Door Buran: De website is gehacked en verwees naar een site met aangepaste ISO's, dus niet de Mint ISO's zelf op hun site zijn gehacked.
The hacked ISOs are hosted on 5.104.175.212 and the backdoor connects to absentvodka.com
Kom er maar in Karma4 ....
Door Anoniem: Door Anoniem: Wordpress is gewoon big-suck.. zelfs in native mode only zonder foute plugins is dat kreng gewoon niet stabiel en veilig te krijgen... En dat is toch het allerbelangrijkste van een CMS... niet hoeveel eye-candy erop geprakt kan worden, maar dat je het minstens 1 jaar op internet kunt hangen zonder ge0wned te worden en je klanten/user database op straat ligt.
Ik denk dat je met dit standpunt in een kleine minderheid zit. Verreweg de meeste gebruikers van dit soort CMS'en kijkt
alleen naar de eye-candy en het gemak van even iets erop zetten. Dat blijkt ook al door de idiote situatie dat je de
content kunt bewerken door in te loggen via dezelfde netwerkverbinding als waarmee de gebruikers binnen komen.
Dat is natuurlijk onveilig, maar "het is zo handig!!". Daarom doet men dat.
Ook het gebruik van PHP van het kaliber PHP-for-dummies (inclusief gebruik van mysql_query) is karakteristiek voor
deze CMS'en. Iedereen die er wat van snapt ziet het probleem, maar de gebruikers niet.
Uit deze story blijkt maar weer eens dat dit zelfs geldt voor gebruikers die een Linux distributie maken. Dat soort
groepen groeit natuurlijk, en er zitten ongetwijfeld noeste werkers aan het systeem zelf nu te snikken waarom ze toch
zo dom geweest zijn om het beheer van de website over te laten aan vrijwillige webbouwers die wel hun eigen CMS
wilden meenemen. Die lui die zelf een webpagina maken door index.html te editen met vi die hebben nu hun project
te grabbel gegooid met die PHP troep. Maar ja, het nam ze zoveel werk uit handen he?
Door Anoniem: Door superglitched:
WordPress is out of the box in de meeste gevallen gewoon veilig hoor, de enige onveiligheid is de gebruiker die geen updates draait
Hier spreek je jezelf tegen! Als het veilig is dan zijn er ook geen updates nodig.
Door superglitched: Door Anoniem: Wordpress is gewoon big-suck.. zelfs in native mode only zonder foute plugins is dat kreng gewoon niet stabiel en veilig te krijgen... En dat is toch het allerbelangrijkste van een CMS... niet hoeveel eye-candy erop geprakt kan worden, maar dat je het minstens 1 jaar op internet kunt hangen zonder ge0wned te worden en je klanten/user database op straat ligt.
WordPress is out of the box in de meeste gevallen gewoon veilig hoor, de enige onveiligheid is de gebruiker die geen updates draait, of geen security plugins neemt zover mijn kennis rijkt. Maar eigen falen afschuiven op een software pakket, is gewoon geen eigen verantwoordelijkheid kunnen nemen. Anders wil ik wel eens concreet horen waarom WordPress zo slecht zou zijn, een security bewust persoon moet geen moeite hebben met aanwijzen waar het precies fout gaat. En dan kunnen we er allemaal van leren, voornamelijk even WordPress zelf op de hoogte brengen is wel het minste dat iemand kan doen.
Veel voorkomende WordPress fouten die ik zie:
- Admin als username gebruiken
- Registratie vergeten uit te schakelen bij een site waar geen users nodig zijn
- Geen Security plugin voor brute force aanvallen
- Slechte/onveilige file upload plugin
- Slechte/onveilige captcha generator plugin
Door Anoniem: Wordpress is gewoon big-suck.. zelfs in native mode only zonder foute plugins is dat kreng gewoon niet stabiel en veilig te krijgen... En dat is toch het allerbelangrijkste van een CMS... niet hoeveel eye-candy erop geprakt kan worden, maar dat je het minstens 1 jaar op internet kunt hangen zonder ge0wned te worden en je klanten/user database op straat ligt.
Door superglitched: Door Anoniem: Wordpress is gewoon big-suck.. zelfs in native mode only zonder foute plugins is dat kreng gewoon niet stabiel en veilig te krijgen... En dat is toch het allerbelangrijkste van een CMS... niet hoeveel eye-candy erop geprakt kan worden, maar dat je het minstens 1 jaar op internet kunt hangen zonder ge0wned te worden en je klanten/user database op straat ligt.
WordPress is out of the box in de meeste gevallen gewoon veilig hoor, de enige onveiligheid is de gebruiker die geen updates draait, of geen security plugins neemt zover mijn kennis rijkt. Maar eigen falen afschuiven op een software pakket, is gewoon geen eigen verantwoordelijkheid kunnen nemen. Anders wil ik wel eens concreet horen waarom WordPress zo slecht zou zijn, een security bewust persoon moet geen moeite hebben met aanwijzen waar het precies fout gaat. En dan kunnen we er allemaal van leren, voornamelijk even WordPress zelf op de hoogte brengen is wel het minste dat iemand kan doen.
Veel voorkomende WordPress fouten die ik zie:
- Admin als username gebruiken
- Registratie vergeten uit te schakelen bij een site waar geen users nodig zijn
- Geen Security plugin voor brute force aanvallen
- Slechte/onveilige file upload plugin
- Slechte/onveilige captcha generator plugin
Door Briolet: by Clem: Yes, the breach was made via wordpress. From there they got a www-data shell.
Als ik dat blog zo lees, zijn ze nog een keer gehacked, nadat ze de hack ontdekt hadden en de files opgeschoond hadden. Hebben ze Wordpress niet up to date, of zitten daar nog zero-day lekken in.
Door Anoniem: Wordpress is gewoon big-suck.. zelfs in native mode only zonder foute plugins is dat kreng gewoon niet stabiel en veilig te krijgen... En dat is toch het allerbelangrijkste van een CMS... niet hoeveel eye-candy erop geprakt kan worden, maar dat je het minstens 1 jaar op internet kunt hangen zonder ge0wned te worden en je klanten/user database op straat ligt.
Door Mister-iPhone: Door Buran: De website is gehacked en verwees naar een site met aangepaste ISO's, dus niet de Mint ISO's zelf op hun site zijn gehacked.
The hacked ISOs are hosted on 5.104.175.212 and the backdoor connects to absentvodka.com
Kom er maar in Karma4 ....
Dank voor de aanvulling!
Probleem zat hem in de tweet van linux mint. Die sprak over "hacked ISOs".
https://twitter.com/Linux_Mint/status/701222478178340864Uit het verhaal onder de melding vanmorgen bleek ook dat ze niet eens wisten dat de links (die wezen naar de gehackte versies) op hun webserver stonden. Iemand op het forum waarschuwde daarvoor. Daarop hebben de beheerders deze onmiddellijk offline gehaald.
Ik denk dat je met dit standpunt in een kleine minderheid zit. Verreweg de meeste gebruikers van dit soort CMS'en kijkt
alleen naar de eye-candy en het gemak van even iets erop zetten. Dat blijkt ook al door de idiote situatie dat je de
content kunt bewerken door in te loggen via dezelfde netwerkverbinding als waarmee de gebruikers binnen komen.
Dat is natuurlijk onveilig, maar "het is zo handig!!". Daarom doet men dat.