Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties

Hackersgroep LulzSec verkreeg naar verluidt begin 2012 toegang tot duizenden kleine Nederlandse en Belgische sites. Dat gebeurde door een kwetsbaarheid in webhostingbeheersoftware Parallels Plesk. Vooral veel sites van kleine bedrijven en verenigingen lijken getroffen.

De lijst met sites komt uit chatlogs waarop DailyDot de hand legde. Uit die logs blijkt dat een kwetsbaarheid in Parallels Plesk de toegang tot de sites mogelijk maakte. Het gaat vermoedelijk om een hack bij een Nederlands hostingbedrijf. Tweakers heeft dat hostingbedrijf op de hoogte gebracht, maar nog geen reactie ontvangen.

Hoewel de hacker 3520 sites noemt, staan in de chatlog rond 850 sites, waarvan 561 met de .nl-extensie en 70 .be-sites. Veel van de .com-sites die zijn genoemd lijken bovendien Nederlands te zijn. In veel gevallen gaat het om sites van bedrijven, verenigingen of evenementen. Er staan tussen de sites ook veel dubbelingen, zoals dezelfde sites met .biz-, .com- en .info-extensies.

Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn. Eerder dit jaar bleek al dat er aanvallen waren uitgevoerd op sites in tientallen landen, maar welke landen dat waren, was tot nu toe onbekend. De Nederlandse sites lijken bijvangst; in de chats gaat het voornamelijk over Braziliaanse overheidssites.

Lijst Nederlandse sites waar Lulzsec toegang toe had

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (52)

Het gaat vermoedelijk om een hack bij een Nederlands hostingbedrijf. Tweakers heeft dat hostingbedrijf op de hoogte gebracht, maar nog geen reactie ontvangen.
Tweakers weet de naam maar zegt het niet? Want hoe kunnen ze anders een bedrijf op de hoogte brengen als ze niet zeker weten om welk bedrijf het gaat? De hackers hadden potentieel toegang tot veel domeinen, maar hebben ze de hack niet geplaatst om toegang te krijgen tot een specifiek domein?
Je kunt alle .nl/.be domeinen die gehacked zijn hier zien:
https://drive.google.com/...xMKJ-cDFfVks1Q0gxLXc/view

ff uitzoeken waar die draaien en je weet de host ofcoz
Ja de naam van het hostingsbedrijf is waarschijnlijk bekend en om een reactie gevraagt, maar je weet het niet zeker dus wachten we eerst de reactie van de hoster af.

Verder was de target inderdaad een domein dat op een overheidsdomein leek, maar blijkbaar draaide die op een gedeelde server en op die server waren nog eens 3520 andere domeinnamen gehost.
Van mij mag die informatie best in het artikel worden gezet. Als je inderdaad de chatlog bekijkt zie je dat ze helemaal geen interesse hebben in die normale domeinen.
Het is volgens mij Yourname Webhosting (https://yourname.nl/).
Uitgaande van het feit dat dit de huidige hoster is van enkele van de getroffen domeinen
(facebroek.be, dextro.be, ...).

[Reactie gewijzigd door goarilla op 2 oktober 2014 12:16]

Interessanter vind ik HOE ze aan die chatlogs zijn gekomen.
Edit : Makkie! Sabu was informant toch?
Staat ook in het artikel.

[Reactie gewijzigd door Twixje op 2 oktober 2014 11:24]

Maar als ik het goed begrijp, is Sabu pas informant geworden toen ze hem bedreigden met jaren celstraf? Ik dacht dat hij gewoon een dealtje gesloten had met de overheid.
Dit dus, Sabu was (naar mijn idee) niet vanaf het begin informant. Hij heeft eieren voor zijn geld gekozen nadat hij is benaderd door de CIA(?). Maar hoe zijn ze er ooit achtergekomen dat hij het was.

Er zijn hier wel spelletjes gespeeld die het daglicht niet konden en kunnen verdragen.
Als ik me niet vergis is een security firma achter zijn echte naam en adres gekomen door een filmpje dat Sabu van zijn auto had gemaakt en heeft hij dan de FBI op zijn dak gekregen. (het staat allemaal in We are Anonymous van Parmy Olson maar het is alweer een tijdje geleden dat ik dat nog gelezen heb).

Sabu was in ieder geval geen informant van bij het begin.
http://cdn0.dailydot.com/...014/10/1/hammond-sabu.png

Edit: Sowieso is LulzSec een vrij amateuristisch en publiek vindbare groep hacktivists, maar ik vind het beschamend voor een leider van hun dat deze niet direct uit de groep is gestapt.

[Reactie gewijzigd door Thystan op 2 oktober 2014 13:46]

Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn.
Ik vermoed dat Sabu dat keurig opgeslagen had.
door met bots irc kanalen te monitoren die over hacking gaan.
Bots zie je bij mijn weten gewoon in het kanaal zitten hoor.
In de betreffende kanalen wordt op bots gescand en de prive kanalen kent men elkaar. Sowieso zitten er wachtwoorden op en onbekende "luisteraars" worden zelfs in de publieke kanalen besproken en vrij snel ge-kickt als ze geen antwoord geven.

Tevens zijn de hackers op een IRC-server niet voor niets op die IRC-server. Vaak is er een IRCop direct "bevriend" met iemand van de groep.
En bijna ieder groot "hax0r" IRC netwerk is beheerd door *een* $inlichtingendienst.
Wanneer het grote "hax0r" IRC netwerk dat niet is, ontvangen ze net zo lang
DDOS aanvallen totdat het grut overloopt naar een ander netwerk wat wel onder
controle van $inlichtingendienst staat.
( En wanneer je DDOS mitigation beheerst, zetten ze je op een terreurlijst of framen ze je voor een $random delict. Zie o.a lieve gekkies zoals Sven Olaf Kamphuis die is overgeleverd en vrijgesproken, maar wel financieel kapot is gegaan door het proces. )

[Reactie gewijzigd door coretx op 2 oktober 2014 13:54]

Fijn dat Lulzsec ook kleine bedrijven pakt.... Ik snap niet wat ze daarmee willen bereiken, het heeft een hoog scriptkiddie gehalte.

Was het al bekend dat Parallels Plesk deze kwetsbaarheid bevatte?
Yep, leks in Plesk waren bekent, jammer genoeg niet maar 1.
http://lmgtfy.com/?q=parallels+plesk+remote+exploit

Reden om kleine aan te pakken, is dat deze meestal bij een provider zitten met voldoende brandbreedte, om hun echte target aan te pakken.

/edit
De volledige PDF https://ia802508.us.archi...220149970-Hammond-069.pdf

[Reactie gewijzigd door wica op 2 oktober 2014 11:46]

Erger nog, om plesk te updaten is vaak een hoop gerommel en problemen mee gemoeid... dusss isp's en vele bedrijven die een paar sites voor hun klanten regelen updaten nooit...
Ik ben dan ook erg blij dat plesk al een aantal jaren de deur uit geknikkerd is, wat een ontzettende rotzooi...

om maar niet te spreken van idd de zwitserse gatenkaas beveiliging : wachtwoorden in plain text in de database om maar iets te noemen , maar goed dat was vroegah, misschien nu niet meer
Plesk updaten is schier-onmogelijk. Onbegrijpelijk dat er nog mensen zijn die dat gebruiken. Het lijkt mij een van de basisvoorwaarden voor de keuze van een dergelijk pakket.
En als je het dan perse wilt gebruiken hang het dan nog achter htaccess en/of maak het IP restricted.
Beter nog maak het enkel toegankelijk achter een VPN.
Beter nog, dump het helemaal doe niet zo lui en gebruik gewoon een shell om beheer te doen, vereist wat meer kennis maar het is vaak nog sneller ook ;)
Beter nog, dump het helemaal doe niet zo lui en gebruik gewoon een shell om beheer te doen, vereist wat meer kennis maar het is vaak nog sneller ook ;)
Maar dan heb je ervaren werkvolk nodig. En je zal toch al het een en ander deftig moeten gescript hebben voordat je van snelheidswinst kan spreken. Deze Panels zijn ook maar scripts met een vriendelijk (en onveilig) front-endje ervoor.
Nice. Voor een hostingbedrijf en hun klanten totaal niet toepasselijk.
Voor hosters is zo'n pakket goud waard. Hoe zit het eigenlijk met de
beveiliging van concurrent cPanel (WHM) ?
Lulzsec wil helemaal niks bereiken, waarom denk je dat ze iets willen bereiken? Dat er sommige groepen onder de naam 'Anonymous' wel wat wil bereiken betekend niet dat ze allemaal een doel hebben.

Lulzsec is juist 'just for the lulz' oftewel 'omdat het kan'.

[Reactie gewijzigd door realmadridsi op 2 oktober 2014 11:42]

Wat zij wilde bereiken is een strafbaar feit voor veroordeling, alleen wisten zij dat zelf nog niet:

"Een LulzSec-hacker voerde deze hacks uit in januari 2012 op verzoek van LulzSec-aanvoerder Sabu, die later een informant van de Amerikaanse politiedienst FBI bleek te zijn"

Het lijkt een zoveelste voorbeeld te zijn van hoe de FBI aan haar arrestaties komt, door zelf mensen aan te sporen (en te helpen) om tot strafbare feiten over te gaan.
En dus een eigen beslissing om tot die hack over tegaan , ja je kan ook zeggen Funk You en die Sabu tekakken zetten
wat ze er mee willen berijken is voor lulz, het zit in de naam
Alsof dat wat uitmaakt. Zij vinden een exploit, en treffen een hosting bedrijf. For teh win zullen we maar zeggen.
Dus als ik het goed begrijp heeft deze NL hostingbedrijf Plesk niet tijdig geupdate?
Iemand een idee wie die hoster is?

Het is vaak een voordeel om bij een hele groter hoster te gaan (ik heb zelfs soms de voorkeur om bij een internationale club te gaan). Het heeft z'n voordelen (vaak actuele updates, goede chat support) en nadelen (ip is in het buitenland wat misschien je zoekresultaten kan benvloeden), maar steeds meer neig ik daarnaar. Zeker in deze tijd is het toch weer belangrijk om alles up-to-date te houden. Dan nog zijn er lekken...
Tenzij het een 0-day exploit was waar gewoon geen update voor beschikbaar was. Maar een beetje handige tweaker zorgt ervoor dat er geen plesk op zijn server staat en beheert hem gewoon zelf. En haalt voor net iets meer euro's per maand een VPS zodat je die vrijwel helemaal zelf kan beheren.
Dat is natuurlijk waar, maar zoals da_PSI hierboven al aangeeft zijn het veelal de mensen die gewoon gelijk van start willen zonder al te veel poespas. Ook kan je een tweaker in hart en nieren zijn, maar dat betekent nog niet dat je alle ins en outs kent van (web)hosting en wil je gewoon met n klik een mysql database opzetten en dan je Joomla/Wordpress pakketje gaan installeren.

Je kiest natuurlijk voor die gemakken op het moment dat je zulke pakketten koopt. daarna mag je in je handjes knijpen en hopen dat ze ook up to date blijven met hun softwarepakketten.
Dikke kans dat Hosting2Go ook daarbij hoorde, Snelle host maar PLESK was echt pas heel laat ge-update.
Ik durf met zekerheid te zeggen dat Hosting2Go ook in deze lijst staat. Een klant heeft meerdere website's @ hosting2go en beide staan in de lijst.

[Reactie gewijzigd door da_PSI op 2 oktober 2014 15:14]

waar is die lijst te vinden ben benieuwd of mijn domijn er ook bij staat aangezien die ook bij Hosting2GO draait.


Heb de lijst in een post hieronder al gevonden.
Sta er niet tussen gelukkig.

[Reactie gewijzigd door drakonl op 2 oktober 2014 17:40]

Ik vraag me dan toch af waarom de FBI geen stappen onderneemt om die kwetsbaarheden te melden aan de getroffen bedrijven.
NSA? Je wilt als overheidsinstantie in een informatie maatschappij natuurlijk niet jezelf in de voet schieten door je eigen backdoors te sluiten.

ben het met je eens, dit is een slechte praktijk, maar als er gekozen moet worden tussen niemand, ook wij niet, kan binnen komen en iedereen kan binnen komen dan gaan deze instanties (bijna altijd) voor de laatste kiezen.
:')

Het is niet aan de NSA of FBI plesk te melden dat hun software lek is.

Echter kan zoiets gewoon worden verzwegen zodat die hack ook exploiteerbaar blijft.
Tja...slecht natuurlijk maar kleine websites hebben vaak een huis-en-tuin webdeveloper. Die weten niet heel veel van beveiliging af en zullen zichzelf als low profile ziet. Alhoewel hackersgroepering juist zulke websites en hun servers zullen zien als een mooi doelwit. Informatie hoggen, malware verspreiden, als DDos proxxy gebruiken of om signalen via te routen.

Het heeft nogal een nasmaak dat LulzSec zelf als een proxy is gebruikt geworden door de FBI.
Ongeacht of deze websites goed of slecht beveiligd waren, de 'hack' is uitgevoerd door een vulnerability in de software van Plesk te exploiten. Dit staat dus los van de individuele beveilging van de websites. Daarnaast zijn niet zozeer de kleine websites aangevallen maar meer de hosting. De kleine websites waren een leuke bijkomstigheid. Doel is natuurlijk om alle Vhosts in te kunnen kijken om zo .gov domeinen op te sporen en die te targetten.
Ben ik de enige die het ZEER verontrustend vind dat de FBI hacktivists gebruikt om andere landen aan te vallen onder het mom van "undercover"
Tja, aan de andere kant valt het wel heel erg op als de informant zegt 'we gaan alleen maar servers hacken die in de US zijn en zich op de US richten met alleen US-specifieke domeinnamen.'

Verder is het natuurlijk niet specifiek op een land gemunt; de FBI heeft hem niet gezegt 'val nederland aan' of 'pak braziliaanse overheidssites'. In dit geval is de targetting door de groep zelf zijn gedaan en niet door de FBI.

En tja, dat is het risico van undercover zijn; je moet soms dingen doen die tegen de wet ingaan om je cover te behouden zoals bijvoorbeeld drugs smokkelen. Dat wil dan niet zeggen dat de FBI dan de opdracht geeft om drugs te smokkelen, maar die proberen dat juist te stoppen.

Zo ook in dit geval, doordat die groep deze informant vertrouwde hebben ze leden ervan kunnen oppakken om zo juist de aanvallen op die landen/servers/domeinen te stoppen.
De geuzennaam hacktivist was hij niet meer waardig op het moment dat hij de keuze maakte om vr de FBI/Overheid te gaan werken.
Denk niet dat hij veel keuze had eerlijk gezegt, denk niet dat ze het hem vriendelijk gevraagd hebben. Zal meer iets in de zin geweest zijn van meewerken of je kan de rest van je leven achter tralies doorbrengen.
Tuig. Dat is het enigste wat je ervan kunt vinden. Dit zijn geen hackers of crackers dit is gewoon tuig.
Scriptkiddies voornamelijk. Werken in principe in opdracht van een paar "slimmere" hackers, maar bij de meeste wordt nog een digitaal handje vast gehouden als het moeilijker wordt ;)
Zo te zien een gehackte Plesk-server bij Yourname, die toevallig is meegepakt in een hele reeks scans naar servers met een 8443 (Plesk) poortje. Beetje vreemd dat dit twee jaar later als nieuwtje wordt gepresenteerd.
Vroeger streden hackers voor een vrij internet. Dit zijn in mijn ogen ook geen hackers maar een trieste groep die te lui zijn om naar buiten te gaan en daar rotzooi te trappen en het maar op het internet doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True