Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Website offline gehaald i.v.m. phishing

Pagina: 1
Acties:

donderdag 18 december 2008 15:32

Acties:
  • the Runningman
  • Registratie: Oktober 2008
  • Laatst online: 12-11 08:51

the Runningman

Topicstarter
De weblog van een vriend van mij is offline gehaald in verband met Phising. Volgens zijn provider zijn mensen naar een bepaalde locatie op zijn website 'gelokt' om de welbekende gegevens af te troggelen.

Nou heeft zijn provider zonder verdere aankondiging 8 december de site van het internet gehaald en daarna een mail gestuurd met de mededeling dat dit gedaan is. De website is echter niet 'offline' gehaald, maar gewoon in zijn geheel verwijderd. Daarmee is hij dus ook alle logs etc kwijt.

Dit terwijl in de mail heel duidelijk wordt verteld WAAR de mensen heen gelokt worden, dus het programma wat er dan op die server staat had ook alleen verwijderd kunnen worden.

Mijn vraag is, MAG dit zomaar, een complete site verwijderen door je hostingprovider en wat kun je hier aan doen om dit te voorkomen. Is het dan zo dat zijn website 'gekraakt' is en gebeurd dat vaker? Of zal het zo kunnen zijn dat 'ze' (de boze stoute mannen) via zijn computer aan de inlognaam en ww van zijn site zijn gekomen.

Als laatste, wat kun je hier tegen doen? Hoe kun je zelf uitvinden dat zoiets gebeurd is op je website en hoe kun je het voorkomen.

donderdag 18 december 2008 15:40

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 30-11 12:12

DiedX

Check hiervoor de algemene voorwaarden van je provider. Zelf was ik minder rigoreus te werk gegaan, maar wie ben ik ;)

Inzake de exploit zelf zijn er 3 mogelijkheden:
  • Je vriend heeft het doelbewust gedaan
  • Niet up-to-date software. Patchen van Joomla, Mambo, Wordpress and so on
  • Te makkelijk wachtwoord.
Vooral in het tweede en derde geval: eigen schuld, dikke bult. Helaas werkt de provider nu niet bepaald mee om dit te analyseren. Een .htaccess op de goede plek, of een wachtwoord veranderen was een stuk subtieler geweest.

Ik neem aan dat je vriend wel een backup heeft?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 18 december 2008 17:09

Acties:
  • the Runningman
  • Registratie: Oktober 2008
  • Laatst online: 12-11 08:51

the Runningman

Topicstarter
Euhm, nou, dat is nou juist zo irritant, die heeft hij dus niet. Beetje dom inderdaad, maar goed. Ik moet zeggen dat ik bij mezelf dat ook niet heb, dus is wel even een goede waarschuwing... 8)7

donderdag 18 december 2008 17:12

Acties:
  • HenkEisDS
  • Registratie: Maart 2004
  • Laatst online: 17:57

HenkEisDS

Ik heb ongeveer hetzelfde meegemaakt. Alleen heeft mijn hoster toen alle rechten op mappen en bestanden op 000 gezet. Dat is best netjes dus. Wat ik minder netjes vind is dat ik toen niet de mogelijkheid had om de corrupte bestanden te verwijderen. De eigenaar hiervan was de dader. Dit waren ze even vergeten recht te zetten.

donderdag 18 december 2008 17:20

Acties:
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Sja, websites worden wel eens gehackt.
Vooral lekke PHP scripts waardoor je een script of SQL query kan injecteren of zelfs een cross site scripting attack kan doen zijn vaak dader.
Zeker als je erg bekende software gebruikt (Joomla, Mambo, PHPBB, Wordpress, Drupal etc) ben je al snel doelwit. Die software wordt steeds doorontwikkeld en er zijn regelmatig updates, die je ook echt moet doen gezien er steeds weer nieuwe hacks worden gevonden. Oude versie => vragen om je site gehacked te krijgen.

Anyway, tis niet netjes dat je hele site ge-delete is. Dat had subtieler gekund met een .htaccess, filerights aanpassing of uitcommenten van de virtualhost.

Verder natuurlijk altijd backups maken, en je kan altijd vragen of je webhost toevallig een backup heeft.

Iemand een Tina2 in de aanbieding?

zaterdag 20 december 2008 11:51

Acties:
  • the Runningman
  • Registratie: Oktober 2008
  • Laatst online: 12-11 08:51

the Runningman

Topicstarter
Ja, het betrof dus wel een Joomla account.

Persoonlijk ben ik spontaan erg blij dat bij mij alles loopt via ExpressionEngine ;)

Bedankt voor alle toelichting, ben weer wat wijzer geworden.

zaterdag 20 december 2008 11:56

Acties:
  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

Alleen de betreffende link weghalen werkt niet omdat het lek er dan nog steeds is en het teruggezet kan worden. Alleen zijn er wel andere oplossing te bedenken dan alles weggooien, bijvoorbeeld de vhost uitschakelen tot het opgelost is.
HenkEisDS schreef op donderdag 18 december 2008 @ 17:12:
Ik heb ongeveer hetzelfde meegemaakt. Alleen heeft mijn hoster toen alle rechten op mappen en bestanden op 000 gezet. Dat is best netjes dus. Wat ik minder netjes vind is dat ik toen niet de mogelijkheid had om de corrupte bestanden te verwijderen. De eigenaar hiervan was de dader. Dit waren ze even vergeten recht te zetten.
De eigenaar hiervan was waarschijnlijk www-data. Ze kunnen er dus wel afgehaald worden, maar alleen via een script. Zo zijn ze er ook opgezet.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq