Security Professionals
- ipfw add deny all from eindgebruikers to any
Webhosting Versio.nl - gehacked
Hallo beste vrienden van Security.NL,
Ik deel hierbij even mede dat er bij verschillende servers van hostingbedrijf versio.nl een digitale inbraak heeft plaatsgevonden.
Deze inbraak zou een politieke belading hebben - van veel sites die door versio gehost zijn is de index.php / index.html file vervangen door een bericht namens de hackers.
Screenshot (niet van mij) http://i.imgur.com/fXx0tm3.jpg
De hackers lijken dus boos omtrent het politieke issue met de geweigerde Turkse Ministers. Of het zijn gewoon troll kids geweest.
In elk geval is er toegang geweest tot de servers 142 en 192.
Onderhands hebben ze bij versio al weer backups teruggedraaid en zou niemand er iets van moeten merken.
Ik heb zelf ook een website bij versio, die ook op een van de twee gehackte servers stond. Ik heb mijn website niet bezocht de laatste tijd, dus heb het niet zelf kunnen zien. Wel heb ik, nu ik de bestanden via FTP bekijk, door dat de wijzigingsdatum van index.php
Een reactie van een medewerker van versio:
Een beetje vaag bericht uiteraard. Dit was een reactie op een forum post. (Link onderaan in deze post)
Ook bij "laatste nieuws" op hun website staat er niks over.
Omdat er nog niet zoveel duidelijk is heb ik deze thread hier aangemaakt om jullie te informeren, voor zover mogelijk.
Ik ga versio een email sturen waarin ik zal aandringen op een reactie met de details van de hack. Als jullie ook bij versio klant zijn raad ik jullie aan hetzelfde te doen.
Ik weet nog niet of ik mijn webhosting-abbonoment ga vernieuwen volgend jaar.
Meer nieuws zal ik toevoegen zodra bekend.
Bronnen :
https://tweakers.net/nieuws/122267
https://www.versio.nl/forum/6152-directadmin-gehacked
https://gathering.tweakers.net/forum/list_messages/1761365
http://www.nu.nl/internet/4537434/nederlandse-websites-gehackt-rel-nederland-en-turkije.html
Ik deel hierbij even mede dat er bij verschillende servers van hostingbedrijf versio.nl een digitale inbraak heeft plaatsgevonden.
Deze inbraak zou een politieke belading hebben - van veel sites die door versio gehost zijn is de index.php / index.html file vervangen door een bericht namens de hackers.
Screenshot (niet van mij) http://i.imgur.com/fXx0tm3.jpg
De hackers lijken dus boos omtrent het politieke issue met de geweigerde Turkse Ministers. Of het zijn gewoon troll kids geweest.
In elk geval is er toegang geweest tot de servers 142 en 192.
Onderhands hebben ze bij versio al weer backups teruggedraaid en zou niemand er iets van moeten merken.
Ik heb zelf ook een website bij versio, die ook op een van de twee gehackte servers stond. Ik heb mijn website niet bezocht de laatste tijd, dus heb het niet zelf kunnen zien. Wel heb ik, nu ik de bestanden via FTP bekijk, door dat de wijzigingsdatum van index.php
Mar 13 12:13 2017
is. Dan was de backup dus waarschijnlijk teruggezet. (Alle bestanden had ik zelf niet aangeraakt sinds februari)Een reactie van een medewerker van versio:
We hebben inderdaad een hack ondervonden op twee verschillende servers van ons webhosting platform. Hierdoor waren de index.php en index.html van een paar honderd websites vervangen. De bron van de hack is gevonden en wordt momenteel opgelost. We zullen tevens aanvullende maatregelen nemen om herhaling te voorkomen.
Wegens de gevoeligheid van deze kwestie gaan wij momenteel niet in op de details omtrent de hack. We gaan aangifte doen bij de politie.
De websites die gedefaced waren zijn weer hersteld en zouden weer moeten werken.
Mocht u nog problemen ondervinden, neem dan contact op met onze helpdesk.
Onze excuses voor het ongemak dat u heeft ondervonden.
Wegens de gevoeligheid van deze kwestie gaan wij momenteel niet in op de details omtrent de hack. We gaan aangifte doen bij de politie.
De websites die gedefaced waren zijn weer hersteld en zouden weer moeten werken.
Mocht u nog problemen ondervinden, neem dan contact op met onze helpdesk.
Onze excuses voor het ongemak dat u heeft ondervonden.
Een beetje vaag bericht uiteraard. Dit was een reactie op een forum post. (Link onderaan in deze post)
Ook bij "laatste nieuws" op hun website staat er niks over.
Omdat er nog niet zoveel duidelijk is heb ik deze thread hier aangemaakt om jullie te informeren, voor zover mogelijk.
Ik ga versio een email sturen waarin ik zal aandringen op een reactie met de details van de hack. Als jullie ook bij versio klant zijn raad ik jullie aan hetzelfde te doen.
Ik weet nog niet of ik mijn webhosting-abbonoment ga vernieuwen volgend jaar.
Meer nieuws zal ik toevoegen zodra bekend.
Bronnen :
https://tweakers.net/nieuws/122267
https://www.versio.nl/forum/6152-directadmin-gehacked
https://gathering.tweakers.net/forum/list_messages/1761365
http://www.nu.nl/internet/4537434/nederlandse-websites-gehackt-rel-nederland-en-turkije.html
Reacties (11)
14-03-2017, 09:35 door
Briolet
De grotere vraag is natuurlijk of die hack afgelopen weekend pas gebeurd is, of dat men al maanden toegang tot de servers had.
14-03-2017, 09:38 door
Vixen
Door Briolet: De grotere vraag is natuurlijk of die hack afgelopen weekend pas gebeurd is, of dat men al maanden toegang tot de servers had.
Dat is inderdaad ook een goede vraag, ik hoop dat ze dat goed gaan onderzoeken, maar vooral ook dat ze open kaart gaan spelen en aan iedereen duidelijk zullen maken wat er gebeurt is.
1 ondernemer meldt dat het CMS Joomla betreft dat lek zou zijn en waar aanvallers gebruik van hebben gemaakt.
De aanvallers zouden via een Turks IP-adres hebben gewerkt.
De aanvallers zouden via een Turks IP-adres hebben gewerkt.
Ik zou ook niet meer prijsgeven over de hack, je moet potentiële hackers niet wijzer maken.
Het ligt redelijk voor de hand dat de booswicht allang toegang had, en gezien de politieke omstandigheden deze hack ineens veel waardevoller werd en is ingezet.
Alternatief is dat een boze hacker wild om zich heen is gaan hacken en deze een easy target was. Geen idee welke van de 2 erger is, maar het zou Versio goed doen als de eerlijk alle informatie delen, omdat klanten anders deze hoster gaan mijden.
Alternatief is dat een boze hacker wild om zich heen is gaan hacken en deze een easy target was. Geen idee welke van de 2 erger is, maar het zou Versio goed doen als de eerlijk alle informatie delen, omdat klanten anders deze hoster gaan mijden.
@ Starttopic Kaper
Mooie actie kuchkuch
Als je nou even de nette moeite had genomen het orginele eerder verschenen topic op security.nl te lezen en de geplaatste link naar hhet Tweakers.net artikel te volgen en ook goed door te lezen met aale 400 reacties die erop volgden
https://www.security.nl/posting/507251/Nationale+Pentest
https://tweakers.net/nieuws/122267/gebruikers-melden-defacement-van-websites-door-turkse-hackers.html
dan had je kunnen zien dat niet alleen versio gehackt was.
Het is dat ik er geen zin in heb.
Maar consequent in jouw actie-lijn was dan geweest om hier in jouw topic weer mijn nieuwe topic aan te kondigen dat dan zou gaan over die andere hosting bedrijven en websites die ook gehackt zijn.
Maar dat ga ik niet doen.
Wat ik wel ga doen is dit, weer verwijzen naar Tweakers waar een hele uitgebreide discussie is te vinden met veel meer informatie.
Onder andere deze tweaker verwijst naar een lijst van Alle gehackte websites.,
(niet te bezoeken via een proxy of Torbrowser)
Anders blijven we nieuwe forumpostings maken en elkaars topics kapen met aankondigingen van weer een nieuw gevonden provider.
Grapbontjas!
Proost,
:p
Als je nou even de nette moeite had genomen het orginele eerder verschenen topic op security.nl te lezen en de geplaatste link naar hhet Tweakers.net artikel te volgen en ook goed door te lezen met aale 400 reacties die erop volgden
https://www.security.nl/posting/507251/Nationale+Pentest
https://tweakers.net/nieuws/122267/gebruikers-melden-defacement-van-websites-door-turkse-hackers.html
dan had je kunnen zien dat niet alleen versio gehackt was.
Het is dat ik er geen zin in heb.
Maar consequent in jouw actie-lijn was dan geweest om hier in jouw topic weer mijn nieuwe topic aan te kondigen dat dan zou gaan over die andere hosting bedrijven en websites die ook gehackt zijn.
Maar dat ga ik niet doen.
Wat ik wel ga doen is dit, weer verwijzen naar Tweakers waar een hele uitgebreide discussie is te vinden met veel meer informatie.
Onder andere deze tweaker verwijst naar een lijst van Alle gehackte websites.,
(niet te bezoeken via een proxy of Torbrowser)
jerkitout
@Mopperman • 13 maart 2017 20:21
Hier is een lijst met alle gehackt (Nederlandse) domeinen.
http://zone-h.org/archive/filter=1/fulltext=1/domain=.nl
Het wordt geupdate door de hackers zelf ;)
@Mopperman • 13 maart 2017 20:21
Hier is een lijst met alle gehackt (Nederlandse) domeinen.
http://zone-h.org/archive/filter=1/fulltext=1/domain=.nl
Het wordt geupdate door de hackers zelf ;)
Anders blijven we nieuwe forumpostings maken en elkaars topics kapen met aankondigingen van weer een nieuw gevonden provider.
Grapbontjas!
Proost,
:p
Door Anoniem: Geen idee welke van de 2 erger is, maar het zou Versio goed doen als de eerlijk alle informatie delen, omdat klanten anders deze hoster gaan mijden.
Of Joomla gaan mijden...
@ 15:03 , Anoniem
Ik wist dat er mogelijkerwijs andere websites gehackt waren. Ik ben zelf alleen bezig met versio, omdat ik daar mijn website heb, en omdat Versio zelf geen duidelijke aankondiging nog heeft gedaan. Ik wilde graag mijn vrienden op Security.NL waarschuwen, omdat ik het ook fijn zou vinden als zij hetzelfde hadden gedaan om mij te informeren. Ik ben er dan ook dieper op ingegaan met mijn topic, daar heb ik ook moeite voor gedaan.
Maar uiteraard is er wel iemand die ik er mee erger, want ja, het is heel moeilijk om dat ene extra topic te negeren.En uiteraard is het ingewikkeld om de moeite te nemen geen
Wist je dat het niet verplicht is om topics te lezen?
Ik wist dat er mogelijkerwijs andere websites gehackt waren. Ik ben zelf alleen bezig met versio, omdat ik daar mijn website heb, en omdat Versio zelf geen duidelijke aankondiging nog heeft gedaan. Ik wilde graag mijn vrienden op Security.NL waarschuwen, omdat ik het ook fijn zou vinden als zij hetzelfde hadden gedaan om mij te informeren. Ik ben er dan ook dieper op ingegaan met mijn topic, daar heb ik ook moeite voor gedaan.
Maar uiteraard is er wel iemand die ik er mee erger, want ja, het is heel moeilijk om dat ene extra topic te negeren.En uiteraard is het ingewikkeld om de moeite te nemen geen
code blocks
te gebruiken voor gewone tekst ;-)Wist je dat het niet verplicht is om topics te lezen?
Door Vixen: @ 15:03 , Anoniem
Ik wist dat er mogelijkerwijs andere websites gehackt waren. Ik ben zelf alleen bezig met versio, omdat ik daar mijn website heb, en omdat Versio zelf geen duidelijke aankondiging nog heeft gedaan. Ik wilde graag mijn vrienden op Security.NL waarschuwen, omdat ik het ook fijn zou vinden als zij hetzelfde hadden gedaan om mij te informeren. Ik ben er dan ook dieper op ingegaan met mijn topic, daar heb ik ook moeite voor gedaan.
Maar uiteraard is er wel iemand die ik er mee erger, want ja, het is heel moeilijk om dat ene extra topic te negeren.En uiteraard is het ingewikkeld om de moeite te nemen geen
Wist je dat het niet verplicht is om topics te lezen?
Ja, ik weet dat het nietniet verplicht is om..Ik wist dat er mogelijkerwijs andere websites gehackt waren. Ik ben zelf alleen bezig met versio, omdat ik daar mijn website heb, en omdat Versio zelf geen duidelijke aankondiging nog heeft gedaan. Ik wilde graag mijn vrienden op Security.NL waarschuwen, omdat ik het ook fijn zou vinden als zij hetzelfde hadden gedaan om mij te informeren. Ik ben er dan ook dieper op ingegaan met mijn topic, daar heb ik ook moeite voor gedaan.
Maar uiteraard is er wel iemand die ik er mee erger, want ja, het is heel moeilijk om dat ene extra topic te negeren.En uiteraard is het ingewikkeld om de moeite te nemen geen
code blocks
te gebruiken voor gewone tekst ;-)Wist je dat het niet verplicht is om topics te lezen?
Het is goed dat er aandacht is voor security.
Om het in goede banen te leiden heeft men er iets ultiems slims voor bedacht.
Simpel maar kennelijk nog niet doeltreffend genoeg.
Daarom nog even een extra (niet geërgerd bijdragende herhaling) voor de goede sfeer
en het juiste begrip rondom gebruiksinzichten ;)
https://www.security.nl/rules
Om de kwaliteit te bewaken en de website en het forum voor iedereen een prettige omgeving te maken zijn er huisregels opgesteld waar iedere bezoeker van Security.NL zich aan dient te houden. In het algemeen verwachten wij dat iedere bezoeker zijn of haar gezond verstand gebruikt en respect toont voor anderen. Door het plaatsen van een reactie of forumtopic op Security.NL ga je automatisch akkoord met de huisregels.
....
Reacties en Forum
• Controleer eerst of er over jouw vraag of opmerking al een topic is aangemaakt
Om de kwaliteit te bewaken en de website en het forum voor iedereen een prettige omgeving te maken zijn er huisregels opgesteld waar iedere bezoeker van Security.NL zich aan dient te houden. In het algemeen verwachten wij dat iedere bezoeker zijn of haar gezond verstand gebruikt en respect toont voor anderen. Door het plaatsen van een reactie of forumtopic op Security.NL ga je automatisch akkoord met de huisregels.
....
Reacties en Forum
• Controleer eerst of er over jouw vraag of opmerking al een topic is aangemaakt
Maar ja, inderdaad.
Als je alleen koppen leest dan werkt deze regel niet
• Formuleer een duidelijke titel bij je topic
Maar die koppen regel is niet helemaal van toepassing hier, want
https://www.security.nl/posting/507251/Nationale+Pentest
Door Vixen:
Nee. Het was de hostingprovider die gehacked was. Individuele websites hadden er niks mee te maken.
Zie mijn topic voor meer gerelateerde info:
https://www.security.nl/posting/507311/Webhosting+Versio_nl+-+gehacked
Door Anoniem:
Eerste reactie... Slecht onderhouden websites...... Zal wel weer iets zijn van WordPress, Drupal, Joomla.
Ofwel de grote gevaren van het Internet.....
Eerste reactie... Slecht onderhouden websites...... Zal wel weer iets zijn van WordPress, Drupal, Joomla.
Ofwel de grote gevaren van het Internet.....
Nee. Het was de hostingprovider die gehacked was. Individuele websites hadden er niks mee te maken.
Zie mijn topic voor meer gerelateerde info:
https://www.security.nl/posting/507311/Webhosting+Versio_nl+-+gehacked
En dan nog het gebruik van miniem beschikbare opmaakcodes.
Op security.nl hebben we niet zoveel keuze uit SOORTEN OPMAAK STIJLEN
Maar met de riemen die je hebt kan je creatief roeien en daarom bedacht ik een tijd geleden dat het aantrekkelijker is om een tekst of delen daarvan in het minder zware code weer te geven
Als alternatief voor veel zwaardere ANDERE VORMEN van accentueren.Iets dat ook al een tijdje enthousiast navolging heeft door andere reageerders hier.
Gebruik van code is soms wel opvallend maar minder zwaar dan vet en CAPS LOCK gebruik, vooral dat CAPS gebruik vind ik BIJVOORBEELD weer heel irritant.
Een hele tekst in 1 soort stijl mag en kan je opvatten als een voetnoot tekst, geheel cursief had ook gekund, pas ik ook al een tijd af en toe toe, maar geheel in code is dan een mooie bescheidener balans tussen geheel cursief of met veel vet en caps lock gebruik.
In de huisregels staat nergens dat dat niet mag.
In de huisregels staan wel andere zaken waarop ruim gemodereerd wordt als het om anonieme bijdragen gaat.
Komt het erdoor dan mogen we ervanuit gaan dat het gewogen en beoordeeld is goedgekeurd.
Verder moet je de reactie meer in de verbazingbijeengebrokenklompbijdekoekenbakkerhoek dan in de ergernishoek zoeken.
Veel plezier met je topic en succes met het terugzetten van je bestanden op je webruimte en hopelijk ben ik in deze reactie 'geen stijlen' vergeten.
Zoals je ziet is het gebruik van alle stijlen doorelkaar iets dat je met beleid moet doen omdat het anders best een beetje wild wordt om te lezen.
Maar dat had ik dus al in achting genomen bij de eerdere posting.
Niet aangestipt maar wellicht leuk voor jou om mee te nemen.
Zou het alleen shared hosting domeinen betreffen?
Vast!
"Versio : goed in multiple versie hosting van uw website"
Door Anoniem:
Of Joomla gaan mijden...
Door Anoniem: Geen idee welke van de 2 erger is, maar het zou Versio goed doen als de eerlijk alle informatie delen, omdat klanten anders deze hoster gaan mijden.
Of Joomla gaan mijden...
Eehm. niet heel veel verstand van, maar als Versio zelf aangeeft dat twee van hun servers gehacked zijn, dan is het voor mij niet meer relevant of dat via Joomla, uit Turkije, of langs je moeder is gegaan.
is het via een 0day door Joomja, dan ok, daar kunnen ze weinig aan doen, is het via een bekende Joomla Exploit, dan kunnen ze daar wel iets aan doen, en hebben ze dat niet gedaan.
Webcare is meer dan achteraf zeggen dat het wel mee valt.
14-03-2017, 16:31 door
Vixen
@ 16:18 , Anoniem
Excuses voor whatever ik allemaal verkeerd zou hebben gedaan, ik snap je reactie van 16:18 niet helemaal...
Kunnen we nu on-topic verder en deze discussie stoppen?
PS. Deze thread, was goed bedoeld hoor, ik heb echt geen kwade intenties.
Excuses voor whatever ik allemaal verkeerd zou hebben gedaan, ik snap je reactie van 16:18 niet helemaal...
Kunnen we nu on-topic verder en deze discussie stoppen?
PS. Deze thread, was goed bedoeld hoor, ik heb echt geen kwade intenties.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
