Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

Beveiligingsfirma Sophos heeft uit voorzorg een website voor resellers offline gehaald nadat er op de webserver twee bestanden waren aangetroffen die remote access mogelijk zouden maken. Onduidelijk is nog of er data is buitgemaakt.

Sophos stelt dat het op 3 april twee verdachte bestanden heeft aangetroffen op een server die wordt gebruikt voor de Partner Portal. Om mogelijke hackaanvallen te voorkomen, heeft de beveiligingsfirma besloten om de site voorlopig uit de lucht te halen en inloggegevens te deactiveren.

De twee verdachte bestanden worden door Sophos onderzocht. Uit een eerste onderzoek zou zijn gebleken dat de files tot doel hadden om remote access tot de server mogelijk te maken. Volgens Sophos zijn er tot nu geen aanwijzingen dat de aanvallers toegang hebben verkregen tot een klantendatabase waarin informatie van resellers is opgenomen. De wachtwoorden zouden zijn gehasht.

Sophos waarschuwt zijn partnerbedrijven om extra alert te zijn op mogelijke phishingaanvallen, omdat het nog niet volledig is uitgesloten dat er e-mailadressen zijn buitgemaakt. Zodra de portal weer in de lucht wordt gebracht, dienen de gebruikers uit voorzorg een nieuw wachtwoord aan te maken.

Moderatie-faq Wijzig weergave

Reacties (27)

Toch slecht dat dit bij een beveiligingsbedrijf gebeurd, die zouden hun zaken toch wel op orde moeten hebben :P
Hun hebben het temminste door voordat iemand een klantendatabase op pastebin dumpt
Mja, er zijn altijd wel lekken te vinden he.
Scannen naar vreemde of veranderde bestanden geeft dan nog een mooi vangnet om vreemde activiteiten te detecteren.

Zelf gebruik ik een scriptje die even een sha1 van alle bestanden op de site trekt om de zoveel tijd. De gegenereerde sha1's van alle bestanden controleer ik dan met een gevalideerde versie.
Mocht er iets anders zijn dan krijg ik een mailtje met de veranderde of toegevoegde bestandsnamen. 8-)

In tijden van al deze defacements is het alleen maar goed om dit soort maatregelen te nemen :)
Tip voor als je Linux, BSD of een andere Unix-variant gebruikt: kijk eens naar TripWire

Dat doet iets dergelijks als jouw scriptje, je files en directories scannen op wijzigingen. Ik gebruik het al jaren voor mijn servers.

Voorzover ik weet is het al een standaard onderdeel van de meeste distro's.
Diegenen die geen scriptje willen schrijven kunnen Tripwire installeren en configureren. Dit doet ongeveer wat je boven beschrijft.
Zij hebben het...... niet HUN
Jammer dat je down wordt gemod, want het is een niet zoveel zeggende reactie maar dit is toch wel een fout in de grammatica van de Nederlandse taal van de eerste rang.

Wat ik me toch telkens weer afvraag, hoe weten ze / komen ze tot de conclusie dat de bestanden niet door een externe factor bekeken is? Zeker lijkt het me met een webshop beroerd moeilijk omdat die elke x aantal seconden wordt aangepast vanwege een nieuwe verkoop.

Of uit het logboek, kun je uit halen dat het logbestand is aangepast door die server. Maar hoe weet je of dat nou van die externe factor kwam? Nogmaals, duizenden externe verbindingen in een webshop per dag, dus zolang je de exacte herkomst niet weet van een IP-adres of ander unieke herkenningsfactor lijkt het me nagenoeg onmogelijk het uit te vinden of er al gebruikt is gemaakt van de bestanden.

Hoe vinden ze dit nou? :?
In principe heeft een applicatie bepaalde mappen waarin geschreven wordt. Vaak zijn die bestanden allemaal volgens een bepaald principe (b.v. allemaal .html caching bestanden, ik noem maar wat). Zodra daar dan ineens rootbackdoor.sh in staat dan valt zoiets op.

Overigens is daar dus software voor die dat automatisch voor je doet, zogenaamde intrusion detection systems.
Gebruikers van die resellers die oplettend zijn en vreemd gedrag opmerken op die sites. Die melden dat bij de host in kwestie (in dit geval Partner Portal) die het weer doorgeeft aan Sophos. Sophos gaat op onderzoek en besluit na analyseren dat het niet veilig is en sluit de webserver om het probleem te fixen.
dialect, dialect, dialect.... en en beetje humor denk ik.
dialect en humor of niet, het blijft pijn doen
Dit kan bij elk bedrijf gebeuren. de manier waarop Sophos reageert verdient respect i.m.o.
Inderdaad.

Alles valt te hacken, je kunt goed je best doen je site te beveiligen maar als er een zero-day exploit wordt gebruikt op je webserver software dan kun je daar weinig aan doen.

Wat je wel kunt doen en dat heeft Sophos denk ik ook gedaan is de site monitoren zodat veranderingen als een paar bestandjes extra ineens opvallen.
Dan kun je nog tijdig ingrijpen.
Niet zo vreemd dat dit bij een beveiligingsbedrijf gebeurt, ze zijn prime target. Die pagina van de tabakswinkel is waarschijnlijk zo gehackt, maar daar is geen eer (of winst) mee te behalen.

Misschien een iets overtrokken reactie, maar wel een goede. Ze maken er tenminste werk van, melden het, en proberen klanten en bezoekers veilig te houden.
GebeurD, je bedoelt gebeurT!
Natuurlijk niet mooi dat het gebeurd, maar wel mooi dat Sophos zo reageert. Kunnen sommige bedrijven nog van leren
Spijtig maar inderdaad wel een goed reactie, liever uit voorzorg iets offline halen dan maar doen alsof er niets aan de hand is en maar afwachten tot er iets goed fout gaat. Nu maar hopen dat er inderdaad geen data buit gemaakt is.
Lijkt me wel logisch toch om de website offline te halen , en goed natuurlijk dat ze het misschien door hadden , wat ik netjes vind is het ook maar meteen naar buiten te gooien wat er aan de hand is , of is dat ook wel weer logisch ?
Kan je natuurlijk van zeggen wat je wil. We weten nog niet wat het is, maar als het om gevaarlijke bestanden blijkt te gaan is het maar goed dat ze het portaal dicht hebben gezet.
Desalniettemin een goede reactie van Sophos. Niet afwachten of geen reactie geven, meteen in actie komen en je klanten informeren. Goede zaak van Sophos.
Heeft dit iets te maken met de volgende exploit ? http://pastebin.com/sbNAs6bP
Wat al eerder werd gezegd in de comments, goed dat ze het snel doorhebben en dus ook snel handelen.
Beter dat we nu horen dat er iets aan de hand is dan over een week lezen dat het bedrijf gehackt is en dat er persoonlijke gegevens zijn buitgemaakt
idd wat komen al die mensen van http://www.dutchgrammar.com/forum/ ineens hier doen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True