WatSnel hack?

Heel lijstje:
https://defacer.id/archive/attacker/kyu_kazami

Kijk in de logs hoe er toegang is verkregen;
Zet een backup terug (zowel front-end als back-end);
Verander alle gerelateerde wachtwoorden;
--> Zorg ervoor dat je alle patches installeert (os, applicaties en frameworks);
Controleer of je niet te veel open hebt staan;
Controleer ook je dns-gegevens.

Ah, weer een deface... Echt een hack wil ik dat niet meer noemen, gewoon een slechte beveiliging bij de provider waar de site gehost wordt.

Markimoo schreef op zaterdag 16 december 2017 @ 13:47:
Dus het probleem zit bij Watsnel waar de beveiliging slecht is?

Daar lijkt het in dit geval wel op. Staat de website in de lijst waar Ido naar verwees, of draaide hij op 89.255.8.31?

ido in "WatSnel hack?"

Dan is het tijd om een andere hostingpartij te zoeken. Eentje die z'n zaakjes wél op orde heeft.

quote: http://89.255.8.31

uid=0(root) gid=0(root) groups=0(root)

Ofwel, de hele server is gehackt. Dat gebeurt alleen als de hostingboer verzaakt z'n machines te updaten. Of de site van je vriendin dan wel-of-niet up-to-date maakt dan niets meer uit.

Markimoo schreef op zaterdag 16 december 2017 @ 13:47:
[...]

Dus het probleem zit bij Watsnel waar de beveiliging slecht is?

Kan dat op basis van deze info natuurlijk niet met zekerheid zeggen, maar negen van de tien keer is de oorzaak een outdated CMS.

Markimoo schreef op zaterdag 16 december 2017 @ 13:52:
Draaide inderdaad op het bovenstaande IP adres en ik ga zeker het advies geven om over te stappen. Enig advies vanuit jullie kant?

In ieder geval een provider die containerisatie gebruikt voor het scheiden van klanten. Zowel TransIP als Antagonist noemen dat op hun site.

Ook daarmee moet de hoster z'n zaakjes op orde houden (updates!), maar dat geeft in ieder geval aan dat ze er wat moeite in (lijken) te steken. Één platte webserver kan echt niet meer in 2017.

Markimoo schreef op zaterdag 16 december 2017 @ 13:47:
Dus het probleem zit bij Watsnel waar de beveiliging slecht is?

Als de site enkel defaced is wel ja.

@Compizfox een defaced website kan bijvoorbeeld ook door een brak beveiligde cPanel of Direct Admin.

[ Voor 20% gewijzigd door CH4OS op 16-12-2017 17:09 ]

Markimoo schreef op zaterdag 16 december 2017 @ 17:08:
Maar waarom is er dan wel op het controlepaneel ingelogd - ookal is daar verder geen wachtwoord veranderd - of is dat de enige manier om te defacen?

Het admin panel is dan of met brute force gelukt het password te raden, of er is een lek gebruikt in dat admin panel, of het admin panel is door de beheerder slecht beveiligd. Vaak zie je dat bij kleine, jonge hoster bedrijfjes die scholieren runnen.

CH4OS schreef op zaterdag 16 december 2017 @ 17:07:
[...]
Als de site enkel defaced is wel ja.

@Compizfox een defaced website kan bijvoorbeeld ook door een brak beveiligde cPanel of Direct Admin.

Er zijn zo ongelofeloos veel methoden om een website te defacen.
Het hoeft echt niet aan de hoster te liggen, ookal is er op het beheerpaneel of FTP ingelogd.

Wat veel mensen vergeten, is dat wachtwoorden vaak elders buitgemaakt worden.
B.v. een database breach op een forum of socialmedia.
Daarvan worden de wachtwoorden dan weer er uit geplukt. Bijvoorbeeld met een rainbowtable of gewoon bruteforce als de crypto niet up-to-scratch is zoals het nog altijd teveel gebruikte MD5

Lullige is dat veel mensen dezeflde gebruikersnaam/wachtwoord combinatie op meerdere plaatsen hergebruiken. Het is echt ongelofelijk veel voorkomend dat mensen dat doet terwijl het niet slim is om te doen.
Dus als je password elders is achterhaald, dan is er ook meteen toegang tot (bijvoorbeeld) je facebook profiel of je e-mail. Of in dit geval de beheer interface van je website.
Dus het kan zomaar dat er een hele rits websites op 1 server gedefaced worden, puur omdat mensen hun wachtwoorden hergebruiken. Ik zag op dat lijstje een rijtje met sites, maar dat zijn er zo weinig dat ik er niet in geloof dat de hele server compromised is geweest. Meestal staan er honderden websites op één server. Dit zijn slechts tientallen.

Markimoo schreef op zaterdag 16 december 2017 @ 17:12:
Is Watsnel een scholieren bedrijf? :eyes:

Joh, er zijn zoveel bedrijven die gestart zijn door een groepje scholieren vanaf een zolderkamer... Daar hoef je niet raar van op te kijken.
Of WatSnel daarbij behoort, geen idee, maar als het zo was, lekker boeie.
Google is begonnen in de schuur van één van de oprichters. Facebook in de studentenwoning van Mr Zuckerberg, en zo zijn er nog stapels voorbeelden waarin zoiets enorm goed gaat.
Het ligt niet aan de levensfase of lokatie, maar aan de kwaliteit van de mensen die de onderneming starten.


Edit:
Ik zou in ieder geval eens na gaan of het wachtwoord in combinatie met email adres of gebruikersnaam op meerdere plekken werd gebruikt.
En haal het email adres en/of gebruikersnaam eens door https://haveibeenpwned.com/
Daar kan je, in ieder geval van de grote bekende breaches, zien of jouw gebruikersdetails erbij waren.
Op basis daar van kan je dan weer actie ondernemen om te zorgen dat je je wachtwoorden overal verandert.

Edit2:
Hell, deze website, tweakers.net, is begonnen bij Mr Femme Taken thuis, gehost bij een reguliere webhoster.
Dat is het inmiddels al lang niet meer natuurlijk, maar zo zie je maar hoe groot en succesvol een scholierenprojectje kan worden.

[ Voor 31% gewijzigd door McKaamos op 16-12-2017 17:39 ]