Persmededeling - Cyberterroristen slaan toe

Onbekenden hebben op woensdag 09/08/06 rond 11u30 voor de tweede maal op een week tijd één van de servers van IWO Group bvba uit Aarschot gekraakt en kwaadwillige boodschappen achtergelaten.
Eerder deze week, op 03/08/2006 omstreeks 18u30, braken hackers in op een server waarop verschillende klanten hun website plaatsten aan de buitenwereld. De hackers vervingen alle startpagina’s van de klanten die op die server gehost werden door een aggresieve pagina. Een duplicaat hiervan is ter beschikking gesteld op http://www.iwogroup.be/hack1.htm
Na een snelle interventie werden echter alle websites terug actief gezet zodat de schade beperkt bleef. Echter gisteren braken opnieuw ongewenste bezoekers in op dezelfde server en lieten een nog aggresievere boodschap achter. Opnieuw werden de startpagina’s van de websites van alle klanten vervangen door een boodschap die terug te vinden is op http://www.iwogroup.be/hack2.htm
Het gaat hier duidelijk om dezelfde groepering van activisten.
Internet wordt steeds meer uitgebuit door deze criminaliteit en heeft ernstige gevolgen voor bedrijven en eindgebruikers. Niet alleen worden deze op een verkeerd spoor gebracht, en brengt dit schade aan het ontwikkelwerk van de websites, maar bezoekers worden ingelicht van kwaadaardige boodschappen die de reputatie van de website niet ten goede kunnen komen.
IWO Group bvba heeft de problemen spoedig kunnen oplossen door het terug plaatsen van recente backups en werkt proactief met professionele consultants om het serverpark zo veilig mogelijk te maken.
Echter is geen enkele beveiliging sterk genoeg en is men nooit goed genoeg bewapend tegen deze vorm van internetcriminaliteit.
Er is reeds klacht neergelegd bij de FCCU - Federale Computer Crime Unit, een orgaan van de federale politie die speciaal opgericht is om dergerlijke criminaliteit te onderzoeken en op te sporen.

Verplaatst naar het juiste forum....

0day? iets bekends? OS related? PHP script bug?

Twee keer de zelfde server gehackt. Is dat een ezel die zich aan de zelfde steen stoot? Sorry maar dat is wel heel apart..

Sorry, maar dit is een waarschuwing van niets.

Hoe moeten wij hier nu iets mee aanvangen?

- wat is het OS?
- welke versies software?
- was de server tussentijds opnieuw geinstalleerd?
- via welke weg zijn de binnen gekomen?
Zo kan ik er nog wel een stuk of wat noemen.

Die tweede is wel redelijk heftig. Met name die foto van het omgekomen kind. Oorlog is altijd klote met veel onschuldigen tussen de doden. Maar die vallen aan beide kanten. Er zullen genoeg foto's zijn van slachtoffers van de fundamentalisten.

Sorry, maar dit is een waarschuwing van niets.

Hoe moeten wij hier nu iets mee aanvangen?

- wat is het OS?
- welke versies software?
- was de server tussentijds opnieuw geinstalleerd?
- via welke weg zijn de binnen gekomen?
Zo kan ik er nog wel een stuk of wat noemen.

Gokje: OS is irrelevant, even als de software versies (maar toch goed dat je die vragen stelt ;)). Crackers zullen binnengekomen zijn via een XSS kwetsbaarheid, hebben 'ccshell' of 'r3v3ng4ns Deface tool' aangeroepen en hebben hiermee (vanwege onjuiste directory/bestands rechten *of* PHP met te veel rechten) alle websites kunnen doorbrowsen(*) en defacen.

Helaas zie je crackers steeds vaker op niet goed beveiligde systemen dan hackers via (bijvoorbeeld) een nieuwe Sendmail bug... Er wordt gedefaced om 1 reden: een boodschap duidelijk maken (vaak Islam en/of oorlog gerelateerd). Vindt er geen deface plaats, dan worden XSS kwetsbaarheden gebruikt om te spammen. In dit laatste is een goede samenwerking merkbaar tussen Turkse crackers en Braziliaanse spammers.

Dus zelfs als je het niet meteen door hebt kan het zijn dat je server op dit moment ernstig misbruikt wordt.

(*) Waarmee alle data van alle websites compromised is, inclusief alle prive gegevens.

Gokje: OS is irrelevant, even als de software versies (maar toch goed dat je die vragen stelt ;)). Crackers zullen binnengekomen zijn via een XSS kwetsbaarheid, hebben 'ccshell' of 'r3v3ng4ns Deface tool' aangeroepen en hebben hiermee (vanwege onjuiste directory/bestands rechten *of* PHP met te veel rechten) alle websites kunnen doorbrowsen(*) en defacen.

In sommige versies van een aantal stukken software zitten gaten zo groot dat de Titanic er bij wijze van spreken nog rondjes in kan draaien.

In sommige versies van een aantal stukken software zitten gaten zo groot dat de Titanic er bij wijze van spreken nog rondjes in kan draaien.
LOL!! :D
C&C... Godzijdank is het bijna 01:00 uur en zit ik niet meer met een kop koffie achter mn PC :)

LOL!! :D
C&C... Godzijdank is het bijna 01:00 uur en zit ik niet meer met een kop koffie achter mn PC :)
???? ;)

Storingsdienst?

???? ;)

Storingsdienst?

C&C, een term gebruikt bij veel anti-spammers (en andere Usenet addicts).

http://www.spamfaq.net/terminology.shtml#c_and_c
What does "C&C" mean?
Coffee & Cats. It's a warning that you should remove from your vicinity all tasty beverages and furry felines, as the content of the message may cause you to convulse with laughter in a manner which will scare furry felines and can result in spilling of a tasty beverage over your keyboard (or alternatively choking on your beverage if you are drinking it when you start laughing).
En nee, gelukkig geen storingsdienst (gewoon moeite met slapen :( )...

LOL!! :D
C&C... Godzijdank is het bijna 01:00 uur en zit ik niet meer met een kop koffie achter mn PC :)
Jij veronderstel de oorzaak te weten zonder dat jij enige achtergrond informatie hebt.. De meesten moeten eerst e.e.a. grondig onderzoeken. Vind ik verre van slim.
Of je moet zelf de cracker zijn geweest :)

Nu maak jij jezelf totaal geen zorgen, maar wat als zou blijken dat zij dezelfde versies draaien en dezelfde settings hebben als jullie?
Dan zou je vast ook wat minder goed slapen..

Waar ik vandaan kom wordt ieder incident grondig onderzocht, zelfs als op het eerste gezicht lijkt dat de oorzaak zo voor de hand liggend is dat nader onderzoek niet nodig is.

Waarom is een deface zoveel drama? Gebeurd dit niet op zeer regelmatige basis bij diverse providers? Als je complete bak nou gehacked zou zijn ok, maar een deface..

Als die hacker alle sites kan defacen is wel degelijk de hele bak gehacked. En mijns inziens is dat de schuld van IWO Group bvba uit Aarschot zelf.

http://isc.sans.org/diary.php?storyid=1482
http://isc.sans.org/diary.php?storyid=1483

+/- 2 weken geleden last van gehad. Zelf een nieuwe kernel gebouwd...

Binnen een uurtje hadden we alles weer zoals het hoorde door de vernagelde bestanden terug te zetten met rsync vanaf een externe backup server.

Als die hacker alle sites kan defacen is wel degelijk de hele bak gehacked. En mijns inziens is dat de schuld van IWO Group bvba uit Aarschot zelf.

Je stelt het wel erg eenvoudig voor.

Toch schort er iets flink aan je beveiliging als alle websites kunnen worden gedefaced.

Weinig mensen hebben maar van het fenomeen "chroot" of "jail" gehoort lijkt het.

Je stelt het wel erg eenvoudig voor.
Omdat het heel eenvoudig is. Ik vind het bijzonder knap dat je als hostingbedrijf zo weinig aan je beveiliging doet dat je hele server gehackt kan worden.

Weinig mensen hebben maar van het fenomeen "chroot" of "jail" gehoort lijkt het.
Wil dat een beetje samenwerken met een control panel als DA?

Wil dat een beetje samenwerken met een control panel als DA?Natuurlijk, als je iets als mod_ruid pakt waardoor alles onder de eigen gebruikt draait, ben je al een stuk verder.

Vervolgens zet je de umask op je systeem dusdanig dat men al zijn files als met de rechten 600 aanmaakt en alle directories met de rechten 700.

Je kan er dan nog eens rsbac overheen gieten en je bent helemaal klaar :)

Natuurlijk, als je iets als mod_ruid pakt waardoor alles onder de eigen gebruikt draait, ben je al een stuk verder.

Vervolgens zet je de umask op je systeem dusdanig dat men al zijn files als met de rechten 600 aanmaakt en alle directories met de rechten 700.

Je kan er dan nog eens rsbac overheen gieten en je bent helemaal klaar :)

ik begrijp dat we hier een stukje uitleg van krijgen in het scripting en beveiligings topic wat gister gestart is?

ik begrijp dat we hier een stukje uitleg van krijgen in het scripting en beveiligings topic wat gister gestart is?Ghehe, wat een stiekeme vraag is dat zeg ;)

Ik zal even kijken of ik daar tijd voor heb.

Wido organiseert wel een seminar in Redbus ofzo, zoudie al eens eerder doen ;)

Grapje Wido :D

Wido organiseert wel een seminar in Redbus ofzo, zoudie al eens eerder doen ;)

Grapje Wido :DGelukkig kan ik wat hebben ;)

Jij veronderstel de oorzaak te weten zonder dat jij enige achtergrond informatie hebt.. De meesten moeten eerst e.e.a. grondig onderzoeken. Vind ik verre van slim.
Of je moet zelf de cracker zijn geweest :)

Nu maak jij jezelf totaal geen zorgen, maar wat als zou blijken dat zij dezelfde versies draaien en dezelfde settings hebben als jullie?
Dan zou je vast ook wat minder goed slapen..

Waar ik vandaan kom wordt ieder incident grondig onderzocht, zelfs als op het eerste gezicht lijkt dat de oorzaak zo voor de hand liggend is dat nader onderzoek niet nodig is.
Mijn "LOL" was vanwege je metafoor met de Titanic, niet dat ik je aan het uitlachen was o.i.d. Hence dat wat ik zei over hackers niet zo vaak via een Sendmail bug (bijvoorbeeld) binnenkomen als crackers via XSS sploits.

Uiteraard moet ieder incident grondig onderzocht worden.

Kijkt u eens: http://www.webhostingtalk.nl/scripting-techniek-beveiliging/101032-server-beveiliging-hardening.html

Dit zijn Turkse hackers, het text is turks in het tweede html.

Kijkt u eens: http://www.webhostingtalk.nl/scripting-techniek-beveiliging/101032-server-beveiliging-hardening.html

:) ff gluren

tx

ik ben ook door deze hack getroffen mijn webhost (topservers) is ook gehackt door deze hacker en helaas had deze webhost geen backups.

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)
Zullen ze dan leuk vinden dat jij op dit forum loopt te verkondigen dat je ze kent...

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)


Dan zou je er heel goed aan doen deze namen eens door te geven. Als jij dergelijke lui liever wenst te beschermen, hebben wij geen behoefte aan jou als gebruiker van Webhostingtalk.... Hoor het wel via PM wat je beslissing is :)

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)
Stoer dat je ze kent, maar wat heb je er aan? Zo te zien ben je zelf ook net afgestudeerd van de basis school :P

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)
Stoer! Dat maakt je nu dus medeplichtig aan de schade die door TS wordt geleden, tenzij je de namen doorspeelt.

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)Adresgegevens van die lui kan je PM'en...........

Gewoon je server de volgende keer eenbeetje goed beveiligen of een cursus linux voor beginners nemen. Ik vind het zo stom dat mensen tegenwoordig die iets van computers afweten een hosting bedrijf gaan beginnen, terwijl ze weinig kennis hebben van de diensten die ze daadwerkelijk aanbieden.

P.s: ik ken de mensen die dit hebben gedaan en het zijn geen turken. :)


Beste,

Ik neem webhost diensten van topservers af. ik ben zelf niet topservers. (gelukkig).

Adresgegevens van die lui kan je PM'en...........
Mwha, anders komen we wel achter zijn gegevens met wat speurwerk... wie doet er mee? ;)

Afgezien van het feit dat ik daden van crackers zeer verwerpelijk vind, vind ik het ook zeer verwerpelijk om personen om je heen te verlinken. Dat medeplichtigheid is onzin. Dat je vermoedelijk weet om wie het gaat, wil nog niet zegen dat je dan meteen verantwoordelijk bent voor de daden van die personen. Daarnaast had de bewuste persoon ook zijn mond gewoon moeten houden, dan was de huidige situatie voorkomen.

Verder moeten de verantwoordelijken natuurlijk wel gepakt worden, liever vandaag dan morgen!

Afgezien van het feit dat ik daden van crackers zeer verwerpelijk vind, vind ik het ook zeer verwerpelijk om personen om je heen te verlinken.

Daar ben ik het eigenlijk niet met je eens. Er is nog altijd de grens van het fatsoen.

Afgezien van het civiele deel (schade) is er ook sprake van een strafrechtelijk deel. Computercriminaliteit, georganiseerde misdaag, terrorisme, laat een jurist er maar een etiketje op plakken.

Het zijn gewoon crimineeltjes. Misschien vinden jullie dat verlinken, maar wat mij betreft is dat geen enkel probleem.

Jammer dat het in Nederland niet meer mag, maar ik ben voor invoering van lijfstraffen. Vingertjes breken lijkt mij voor dit soort persoontjes een prima methode, maandje in de bak worden ze toch niet meer warm of koud van.

Jullie geven hem precies de aandacht die hij wilde hebben..
Psygologie heet dat:rolleyes:

Jij geeft hem de aandacht door dit topic te kicken! Stop daar nu eens mee.