Turkse hackers nemen duizenden Nederlandse sites op de korrel

Een Turkse hackersgroepering genaamd 1923Turk is naar eigen zeggen begonnen met het bekladden van duizenden Nederlandse sites. Op de lijst van mogelijke slachtoffers staan onder meer Wikileaks.nl en een site van weerman Piet Paulusma.

De hackergsroep 1923Turk is al een aantal jaren actief maar heeft voor zover bekend niet op dergelijk grote schaal toegeslagen. Op hun website stelt de groepering in een zondagavond laat geplaatste forumposting 'dat Nederland te ver is gegaan', al ontbreken concrete voorbeelden om die stelling te ondersteunen.

In het topic, dat geheel gewijd lijkt aan Nederland, staan meer dan 3600 domeinnamen opgesomd in de lijst met mogelijke doelwitten. Mogelijk gaat het om een lijst met sites die Joomla of andere veelgebruikte cms'en gebruiken; de hackersgroep misbruikt al jaren sites met een lek in het cms.

Op de lijst staan veel sportverenigingen en kleine bedrijven, maar er blijken enkele grotere namen tussen te staan, zoals PietPaulusma.nl, Wikileaks.nl, parkeerdienst Yellowbrick en gemeentelijke sites van Diemen en Bussum. 1923Turk maakt er al een aantal jaren een sport van om websites te bekladden door het indexbestand te vervangen door hun eigen pagina. In de nacht van zondag op maandag lijkt de eerste lichting websites te zijn gedefacet, waarbij onder meer de website van attractiepark Slagharen is beklad.

Ook diverse andere sites die op de lijst voorkomen, zouden zijn beklad. Uit een steekproef van Tweakers.net blijkt dat het leeuwendeel van de sites op het moment van schrijven normaal functioneert, wat het vermoeden dat het om een lijst van mogelijke doelwitten kan gaan, versterkt. In enkele gevallen blijkt de schade in de afgelopen uren al te zijn hersteld. Hostingbedrijf Byte meldt bijvoorbeeld dat het vannacht voor diverse klanten aan het puinruimen is geweest, ontdekte tweaker Keiichi.

Update 09.09 uur - Informatie over Byte toegevoegd

IT-banen

Reacties (184)

The Zep Man

Websites en community's
Nederland
Hackers
Beveiliging

5 december 2011 07:53

Ook diverse andere sites die op de lijst voorkomen, zouden zijn beklad. Uit een steekproef van Tweakers.net blijkt dat het leeuwendeel van de sites op het moment van schrijven gewoon normaal functioneert, wat het vermoeden dat het om een lijst van mogelijke doelwitten kan gaan, versterkt.

Wellicht maakt men gebruik van een oudere exploit die in het content management system (Joomla) al opgelost is in een nieuwere versie. Weer een goede reden waarom webapplicaties altijd up-to-date moeten zijn met het oog op beveiliging, zeker als ze aan het grote publiek worden aangeboden.

Laat eerst een crawler zoeken naar mogelijke slachtoffers (draait de website een mogelijk kwetsbaar systeem?). Probeer ze daarna allemaal te defacen, zonder verder om te kijken naar of het wel mogelijk is. Er zullen er heus wel een paar tussen zitten die kwetsbaar zijn. Dit wordt ook met andere webpakketten gedaan, zoals forumsoftware.

Zijn hiermee de hackers schuldig? Jazeker. Zij hebben immers misbruik gemaakt van een slechte beveiliging. Zijn de hackers hiermee ook als enige verantwoordelijk? Nee. Ook de verantwoordelijken over de websites gaan niet vrijuit. Zij hebben immers niet benodigde beveiligingsupdates geïnstalleerd of laten installeren.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 07:01]

Foxpat @The Zep Man • 5 december 2011 08:10

Ja precies. De gouden regel is dat als je softwarepakketten voor websites gebruikt en hun versie bijvoorbeeld onderaan de pagina laten zien, je of het versienummer weghaalt, of altijd up to date probeert te blijven

himlims_ @Foxpat • 5 december 2011 08:13

Als jij je versie nummer weg haalt betekend niet dat jij niet vatbaar bent voor de exploids die in die versie zitten

en dat is Applicatie Ontwikkelaar .....

flabber @himlims_ • 5 december 2011 08:36

Zeker niet, maar het verbergen van [mis]bruikbare informatie is een goede gewoonte.
Niemand, behalve statistici en hackers zijn geinteressseerd in de precieze versie, dus waarom zou je die tonen.

ls een uitgebreide scan vervolgens een lijst oplevert van 30.000 sites die Joomla draaien waarvan 200 met zekerheid de oude versie draaien, dan is de kans groot dat die sites waarvan de versie niet bekend is worden overgeslagen.

Het weglaten van informatie is een extra hobbel tegen misbruik en daarom altijd aan te raden (uiteraard naast de reguliere best practices in beveiliging).

arjankoole

Beveiliging
Hackers

@flabber • 5 december 2011 09:09

maar het verbergen van [mis]bruikbare informatie is een goede gewoonte.

security through obscurity is zeer zeker geen goede gewoonte. Het komt te vaak voor dat mensen direct als 'voldoende' zien, en dan vervolgens hun hoofd in 't zand steken dat het systeem nog altijd kwetsbaar is voor exploits.

Ik weiger dan ook structureel dat soort dingen toe te passen, zonder dat het onderliggende probleem geadresseerd wordt.

Golodh @arjankoole • 5 december 2011 09:55

"security through obscurity is zeer zeker geen goede gewoonte."

Ja en nee.

Security through obscurity kan natuurlijk geen deugdelijke beveliging vervangen.

Obscurity daarentegen heeft wel degelijk een functie bij beveiliging tegen gelegenheidskrakers. Hoe meer moeite een aanvaller nodig heeft om uit te zoeken waar hij precies aan toe is, en wat hij moet doen, hoe kleiner de kans dat iemand "zomaar" een aanval inzet.

Wat je dan overhoudt zijn aanvallers die min of meer bewust je systeem aanvallen, daar dan ook de tijd voor nemen en die het een en ander weten van de software die je draait. En jawel, dan helpt alleen een goede beveiliging.

Anoniem: 364437 @Golodh • 5 december 2011 11:05

Ja laten we ssh op poot 70 gaan draaien dan vinden ze misschien niet dat ssh op de server open staat

Dat soort dingen werkt echt niet hoor.
Een beetje crawler kijkt namelijk naar de output van de server zelf.
de http output van de header is namelijk niet in elke versie 100% hetzelfde. daar is al veel aan af te lezen. Daarnaast waarom zou een hacker geen script maken en elke site maar gewoon proberen. probeer op elke server gewoon de bekende methodes uit en wie weet lukt het. ik denk niet dat de hacker site voor site is afgegaan.

Xthemes.us @Anoniem: 364437 • 5 december 2011 11:44

Dat is al een stuk 'arbeidsintensiever' dan met Google en een paar 'advanced operators' duizenden sites opvissen. Ik heb er niet eens actief naar gezocht (deed onderzoek naar sites op basis van andere voorwaarden) en ook daar kwam ik tientallen Joomla 1.5 sites tegen.
Of ze hebben de comment in de sourcecode weggehaald na Joomla 1.5 of iedereen lijkt wel 1.5 te draaien.

Spectaculous @Anoniem: 364437 • 5 december 2011 19:11

Jullie snappen het hele punt niet, het wel of niet tonen van het versienummer is niet de beveiliging van de website. Het tonen van deze data heeft gewoon geen voordeel terwijl het wel nadelen met zich meebrengt. Het gros van de hackers/scriptkiddies die zoiets wil doen zoekt gewoon op google naar websites die "Joomla + v1.15" in de HTML hebben staan. Als je dat niet hebt slaan ze je dus vaak genoeg over.

De bank zet toch ook niet op haar website: "Voor interne viruscontrole op onze computers gebruiken wij Norton antivirus" of de overheid die zegt: "Wij webmailen via roundcube". Deze data is voor niemand relevant en kan alleen maar misbruikt worden.

tofus @Golodh • 5 december 2011 11:30

@Golodh

'Security' moet helder, duidelijk en controleerbaar zijn.

'Obscurity' is alles behalve helder, duidelijk en controleerbaar.

Kortom, 'security' en 'obscurity' zijn twee handen op een totaal verschillende buik.

Er bestaat zelfs een woord voor 'security door obscurity': dat woord is 'struisvogel-politiek'.

Je bent echt niet veilig(er) als je je kop in een hoop zand steekt, ook al denk je zelf dat dat zand een 'extra obstakel' voor de boze buitenwereld is...

[Reactie gewijzigd door tofus op 23 juli 2024 07:01]

Anoniem: 175233 @tofus • 5 december 2011 14:41

Securtiy moet helder, duidelijk en controleerbaar naar binnen zijn.
Maar er is geen reden waarom dat ook zo naar de buitenwereld zou moeten zijn. (Tenzij je bezoekers gerust wilt stellen ofzo...)

skoelewijn @arjankoole • 5 december 2011 16:13

Je zou het kunnen vergelijken met een fietsendief. Als die je fiets echt wil stelen dan lukt het toch wel, wat voor slot je er ook op zet. Meestal zijn ze gewoon op zoek naar een makkelijke prooi, en dan kan een extra axa slotje net het verschil maken tussen jouw fiets en die van je buurman.

Uiteraard is het geen alternatief voor tijdig updates doorvoeren, maar "baat het niet, dan schaadt het niet" toch?

keesdewit @skoelewijn • 5 december 2011 16:38

Jouw uitleg over de fietsendief en het extra slotje vind ik niet een goede reflectie van de werkelijkheid. In veel gevallen van "Security through Obscurity" is de goed bedoelde oplossing juist een vermindering van de beveiliging. In de cryptografische wereld kan dit op verschillende manieren zo uitpakken.

TDeK

Beveiliging

@arjankoole • 5 december 2011 09:44

Als het je enige line-of-defence is wel ja, maar er is niks op tegen om zo'n maatregel toe te passen. En zelfs al zijn de onderliggende problemen niet geadresseerd, dan nòg is het beter om een versie-nummer te verbergen dan om niks te doen. Ok, een goede oplossing is het niet, maar wellicht is dat het verschil tussen defaced worden en niet (en daar draait het uiteindelijk toch om?).

keesdewit @arjankoole • 5 december 2011 16:24

Waar trek je de grens? Is het hashen met zout en peper, of alleen met zout al een vorm van "Security through Obscurity"? Niemand weet immers vooraf welke keuze hier is gemaakt tijdens het ontwikkelen. Bij iedere applicatie is het toch zo dat als je bepaalde zaken op voorhand weet je gerichter op zoek kan gaan naar lekken. Denk hierbij aan het verschil tussen de black en white box pentests: http://www.govcert.nl/bin...source/govcert%3Aresource

ThaStealth @himlims_ • 5 december 2011 08:41

Zeer zeker niet (zou handig zijn en mij veel werk besparen

)

Maar je hebt wel een beetje extra security doordat het versnienummer niet bekend is bij de hacker. (Als ze zoals The Zep Man beschrijft te werk gaan heet het helemaal geen zin). Maar voor de hacker die het direct en alleen tegen jouw CMS aan het hacken is kan je het wat moeilijker maken doordat hij het exacte versienummer niet weet gaat hij misschien ook zijn tijd verdoen aan exploits die allang gepatched zijn (en geeft hij misschien op tijd op)

Floor @ThaStealth • 5 december 2011 08:57

Ohjee, maar een beetje hacker krijgt die info toch naar boven. Je zal ook moeten zorgen dat een server geen info vrijgeeft bij bewust gegenereerde fouten, enz enz enz.

Anoniem: 151857 @Floor • 5 december 2011 09:10

Maar het gaat in deze niet om "een beetje hacker", maar om een stel scriptkiddies.

Anoniem: 231832 @Floor • 5 december 2011 09:11

Een server kan niet beoordelen of 'verkeerde intenties' achter de fout zitten.
Een fout is een fout.
Bepaalde patronen van een aanval zouden natuurlijk wel herkend kunnen worden maar niet altijd alle.

Wie haalt het overigens in zijn hoofd om de site van Piet Paulusma onderuit te halen?
Wat wil je daar nou voor een statement mee maken... afgezien dat het voor Piet niet zo fijn is vind ik het een lachwekkend slappe actie.

[Reactie gewijzigd door Anoniem: 231832 op 23 juli 2024 07:01]

Foxpat @himlims_ • 5 december 2011 08:53

Dat zeg ik ook niet. Leer eerst eens spellen en leer dan teksten goed te lezen en dán mag je commentaar leveren. Als je het versienummer weghaalt dan vermijd je eventuele crawlers die het web afzoeken naar slachtoffers. Ze kunnen dan niet meer zien of je een kwetsbare versie gebruikt van een softwarepakket. Daarmee is het probleem niet opgelost, maar is het risico een stuk kleiner.

[Reactie gewijzigd door Foxpat op 23 juli 2024 07:01]

bbob

Nederland
Websites en community's

@Foxpat • 5 december 2011 10:12

meeste simpele is delete gebruiker admin c.q hernoem admin naar een andere naam. Hiermee voorkom je bij joomla al veel problemen

elmuerte @Foxpat • 5 december 2011 12:52

Alsof die script(kiddies) gaan kijken naar de versie. Ze proberen de hack gewoon, just in case. Ik zie bijvoorbeeld veel requests naar phpmyadmin, phpMyAdmin, PMA, etc. en dat terwijl er niet eens phpMyAdmin op die server staatn.
Het is gewoon fire-and-forget.

xiphoid @The Zep Man • 5 december 2011 08:26

Omdat je raam op een kier staat wilt niet zeggen dat je daarom maar binnen moet dringen en de tv mee mag nemen. Unauthorized access is unauthorized.

jeroen94704 @xiphoid • 5 december 2011 08:33

Idd, en dat The Zep Man ook. Maar als jij je fiets niet op slot doet, en hij wordt gestolen, dan keert de verzekering ook niks uit hoor.

dcl! @jeroen94704 • 5 december 2011 10:48

De verzekering is de wet niet.

kramerty88 @xiphoid • 5 december 2011 09:52

Omdat je raam op een kier staat wilt niet zeggen dat je daarom maar binnen moet dringen en de tv mee mag nemen. Unauthorized access is unauthorized.

En dat is nou juist het punt waar velen het mee eens zijn. Het mag niet. Echter kun je er zelf wel degelijk wat aan doen...
En dát vergeten mensen vaak. Als jij zo'n blauw bordje op je huis hangt:"Verboden toegang wetb. v. strafr. art. 461" Houdt dat mensen buiten? Nee, je zult toch echt een alarm op je huis moeten zetten.
Als dat alarm uit 1950 komt en er wordt ingebroken zul je van de meeste mensen horen:"Had je maar wat beters moeten kopen, je kunt daarvan toch niet verwachten dat het iemand tegenhoud?"

En tóch, in de IT-wereld, waar veel mensen weinig van snappen, doen vele maar bar weinig aan hun beveiliging.

Ik hoor maar wat vaak dat 'het nu toch werkt, dus waarom zou ik updaten'?

Dan moet je het ook niet gek vinden dat af en toe je site plat ligt, of gekraakt wordt. Updaten is namelijk niet zo moeilijk.

dgompie

@kramerty88 • 5 december 2011 12:32

Het standpunt dat in een hoop vakgebieden wel stand houdt: "If it ain't broke, don't fix it" gaat in de IT inderdaad niet op. In de IT is het (vooral onder Tweakers natuurlijk) "If it ain't broke, fiddle with it until it is"

densoN @xiphoid • 5 december 2011 08:35

Maar als jij je fiets in het centrum zet en hem niet voorziet van slot moet je ook niet verwachten dat deze er een dag later nog staat. Wil niet zeggen dat iemand met z'n poten van je spullen af moet blijven, maar een beetje verantwoordelijkheid (up-to-date blijven) mag je gerust dragen.

[Reactie gewijzigd door densoN op 23 juli 2024 07:01]

Denni @densoN • 5 december 2011 11:04

Dat er zo een trieste onbeschofte mensen bestaan die die fiets an meenemen wil niet zeggen dat de eigenaar van de fiets dan mede schuldige is... Het is niet verstandig maar eigenlijk zou een slot helemaal niet nodig moeten zijn. Zo is dat ook met computers/servers. Het is zo dieptriest dat je voor je beveiliging altijd up to dae moet zijn. Ik zorg ook altijd dat ik up to dat ben maar het feit dat het moet is echt triest... De mensheid is vreselijk

stresstak @Denni • 5 december 2011 15:34

Dat er zo een trieste onbeschofte mensen bestaan die die fiets an meenemen wil niet zeggen dat de eigenaar van de fiets dan mede schuldige is...
De mensheid is vreselijk

analoog hieraan zijn die Turken ook triest en onbeschoft en de website niet volledig schuldig. Ik stel voor dat we een inval doen

peerke1987 @densoN • 5 december 2011 17:13

ben je helemaal van de pot gerukt? (sorry ik schiet nu even uit, en dit is offtopic)

Met dat soort mentaliteit gaat Nederland naar de haaien, je accepteert nu dus dat als je je spullen niet op slot zet andere mensen ze mee mogen nemen?

zvbhvb @The Zep Man • 5 december 2011 09:14

Dus als ik met een baksteen een winkelruit ingooi is de winkelier ook mede verantwoordelijk omdat hij beter gepantsert glas had kunnen laten installeren?

Get!em @The Zep Man • 5 december 2011 13:16

Deze attack (of vergelijkbaar) ook gezien in de logs van mijn firewall op mijn website.

index.bak.php werd geupload middels een exploit die mogelijk in verschillende plugins van wordpress zit. Ik had de plugin niet, en ik heb een firewall erop die het blokkeerd, maar het toont wel aan hoe ze deze "hacks" uitvoeren:

Gewoon alle sites gebaseerd op een bepaald CMS bijlangs en proberen maar.

Tevens geeft dit aan dat up-to-date zijn ook niet helemaal werkt: ook populaire plugins kunnen erg kwetsbaar zijn. Vooral Fotogalleries met upload functie en meer van die ongein.

Keiichi 5 december 2011 08:56

Ik zit net te kijken op welke IP adressen de hosts resolven. Het valt me op dat dit merendeel bij Byte is. (althans, alles wat ik gezien heb!)

-edit-

Van de site van byte is er ook een storingsmelding over een defacing: http://www.byte.nl/cms/nieuws/nieuws/onderhoud/1005.html

-edit-

Uit hun andere update van Byte blijkt dat er wellicht gebruik gemaakt word van een lek in Magento en/of besturingssyteem.

[Reactie gewijzigd door Keiichi op 23 juli 2024 07:01]

koelpasta @Keiichi • 5 december 2011 09:51

Ja, dit is zo te zien begonnen met het leegtrekken van een DNS server bij Byte.
Suf dat het artiekel daar niks over zegt, Byte is blijkbaar erg betrokken bij dit verhaal.

[Reactie gewijzigd door koelpasta op 23 juli 2024 07:01]

LuCarD @Keiichi • 5 december 2011 10:11

Ik kan met 100% zekerheid zeggen dat op deze lijst ook domeinen staan die GEEN Magneto of enig ander standaard CMS draaien.

Dus een lek in het besturings systeem lijkt me waarschijnlijker.

Anoniem: 268141 5 december 2011 09:48

LOL ze gebruiken CloudFlare.

Non-authoritative answer:
Name: 1923turk.com
Addresses: 141.101.126.83
141.101.125.83
Aliases: www.1923turk.com

Net een request gedaan naar de baas van CloudFlare (heb daar directe contact mee) om hun home server IP's op te vragen hehehe

[Update 1]

Heb voor de grap gekeken naar errors...
Wat kom ik tegen ?:
404 Not Found

The resource requested could not be found on this server!
Powered By LiteSpeed Web Server
LiteSpeed Technologies is not responsible for administration and contents of this web site!

http://www.litespeedtech.com/

Het kan iig ook de webserver software van CF zijn, maar omdat ik ook CF gebruik, heb ik het vermoeden van niet.

Ik wacht nog op antwoord van CF

[Reactie gewijzigd door Anoniem: 268141 op 23 juli 2024 07:01]

MadDonkey @Anoniem: 268141 • 5 december 2011 10:02

Waarom heb ik het idee dat hier niks uit gaat voortvloeien?

Anoniem: 268141 @MadDonkey • 5 december 2011 10:06

Het lost iig niet super veel op.
Maar je kan op deze manier wel achterhalen hoe zij hun nieuws verspreiden, en ik vermoed dat ze geen gratis webhost of zo gebruiken.
Dus het is altijd wel interessant

djvdorp @Anoniem: 268141 • 5 december 2011 12:09

Probeer http://direct.1923turk.com eens te whoisen of pingen.
Leuk he, standaard cloudflare configuratie

[Reactie gewijzigd door djvdorp op 23 juli 2024 07:01]

Anoniem: 268141 @djvdorp • 5 december 2011 12:35

Ja was die vergeten.
Nice

Dit zegt meer:

NetRange: 176.0.0.0 - 176.255.255.255
CIDR: 176.0.0.0/8
OriginAS:
NetName: RIPE-176
NetHandle: NET-176-0-0-0-0
Parent:
NetType: Allocated to RIPE NCC
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1993-05-01
Updated: 2010-05-18
Ref: http://whois.arin.net/rest/net/NET-176-0-0-0-0

OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/RIPE

ReferralServer: whois://whois.ripe.net:43

OrgAbuseHandle: RNO29-ARIN
OrgAbuseName: RIPE NCC Operations
OrgAbusePhone: +31 20 535 4444
OrgAbuseEmail: hostmaster@ripe.net
OrgAbuseRef: http://whois.arin.net/rest/poc/RNO29-ARIN

OrgTechHandle: RNO29-ARIN
OrgTechName: RIPE NCC Operations
OrgTechPhone: +31 20 535 4444
OrgTechEmail: hostmaster@ripe.net
OrgTechRef: http://whois.arin.net/rest/poc/RNO29-ARIN

== Additional Information From whois://whois.ripe.net:43 ==

inetnum: 176.53.23.0 - 176.53.23.255
netname: ISTANBUL-DC
descr: Istanbul Datacenter Ltd. Sti.
country: TR
admin-c: SNOC14-RIPE
tech-c: SNOC14-RIPE
status: ASSIGNED PA
mnt-by: ISTANBULDC-MNT
source: RIPE # Filtered

person: SAYFA-NET Network Operations Center
address: INTER NET BILGISAYAR LTD STI
address: Kemeralti Mh. 124 Sk. No.7 D5
address: Levent, Istanbul
address: Turkiye, TR
phone: +90 (232) 463 30 08
fax-no: +90 (532) 723 52 63
nic-hdl: SNOC14-RIPE
mnt-by: SAYFA-NET-MNT
abuse-mailbox: abuse@sayfa.net
source: RIPE # Filtered

route: 176.53.23.0/24
descr: AS42926-NETWORK
origin: AS42926
mnt-by: AS42926-MNT
source: RIPE # Filtered

[Reactie gewijzigd door Anoniem: 268141 op 23 juli 2024 07:01]

Anoniem: 268141 @djvdorp • 5 december 2011 13:42

LOL @ those Turks.
Look at this:

Discovered open port 3306/tcp on 176.53.23.206
Discovered open port 993/tcp on 176.53.23.206
Discovered open port 143/tcp on 176.53.23.206
Discovered open port 22/tcp on 176.53.23.206
Discovered open port 53/tcp on 176.53.23.206
Discovered open port 80/tcp on 176.53.23.206
Discovered open port 995/tcp on 176.53.23.206
Discovered open port 21/tcp on 176.53.23.206
Discovered open port 110/tcp on 176.53.23.206
Discovered open port 25/tcp on 176.53.23.206
Discovered open port 443/tcp on 176.53.23.206
Discovered open port 2086/tcp on 176.53.23.206
Discovered open port 2082/tcp on 176.53.23.206
Discovered open port 2095/tcp on 176.53.23.206
Discovered open port 2096/tcp on 176.53.23.206
Discovered open port 465/tcp on 176.53.23.206
Discovered open port 2077/tcp on 176.53.23.206
Discovered open port 2083/tcp on 176.53.23.206
Discovered open port 7080/tcp on 176.53.23.206
Discovered open port 2087/tcp on 176.53.23.206
Discovered open port 2078/tcp on 176.53.23.206

Iets vertelt me dat die Turkse hackers hun eigen zaakje niet op orde hebben

Rembert @Anoniem: 268141 • 5 december 2011 10:35

Lijkt me goed dat dit bij de recherche oid terecht komt. Zij kunnen heel snel schakelen en wat molens sneller aan het draaien krijgen.

Anoniem: 268141 @Rembert • 5 december 2011 11:18

Recherche doet hier niks aan.
Trust me, heb hier ervaring mee.

sanderpotjer 5 december 2011 23:01

Van alle gehackte websites op de lijst stond een groot deel (zo niet alle?) op een cluster van Byte Internet. Deze websites zijn uiteindelijk allemaal gehackt doordat de beveiliging van het cluster niet op orde was. Daardoor was het mogelijk dat via een site alle andere sites gehackt konden worden.

De gehackte site was inderdaad een Joomla site met een oude versie, maar momenteel is het nog niet duidelijk of Joomla, een extensie of iets heel anders op de betreffende site is gehackt.

Via deze site konden de hackers alle andere sites hacken in het cluster. De suggestie wordt in diverse artikelen gewekt dat op alle sites Joomla is gehackt maar dat is dus niet het geval. Tussen de lijst staan ook diverse WordPress sites en sites zonder enig CMS erachter.

Ik heb een artikel met meer informatie geschreven, zie hier: http://www.joomlacommunit...gehackt-of-toch-niet.html

BCC @sanderpotjer • 6 december 2011 16:15

Byte heeft het zeer snel en super netjes opgelost. Kudos!

jacket13 5 december 2011 07:56

Als ik het zo eventjes lees kan ik dus concluderen dat het mensen zijn die maar niet gelimiteerd tot Turks kunnen zijn. Ze zijn hoogstwaarschijnlijk wonend hier in Nederland en hebben erkenelijk problemen met Nederlandse politiek. Iets waar door ze getroffen zijn en waarschijnlijk niet relevant of van hoge betrekken.

Jammer dat ze het zo moeten brengen want ze maken absolute geen boodschap duidelijk en vertegenwoordigen zichzelf alleen als een stel 'random' hackers die mensen zitten te irriteren.

shenr @jacket13 • 5 december 2011 09:31

Dit is denk ik een actie van turken in Turkije. Wat heel erg in het nieuws is daar en hier niet echt veel aandacht aan besteed is dit nieuwsberichtje:
http://www.nu.nl/politiek...islamcartoon-van-pvv.html

Het aanbieden van die cartoon is in het verkeerde keelgat gevallen (naar mijn mening terecht) en wordt toch aardig wat aandacht aan besteed op het moment in Turkije. Dus waarschijnlijk willen ze op deze manier een statement maken (waarbij ik het met de manier waarop natuurlijk absoluut oneens ben, ze moeten met hun poten van andermans spullen afblijven).

[Reactie gewijzigd door shenr op 23 juli 2024 07:01]

Anoniem: 264902 @shenr • 5 december 2011 10:36

Het feit dat er digitale criminaliteit wordt aangewend om een statement te maken is zorgwekkend en bewijst het nut van een dergelijke cartoon. Men moet religie eens wat minder serieux nemen.

Katsunami @Anoniem: 264902 • 6 december 2011 02:49

Eindelijk iemand die het snapt.

Wat er gebeurt:
- X maakt een spotprent over de islam / Mohammed.
- De halve islamitische wereld loopt rood aan, gaat de straat op, en gaat wellicht zelfs aanslagen beramen op landen of personen.

Wat krijg je dan?
Ze bevestigen zelf alle vooroordelen, namelijk dat ze geweldadig zijn, intolerant zijn, enzovoorts. Gevolg: de haat tegen de islam en moslims wordt groter.

Wat er zou moeten gebeuren:
- X maakt een spotprent over de islam / Mohammed.
- De hele islamitische wereld haalt zijn schouders op, en zegt simpelweg: "Die X weet niet beter. Laat 'm toch lekker."

Wat krijg je dan? Juist. Géén bevestigende reactie wat betreft alle vooroordelen, en dat levert meer respect voor de islam en moslims. In elk geval bij mij.

Een gast bij mij op het werk (Marokkaan) had regelmatig T-Shirts zoals het volgende aan:

Borst: "Hey! I'm a muslim!"
Rug: "Don't Panic :)"

Of deze:
Borst: "Allah is great!"
Rug: "And God is too."

De meeste Turken/Marokkanen op mijn werk wilden met die gast niks te maken hebben want hij was "fout bezig".

De meeste anderen vonden hem een coole gast, en respecteerden hem erom dat hij luchtig met geloof kon omgaan, om het feit dat hij Ramadan volgde, op zondag naar de moskee ging en complimenteerden hem ermee. Je kon er ook gewoon gesprekken mee voeren over religies, en als je dan gewoon keihard over een stelling / gebod zei: "Daar ben ik het niet mee eens", dan was zijn antwoord: "OK, dan niet :P"

Vrouwen met een hoofddoek? Helemaal prima voor die gast.
Vrouwen zonder hoofddoek? Ook helemaal prima. ("Als ze dat zelf willen, waarom niet? Kleding maakt je geen slechtere of betere moslim in mijn ogen.")

Die kerel snapt het. "Ik geloof dit, en als je het er niet mee eens bent, dan geloof jij het toch niet? Prettige dag verder!" Die kerel was gelovig zoals je IMHO gelovig zou moeten zijn: gewoon je eigen geloof volgen, je eigen ding doen, en niet continue naar anderen kijken of zij het wel "goed doen", en of ze geen "kwaad spreken".

[Reactie gewijzigd door Katsunami op 23 juli 2024 07:01]

CobraVE @shenr • 5 december 2011 11:21

Cartoons lijken altijd in het verkeerde keelgat te schieten bij dit soort mensen, behalve als het om aanvallen op ongelovigen gaat.

Die Turkse minister had gewoon een vent moeten zijn en die cartoon aan moeten nemen. Mensen opsluiten/vervolgen omdat ze kritisch zijn tegen/over het zittende regime/religie is iets voor 3e Wereldlanden.

Met de achterliggende gedachte en situatie was dit een goede actie van de PVV (voor de verandering) en leggen ze precies bloot wat het probleem is, nogmaals onderstreept door deze digitale aanval.

Religie (geen enkele religie) staat niet boven kritiek, we weten allemaal (ook uit ons eigen verleden) wat er gebeurt als religie immuniteit geniet op alle vlakken.

edit: toevoeging.

[Reactie gewijzigd door CobraVE op 23 juli 2024 07:01]

Laurens-R @shenr • 5 december 2011 10:58

Fijn, dus ze gaan hun politieke frustraties maar botvieren op personen die daar niks mee te maken hebben?

Ze zullen in turkije zelf toch zeker al genoeg andere zorgen hebben, in plaats van zich druk te maken over een cartoon.

Stelletje prutsers. ...het defacen van sportverenigings websites.

Je maakt er al geen statement mee, en je zorgt er voor dat verenigingen die roeien met de middelen die ze hebben weer van alles moeten doen.

[Reactie gewijzigd door Laurens-R op 23 juli 2024 07:01]

Anoniem: 345630 @jacket13 • 5 december 2011 08:02

ik denk eerlijk gezegd dat de Turken in NL wel wat beters te doen hebben dan web paginas defacen

hoogst waarschijnlijk worden deze defaces uit turkije uitgevoerd.. denk wel zeker

Ninjaman 5 december 2011 08:57

Site's met de laatste joomla versie zijn ook slachtoffer

Geld voor zowel 1.5.25 en 1.7.3

sanderpotjer @Ninjaman • 5 december 2011 11:05

Ik weet vrijwel zeker dat de oorzaak niet in Joomla 1.5.25 en/of Joomla 1.7.3 ligt. Ook een aantal van mijn sites die bij Byte draaien zijn gehacked maar diverse daarvan hebben überhaupt geen CMS erachter zitten. Er lijkt dus wat anders aan de hand.

Natuurlijk is het makkelijk om Joomla als schuldige aan te wijzen, zeker daar Byte internet erg veel Joomla websites host.

Xaverius @Ninjaman • 5 december 2011 11:56

dragon3016, waar baseer je dat op? Ik zie geen onderbouwing of bron van je post en ben hier nieuwsgierig naar.

En dan nog, als een server gehacked op een manier gehacked is dan via up-to-date Joomla-installatie kan nog steeds dit domein met Joomla gehacked worden.

Ninjaman @Xaverius • 5 december 2011 13:59

Aangezien ik zelf een paar site's had die gehacked waren en die ik vorige week geupdate had naar 1.5.25 en een andere site geupdate naar 1.7.3.

En ik had ook nog een paar oudere site's die op 1.5.23 zaten beheerde die ook gehacked waren.

tweaker2010 @Ninjaman • 5 december 2011 12:59

Volgens Byte ligt het toch echt aan een lek in de oude Joomla versie en wordt klanten aanbevolen om te updaten:

Een van onze klanten heeft een oude versie (Joomla 1.5.22) van Joomla gebruikt die exploitable was. Normaal gesproken beperkt deze hack zich enkel tot de website met het lek en is er geen gevaar voor de andere sites op het cluster. In dit geval echter heeft de hacker via een kernel exploit toch toegang gekregen tot het root-filesystem.

http://www.byte.nl/cms/ni...e-cluster-2-gehacked.html

PaT Moderator Mobile 5 december 2011 07:53

En wat voor "zin" hebben dit soort acties nu? Als ik het dus goed begrijp wordt index.html (of de moderne opvolger daarvan, ben al een tijdje niet meer bezig met websites maken

) verwijderd en daar wordt hun eigen bestandje voor terug gezet. Nou, nou, wat een ramp. Met een beetje mazzel is het voor de getroffen sites dus een kwestie van 1 bestand terug zetten en klaar...

Of stel ik mij het nu iets te rooskleurig voor?

Daarnaast ben ik wel heel benieuwd waar Nederland te ver in is gegaan? Wilders is de laatste tijd toch redelijk rustig? Of Is deze club stiekem Sinterklaasfan en willen ze officiële erkenning dat de Sint uit Myra komt? Maakt dan in ieder geval je punt duidelijk!

TD-er

@PaT • 5 december 2011 07:58

Daarnaast ben ik wel heel benieuwd waar Nederland te ver in is gegaan? Wilders is de laatste tijd toch redelijk rustig? Of Is deze club stiekem Sinterklaasfan en willen ze officiële erkenning dat de Sint uit Myra komt? Maakt dan in ieder geval je punt duidelijk!

Nu ga je ervanuit dat dit soort kleuters een geldige reden meent te hebben om dit soort dingen te doen.

ATS @PaT • 5 december 2011 08:25

Doel is al bereikt natuurlijk: aandacht. Het spelletje wordt zoveel leuker als de media het oppikken.

zeduude @ATS • 5 december 2011 09:11

Hmmm, maar aandacht voor wat??
Als ze nou een reden gaven, bijv "nederlanders stinken uit hun bek (of iets onzinnigs in die trend)", dan begreep ik t nog, maar zelfs dat niet. zijn t niet gewoon wilders aanhangers, die de turken als slecht willen afbeelden, ( had wilders maar niet in kanaleneiland utreg moeten gaan wonen, zou ie een stuk minder subjectief zijn )?
M'n punt is dat we dus niet weten wie en waarom.. elke idioot kan een site defacen en d'r fuck nederland in een wel erg lelijk gebeveled photoshopped fontje stopppen..
Waarom geeft niemand es effe een cursus grafische opmaak aan al die hackertjes, t is altijd zo lelijk

(edit typo)

[Reactie gewijzigd door zeduude op 23 juli 2024 07:01]

Framoes @PaT • 5 december 2011 08:50

Ze vinden zwarte piet geen racisme, maar de sint zelf, omdat hij veel te blank is voor iemand uit Turkije

twjdeboer @Framoes • 5 december 2011 12:54

Maar de site van witte Piet is wel gedefaced!

bazzi

5 december 2011 09:19

hoop sites welke gegist zijn door byte staan op die lijst...

bazzi

@bazzi • 5 december 2011 09:20

zit geen edit functie in de tweakers app, maar gegist móet gehost zijn.

HC_N.ick 5 december 2011 10:02

Een zinloze actie gezien dit land graag bij de EU wilt komen. Daarbij is het zo dat er in Nederland ook heel veel mensen van Turkse afkomst wonen. Dus daarmee beledigen ze ook hun eigen volk om het zo maar te zeggen. Want ben je hier geboren, dan ben je een "Nederlander". Verder vind ik het ook niet echt een prestatie van de "hackers" om slecht/on-beveiligde website te kraken en zo te laten zien wie ze zijn. Daarbij vertellen ze niet eens waarom ze dit doen, dus hebben ze eigenlijk wel een reden? Dit provoceert alleen maar onheil en kwade gezichten naar de Turkse bevolking.

Annihilism @HC_N.ick • 5 december 2011 11:15

Misschien zijn het niet eens turken die dit gedaan hebben maar gewoon een groepering die turken in een slecht daglicht wil stellen.

Hoe dan ook blijf ik dit trieste acties vinden. Zijn overduidelijk een paar zielige jochies die geen flauw benul hebben over wat er zich in de wereld afspeelt en maar ff wat onschuldige websites offline halen. Hoop dan ook dat de daders snel gepakt worden.

Baazie @Annihilism • 6 december 2011 10:32

wel toevallig dat ze allemaal turks spreken op hun forum

On-topic

wat mij betreft fail voor de turken
iedere idioot kan dit doen wat ze hiermee bereikt hebben? niks...

@tweakers hierboven geweldig even paar simpele testjes whois en je komt er achter dat zij de balle verstand hebben van hun eigen acties

kerimduman @HC_N.ick • 5 december 2011 20:00

Waarom zouden er kwade gezichten zijn naar de Turkse bevolking? Denk dat het veel zegt over de mensen die 'de Turkse bevolking' er op aankijken dat enkele, mogelijk Turkse, individuen dit soort ongein uithalen.

mvd64 5 december 2011 10:10

Denken ze hiermee te bereiken dat mensen begrip krijgen voor hun standpunt(en)? Ik denk dat dit soort acties eerder averechts werken...

Arcticwolfx @mvd64 • 5 december 2011 10:13

Ze hebben geen standpunten is gewoon stereotypisch interessant doen.

Op dit item kan niet meer gereageerd worden.

Turkse hackers nemen duizenden Nederlandse sites op de korrel

Lees meer

IT-banen

Reacties (184)

Sorteer op:

Weergave: