnaast moet het scrip op root nivo draaien, Waarbij ik dan denk. zijn er geen andere servers in de buurt die de server scannen op onbekende scripts? vreemd gedrag? root acces? Volgens mij kan je naar een admin een mailtje laten sturen op het moment dat iemand root acces vraagt op een server.

Ook denk ik dat het hele root account omgegooid moet worden. bij installatie account naam voor de super admin verzinnen. Hoevaak is het niet op windows bakken gebeurd dat een hacker simple het administrator account aansprak? Na het wijzigen van deze user account bestond deze niet meer. Hackers moeten dan opzoek naar andere lekken. om buiten het administrator account toegang te krijgen tot het systeem.
Geef je helemaal gelijk, maar daar is bij InMotion dus blijkbaar niet goed over nagedacht... Ik vertel in mijn post niet hoe het optimaal zou moeten werken, ik vertel hoe ik denk dat het gebeurd is.. Als de host inderdaad alle beveiligingen ingebouwd had die jij noemt, was er waarschijnlijk minder aan de hand geweest...

Maar dan nog, zelfs met alle beveiligingen die je kan bedenken, kan het voorkomen dat een hacker op je servers komt... En eenmaal als root ingelogd, kan hij waarschijnlijk ook de scanner-service uitzetten... Tuurlijk had dan een mailtje naar de admin gestuurd moeten worden, maar laat hij nu net eerst de smtp-service onderuit trekken of het admin-adres veranderen... Je kan die scanner moeilijk ALLES laten tegenhouden, dan wordt beheer ook lastig...
en dat pas na 200.000 sites pas merkt?
Het defacen van een dergelijke hoeveelheid sites is natuurlijk een geautomatiseerd proces ; dit is hoogstwaarschijnlijk in een tijdsspanne van luttele minuten voltrokken. Een server zal op uiteraard controleren op verdacht gedrag, maar ik gok dat dit in intervallen van enkele minuten gebeurt. De server zal dus wel degelijk een alarm afgeven, maar dit betekend niet meteen dat er geen 'schade' aangericht kan worden.
Als je via een beheers account op de NAS kan komen van een dergelijk hosting bedrijf, die meestal alleen PHP/MySQL als dienst heeft.
Dan kun je gemakkelijk een script draaien die alle index.php pagina's zoekt in de web-root en deze van andere content voorzien,

Over 200.000 sites zal een script dat binnen een paar minuten voor je regelen.
Wat een klapper. 200.000+ sites in een keer defacen. Dan is er ECHT wat mis met de beveiliging van de hoster in mijn ogen hoor.

Je ziet dit soort berichten steeds vaker wat aan de ene kant niet goed is maar ergens ook weer wel. Mensen worden er (hopelijk) bewust van dat veiligheid op internet niet gegarandeerd is en letten voortaan beter op (wishfull thinking misschien)
Misschien heeft hij slechts een lek gevonden, maar als die voor alle websites gelden zijn de gevolgen groot.
Wanneer je root access hebt tot een volledig hosting-farm kan je wel gruwelijke schade aandoen ja. Het komt regelmatig voor dat door verouderde software of last day exploits toch toegang kan worden verkregen. Ik hoop in ieder geval wel voor dat hosting bedrijf dat die backups recent waren, en niet bijv van 3 weken geleden.
in principe is root-access niet eens nodig... genoeg slecht geconfigureerde PHP meuk die je kan misbruiken om als de user waaronder apache draait (meestal www-data) files weg te schrijven. Als je dat al hebt is het vrij simpel om daar tegenaan te scripten.

Voor veel hacks is root-access of uberhaupt shell-access niet eens nodig.
Er is dan niet meer of minder mis dan als er 1tje gedefaced wordt. Meestal is een specifieke partij het doelwit en wordt er dus maar 1 'gepakt', maar als je eenmaal op een (shared) server binnen bent is het net zo eenvoudig om ook maar even 'de rest' te doen.

Vol automatisch natuurlijk -- je denk toch niet dat hij er 200.000 handmatig is afgegaan? ;)
Hoezo is de kwaliteit van beveiliging in uw ogen afhankelijk van de hoeveelheid sites?
Toegang tot 1 site verkrijgen heeft in dit geval hoogstwaarschijnlijk betekend toegang tot alle sites welke op de server gehost werden.
Ach, als je admin (root) toegang hebt, en je zet een custom index.html/index.php in alle DOCUMENT_ROOT mappen... dan kom je al een heel end denk ik. Dan is het maar net hoeveel sites per server er zijn, en hoe lang dat script erover doet.

't is een wordpress, e-commerce hoster als ik het zo zie, dus dat zijn natuurlijk ook zaken waar regelmatig exploits voor uit komen. Als ze een keertje niet snel genoeg zijn met een update, zit je dus met de gebakken peren.

't zit me dan toch niet lekker dat je echt alle 200.000 defaced. Maar goed, het zal wel een "eer" kwestie zijn... We hebben het er met z'n allen toch wel weer over. Aantonen dat er iets mis is vind ik niks mis mee, maar dit is gewoon vandalisme. Gaat iig veel geld kosten om het allemaal weer terug te zetten.
Uit voorzorg zijn de toegang tot het cPanel-beheersysteem en de ssh-toegang tijdelijk uitgeschakeld en worden sommige wachtwoorden van gebruikers vervangen.
en
Ftp-toegang is er nog wel.
Waarom schakel je SSH actief uit en laat je FTP nog wel toe?!?
Waarschijnlijk omdat ftp alleen bestandsoverdracht inhoud, en via SSH allerlei commandlines uitgevoerd kunnen worden.

Klanten kunnen via hun naam+ww alleen bij hun eigen site.
De hacker hoeft maar bij klantnr 1234 een batch-filetje staan die root-toegang krijgt en dat via SSH starten, en de hoster kan opnieuw beginnen voordat alles gepatched en gecontroleerd is. Zolang SSH uitstaat kan er remote niet eenvoudig wat uitgevoerd worden. (Evt. lukt het via PHP, maar dat ligt eraan hoeveel toegang de webserver heeft)

Terwijl de hoster alles patched en controleert, bied hij klanten ondertussen de kans om de bestanden te updaten/restoren.
Mee eens dat SSH wel erg veel mogelijkheden biedt voor de gemiddelde hosting klant.

Maar als de hacker toegang heeft tot de hosting systemen, kan hij alle FTP accountgegevens meelezen en dus blijven aanpassen. Zoals *xiphoid ook aangeeft: waarom geen SFTP?
Ja, want die hacker gaat 200.000 ftp-accounts in de gaten houden om, op het moment van herstel, weer in te loggen en weer te defacen??

Hij heeft zijn punt gemaakt en de host heeft genoeg werkt met het uitzoeken en herstellen van de schade... Iedere keer dat de hacker nu nog verbinding maakt, maakt de kans groter dat hij gepakt wordt...
Geen idee. Dat is het juist, geen idee van de motieven. Misschien is het iemand die gewoon wat probeert en nu heel erg trots op zichzelf is. Dan zal jij gelijk hebben.

Of hij vond tussendoor iets heel erg interessants tussen die 200.000 accounts en houdt hij er nog steeds een paar in het oog. In dat geval zal zijn IP-adres ook wel niet leiden tot zijn eigen voordeur...

Kortom, waarom risico nemen en niet op zijn minst SFTP inzetten?
SFTP zorgt er alleen voor dat de verzonden data(Zowel login gegevens, als de verzonden bestanden) encrypted is, oftewel, "niet afluisterbaar"...

Als je het wachtwoord van een account hebt, kom je in beide gevallen erin... Als je het wachtwoord niet hebt, maakt het dus niet uit of je probeert op FTP of SFTP in te loggen... Alleen als de hacker dus nog ergens tussen de klant en de server zit om te sniffen, zou SFTP een klein beetje kunnen helpen om opnieuw in het systeem te kunnen komen..

De hacker heeft waarschijnlijk nooit toegang gehad tot de FTP-gegevens(In ieder geval niet nodig gehad), maar gewoon rechtstreeks, via bijvoorbeeld SSH... Dit is dan ook uitgeschakeld...
SFTP is ftp over SSH. Om te kunne SFTP-en moet SSH openstaan.
Als SSH openstaat en er zijn nog compromised accounts dan kan de hacker gewoon weer toeslaan.

Voor ftp kan een shell als /sbin/nologin aangeven voor de gebruikers waardoor inloggen niet mogelijk is. Zover ik weet gaat dit niet bij sftp, je kan dan namelijk ook niet meer inloggen net sftp.
SSH kan iets meer dan alleen bestanden overschrijven, je kan bijvoorbeeld ook cronjobs of scripts uitvoeren... Zie het als een dos-boxje op afstand... FTP kan hoogstens rechten overschrijven binnen de groepen waar je al lid van bent.. En natuurlijk bestandjes wijzigen, maar de hacker heeft dat echt niet via FTP gedaan...

Uit het uitschakelen van SSH lees ik zo ongeveer dat de hacker dus met een admin account via SSH is binnengekomen en zo zijn dingetjes heeft gedaan... Even heel simpel gedacht... Het hoeft natuurlijk geen lek te zijn, kan ook een slecht admin-ww geweest zijn(Welkom ofzow ;))...
Onzin om ssh uit te zetten, en juist wel plain text ftp toe te laten.
niets mis met ssh2, ook niets mis met sftp.
Jammer dat er wat zaken ontbreken in het bericht zoals het motief van de hacker, aangezien deze toch met hacker news heeft gesproken. Ook ben ik benieuwd waarom ze FTP toegang open laten staan, dat doe je alleen al je uit kan sluiten dat de hack via FTP is uitgevoerd.
Eigenlijk zou men het motief moeten doodzwijgen.
Vaak is het de bedoeling van zo'n defacing om iets onder de aandacht te brengen.
Door je als pers uit te laten over het motief van de hacker, speel je deze dus in de kaart.

Nee ik vind de berichtgeving precies goed zo en de omschrijving "verminkt sites" goed gekozen. Zo laat je geen spaan heel van de hacker en zijn intenties doen er niet toe.

[Reactie gewijzigd door lenny_z op 26 september 2011 13:50]

Weer zo'n kansloos persoon...
Wanneer stoppen ze er nou is mee, je pakt er honderden duizenden mensen mee die weet ik veel hoeveel verlies kunnen gaan draaien doordat hun website een tijd down is. denk maar aan een webshop die een tijd niet bereikbaar is, dat gaat hun geld kosten.

Ik vind dat het tijd wordt dat die mensen hard gestraft wordt, onschuldige mensen lastig vallen doordat je jezelf wil bewijzen of wat dan ook!
Kansloos persoon? Wees blij dat die laat zien dat ze een mega-lek hebben in hun systeem. Moet je voorstellen wat dat met een bedrijf zal doen als de info van hun klanten wordt gestolen door een hacker die wel de informatie verkoopt.
Als de hacker in kwestie nobel zou zijn had hij de klanten geinformeerd over de inbraak zonder te defacen. Dus inderdaad een kansloos persoon.
Precies! De hacker had alleen de frontpage van de provider hoeven te defacen. Om dat ook bij de klanten te doen is puur vandalisme.
Misschien was net die ene server waar de fp van de host zelf op stond, wel veilig... Het kan natuurlijk zijn dat deze los van de klantenservers staat.. Uit het artikel komt iig niet naar voren dat hun eigen pagina ook defaced was...
Ik besef mij dat de meningen over het 'hoe om te gaan met het ontdekken van een dergelijk lek' sterk verdeeld zijn (black vs. whitehat), maar vind je niet dat deze manier van 'laten zien' ietwat rigoureus is? Zou een simpel mailtje met de melding dat er een lek aanwezig was niet hebben volstaan?
Een ander punt waarom breken inbrekers in?? Het in niet zinvol.. kost de eigenaar an het pand een hoop geld. En je maakt inbreuk op iemands veiligheid..

Zolang iemand maar ook denkt dat ie niet gepakt kan worden zullen er inbrekers blijven bestaan.
Defacen
Het veranderen van een internetsite door een hacker. Behalve dat het uiterlijk is veranderd zal er in de meeste gevallen geen verdere schade worden berokkend.

Definitie in ieder geval.
Gisteren grote paniek bij mij thuis, was net wakker na foto's te nemen op een fuifje, wou de foto's verwerken en online zetten tot ik onze site zag, HACKED BY BANGLADESHI ofzo...

OMG!

gelukkig niks kwijt enzo, maar verre van fun, ook slechte reclame voor onze site, ookal is het een gratis dienst :(
270.000 sites defacen, toch een goede stunt om je populariteit als hacker omhoog te krikken (ik zeg niet meteen in de positieve manier).

Ik vind het verder nogal stom dat ze van sommige gebruikers het wachtwoord wijzigen, waarom dan niet meteen alle wachtwoorden laten veranderen. De toegang verbieden tot cPanel en ssh is dan wel weer een goed idee,
Voor normale hacker hoef je niet te vrezen, die checken meer uit belang of ze gaten en/of nieuwe technieken kunnen vinden en melding dit bij de des betreffende site/persoon.

Die klote hackers/Crackers zijn niet te vertrouwen en dat alleen maar omdat ze denken dat ze TONY Montana's zijn in de computerwereld van nu. Eigenlijk zouden we ze geen aandacht moeten geven want dan stoppen ze misschien sneller en/of gaan ze zich beter gedragen.

Soms kan netkwerkjes hacken leuk zijn om bekende (uit je eigen vriendenkring) te klieren/pesten of op school ofzo..
Kijk, 1 website is leuk, 2 websites is grappig, maar als je het goed wil doen, pak je gewoon 200.000 sites :P Gok dat 99% ervan bijna nooit bezocht wordt, maar toch weer leuk voor je CV :P
Leuk voor je CV als scriptkiddie-puber inderdaad. 8)7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True