Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Honderden Uniserver klanten de dupe van deface actie

  • Door
  • Arnout Veenman
  • geplaatst op
  • 1 augustus 2006 09:22 uur

Afgelopen zondag is er één server van Uniserver gehackt. Dit was mogelijk doordat een van de klanten van Uniserver een verouderd Joomla installatie gebruikte, waarvan de hacker dankbaar gebruik maakte en zo toegang tot de server kreeg. Naar mijn idee had de hacker daarna echter geen (volledige) toegang mogen krijgen tot de server, waarbij ik me toch afvraag hoe zoiets mogelijk is, gezien er goede manieren zijn om dat te voorkomen.

Gevolg van de geslaagde hack-poging was dat de websites van drie- tot vijfhonderd klanten een extreme-makeover hadden gekregen, of te wel door de hacker gedefaced waren met daarop een Islamitische tekst. Ongeveer anderhalf uur na het ontdekken van het incident had Uniserver met behulp van backups alles weer hersteld. Waarvoor overigens wel alle lof, dat ze de schade zo snel hebben weten te herstellen. Waarbij ik me wel afvraag hoe lang het heeft geduurd voordat ze de hack ontdekten.

Overigens is het interessant om te lezen dat Uniserver nog niet weet of ze aangifte zullen doen van de kwestie bij de politie, gezien de volgende uitleg van customer care-manager Riemert Moleman op webwereld toelicht:

De hacker heeft zijn sporen en de logbestanden vrij goed gewist. Bovendien opereren hackers vaak vanuit een land waar het slecht gesteld is met de internetregelgeving, en dan heeft aangifte niet zoveel zin.

Wat is jullie mening hierover, zou Uniserver aangifte moeten doen of niet?

Oberon, 1 augustus 2006 11:53 am

Gewoon aangifte doen, altijd handig niet?

gerwin, 1 augustus 2006 2:35 pm

Aangifte doen heeft totaal geen zin, KLPD doet "cybercrime" er bij en je moet het ECHT treffen dat je iemand treft die er verstand van heeft.

Heel jammer allemaal, maar je moet je spulletjes echt beter op orde hebben als provider. Een website gehacked...jammer, maar moet nooit tot toegang van complete server lijden.

Wat wij doen:
- alle websites in een jail draaien, mensen kunnen nooit bij andere sites komen of processen draaien als andere gebruikers. De gebruikers kunnen zelf ook geen logs weggooien, altijd handig :)

- filters installeren (mod_security bijv.)

- gebruikers opvoeden/bijscholen. Bij mambo/joomla hebben we bijv. een mailing de deur uitgedaan.

Met deze maatregelen sluit je een hack/defacement niet uit. Het wordt echter een stuk moeilijker en mocht het alsnog gebeuren dan is de schade klein.

My 2cents

MikeN, 1 augustus 2006 3:46 pm

Natuurlijk aangifte doen, al is het alleen al voor de statistieken. Als niemand ooit aangifte doet omdat er toch niets gebeurd, gaat er nooit wat gebeuren ook, aangezien er volgens de politiek dan geen probleem is ;)

SWINX Hosting, 1 augustus 2006 4:00 pm

Als de politie er toch niks mee doet is het als hoster een beetje zonde van je tijd. Ik kan me daar wel iets bij voorstellen dat er dan geen aangifte wordt gedaan om deze rede.

Rámon, 4 augustus 2006 6:19 pm

De hacker verkrijgt root rechten via een memery injection, waardoor er een cron geladen wordt in het geheugen vervolgens wordt van een bestaand de eigenaar gewijzigd in root:root en gechmod naar , deze injecteerd in elke index*.*, home*.* default*.* "by The Hacker".

Er wordt vervolgens de volgende cron uitgevoerd:
Cron chown root:root
/chroot/path_naar_bestand/05 && chmod 4755
/chroot/path_naar_bestand/05 && rm -rf
/etc/cron.d/core && kill -USR1 666666

Zelfs met een jail kan je het nog voor elkaar krijgen om dit uit te voeren.

mod_security draaien, alles op safemode zetten uiterraard. Maar dan werken er veel gebruikte scripts niet meer, welke men toch wel graag wilt gebruiken.

Rámon, 4 augustus 2006 6:19 pm

memery=memory ... en excuses voor alle andere mogenlijke spellings en tikfouten...

Rámon, 4 augustus 2006 6:20 pm

nog wat vergeten: gechmod naar 4755

Rámon, 4 augustus 2006 9:29 pm

Exploits die dit veroorzaken:
http://isc.sans.org/diary.php?storyid=1482.

en

http://isc.sans.org/diary.php?storyid=1483

gerwin, 4 augustus 2006 11:55 pm

True. Dus mensen zorg er voor dat je ook je updates hebt draaien :)

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.