Hoi allemaal

Vandaag werden wij geconfronteerd met het volgende bericht



Beste Klant,

Er is zojuist door een van onze medewerkers overlast geconstateerd van een
script of applicatie in
<adres van de website + het bestand> op uw hostingpakket.
Vanuit uw hostingpakket is een poging gedaan om de server te hacken (gericht
tegen 1 of meerdere van onze overige klanten), mogelijk om passwords te
achterhalen en/of de machine offline te krijgen. Zoals u kunt terugvinden in
onze algemene voorwaarden, zijn deze zaken expliciet verboden.

Ons onderzoek wijst uit dat de overlast waarschijnlijk niet door uzelf is
veroorzaakt, maar er sprake is van een veiligheidslek op uw website, die
willekeurige gebruikers toegang geeft tot uw webruimte en/of inlogaccounts.

Om de dienstverlening aan onze overige klanten te kunnen blijven garanderen,
zijn een aantal bestanden verplaatst naar uw /private map.

We verzoeken u vriendelijk na te gaan hoe dit heeft kunnen ontstaan en de
overlast veroorzakende content in deze vorm niet meer online te plaatsen.
Wanneer anders blijkt, en uw website opnieuw voor problemen zorgt, zullen
wij genoodzaakt zijn onze dienstverlening wederom te onderbreken ten behoeve
van onze clienten. Ziet u deze E-Mail dan ook als 'gele' kaart, waarbij we u
met klem de ernst van de situatie op het hart drukken.

Reacties op deze E-Mail kunt u *uitsluitend* tijdens onze openingstijden aan
onze helpdesk doorgeven via het onderstaande URL.

Met vriendelijke groet,
Hosting2GO Helpdesk


Uiteindelijk blijkt het om een file te gaan die door plesk(het controlpanel van de provider) in een subdirectory is geplaatst. Nu is mijn vraag als volgt. Mag een provider zonder tussenkomst van schriftelijke toestemming van de klant of een overheidsinstantie zoals justitie zomaar met bestanden gaan rommelen? Kunnen zij alleen al op basis van hetgeen zij zelf in hun voorwaarden zetten bestanden gaan verplaatsen? De schade is nu als volgt. Diversen mappen van het CMS Joomla (laatse versie) zijn verplaatst en de logica is nu niet meer te achterhalen met als gevolg een downtime van een aantal dagen. Deze website zal dus door het toedoen van de provider helemaal opnieuw opgebouwd moeten worden. Het lijkt mij dat provider nu niet meer in zijn recht staat. Ze hadden eerst contact moeten zoeken met de eigenaar van de website die vervolgens schriftelijk toestemming geeft tot het wijzigen van de data.

Ik hoor graag jullie mening over dit verhaal. Waar kan ik met deze klacht naartoe?


Alvast bedankt voor de tips.

Groeten

Als de provider onomstotelijk kan bewijzen dat uw website ernstige hinder veroorzaakt voor andere klanten dan kan deze actie ondernemen. Veel providers doen dit, het is daarom ook een redelijk gebruikelijke procedure. Persoonlijk heb ik nog nooit gehoord van het fysiek verplaatsen van bestanden naar een andere map op het account van een klant, zonder dat hier vooraf over is gesproken met de klant.

Meest gebruikelijk is het blokkeren van het account en direct contact opnemen met de klant (in ons geval doen we dit telefonisch). De klant kan dan onder toezicht van de provider deze problemen gaan verhelpen. Denk aan het in de gaten houden van de server, zorgen dat de problemen niet uit de spuigaten lopen terwijl de klant de problemen probeert te verhelpen.

Mijn advies zou zijn: Ga in gesprek met je provider, leg de situatie uit (mocht je dat nog niet gedaan hebben) en vraag ze om een recente back-up van uw website terug te plaatsen. Een degelijke provider zal deze vast en zeker nog wel ergens op een externe server opgeslagen hebben. Laten we tot slot stellen dat het natuurlijk de verantwoordelijkheid van de klant is om zijn/haar website up-to-date en lek-vrij te houden.

Ik zou niet willen zeggen of de provider iets fout heeft gedaan in dezen, dat ligt aan de voorwaarden waarmee je akkoord bent gegaan. Persoonlijk had ik het niet zo aangepakt, maar dat verschilt per persoon.

Of het juridisch mag zou ik niet weten, zal ook een en ander van de algemene voorwaarden afhangen, en zoals ze zelf al aangeven "Zoals u kunt terugvinden in onze algemene voorwaarden, zijn deze zaken expliciet verboden."
Zodra het fout gaat word het als rommelen gezien, maar als het goed gaat hoor je er niemand over (als ze bijv backups maken)

Je zou het ook als een service kunnen zien naar de klanten: andere klanten worden beschermt tegen jouw klant (geld natuurlijk ook andersom) en ipv het hele domain offline te halen, proberen ze het rotte stukje offline te halen, dat dit niet (helemaal) gelukt is is wat anders. Overigens vind ik het vreemd dat een paar dirs verplaatsen dagen offline en opnieuw moet opbouwen moet betekenen (geen backup oid?)

In dit geval geef ik eigenlijk de provider gelijk in zijn acties, zeker als die zonder kosten nog zou helpen het geheel weer te herstellen.

Providers werken er hard aan om systemen veilig te houden. Ook jou website. Draai het verhaal even om: Ga je ook een topic openen dat de provider ..... (invullen) wanneer er dergelijke bestanden (Ik noem C99/R57 shell-scripts) bij een andere gebruiker op de server staan, waardoor opeens jouw account gehacked is? (Ik noem alle index-bestanden die opeens volzitten met SEO-poisening of erger, de bekende iframes met links naar bestanden waar geen enkele virusscanner vrolijk van wordt?

De provider heeft m.i. een goede actie verricht en is daarbij nog zo netjes geweest om de bestanden - twijfel kan altijd en fouten maakt iedereen - netjes in quarantaine te plaatsen waar je zelf nog bij kunt. Iedere provider heeft in zijn Algemene Voorwaarden afgedekt dat zij dit mogen. In het geval van hosting2go onder artikel 12, de Acceptable Use Policy.

De laatste Joomla versie wil overigens niets zeggen, de meeste hacks zitten in vreemde modules en templates. Bekijk het bestand dat in discussie betrokken wordt, doe een uitleg naar je provider en zorg dat duidelijk wordt dat het om een misverstand gaat. Vraag evrvolgens je provider om een back-up terug te zetten en je hebt weer een werkende website. Maar natuurlijk had je dit al gedaan voor je een topic ging openen op Webhostingtalk?

Ik begrijp jullie standpunt volledig maar ik blijf van mening dat een hostingprovider niet moet gaan rommelen met bestanden als de klant hier niet vanaf weet. Ze hebben het telefoonnummer in de administratie staan dus waarom niet even telefonisch contact opnemen zoals Axel Polfliet dat doet. Als je als hostingbedrijf waarde hecht aan klantvriendelijkheid is dat het minste wat je kunt doen.

Hosting2go is een organisatie die enkel bereikbaar is middels een ticket. Ze stellen geen telefoonnummer beschikbaar en zijn niet per e-mail bereikbaar. Dit zal uiteraard ook te maken hebben met het feit dat ze erg goedkoop zijn en je dus niet veel van ze kunt verwachten.

Backups hoef ik niet van ze te verwachten. Deze zetten enkel terug als de hele server in de knoei ligt.

Reden dus om te gaan zoeken naar een betere provider met iets meer ervaring.

Het is inderdaad een goed bedoelde actie van de provider maar het kan verstrekkende gevolgen hebben voor de organisatie achter de website. Providers kunnen beter investeren in betere bereikbaarheid dan zelf rommelen in de bestanden van de klant. Overigens is het rommelen in bestanden ook in strijd met de wetgeving (hoe goed ze het ook bedoelen)

maar goed dat is mijn mening

Wat hosting2go doet is nog redelijk symatiek. Er zijn ook providers die gewoon het pakket suspenden en je dan veel succes wensen met het zelf oplossen. Ze geven in iedergeval aan waar het probleem zit.

Het is inderdaad een goed bedoelde actie van de provider maar het kan verstrekkende gevolgen hebben voor de organisatie achter de website. Providers kunnen beter investeren in betere bereikbaarheid dan zelf rommelen in de bestanden van de klant. Overigens is het rommelen in bestanden ook in strijd met de wetgeving (hoe goed ze het ook bedoelen)

maar goed dat is mijn mening

De wet is geen mening. Rommelen is een definitie. Bereikbaarheid is een budgettaire keuze die je zelf maakt. :lovewht:

Bereikbaarheid is een budgettaire keuze die je zelf maakt. :lovewht:

Je krijgt waar je voor betaald... wil je niks uitgeven dan kan er ook niemand betaald worden om de telefoon op te nemen :)

Ik begrijp jullie standpunt volledig maar ik blijf van mening dat een hostingprovider niet moet gaan rommelen met bestanden als de klant hier niet vanaf weet. Ze hebben het telefoonnummer in de administratie staan dus waarom niet even telefonisch contact opnemen zoals Axel Polfliet dat doet. Als je als hostingbedrijf waarde hecht aan klantvriendelijkheid is dat het minste wat je kunt doen.

Hosting2go is een organisatie die enkel bereikbaar is middels een ticket. Ze stellen geen telefoonnummer beschikbaar en zijn niet per e-mail bereikbaar. Dit zal uiteraard ook te maken hebben met het feit dat ze erg goedkoop zijn en je dus niet veel van ze kunt verwachten.

Zoals je zelf aangeeft heb je voor een low budget provider gekozen en kun je low budget oplossing verwachten. Of denk je dat ze hun winst (die laag is) gaan betalen om jou op te bellen dat er iets verkeerd loopt in je cms waardoor het gehackt is. Het gaat er zelf niet eens over welk type provider je bent (enterprise, low budget, ...) maar als er een inbreuk is op je A.U.P., voorwaarden, ... dat je hier gepaste maatregelen treft. Zelf bij enterprise hoster gaat je website op suspend als deze andere accounts probeert te hacken. En nee je gaat niet eerst overleggen met de eigenaar of je het al dan niet down zal halen, soms is het een kwestie van seconden om erger te vermijden. Dat ze je niet bellen, maar mailen heeft enkel met hun bedrijfs politiek te zien. Maar dat wist je op voorhand dat hun correspondentie enkel via e-mail ging.

Laat ik het even zo stellen, brandweer gaat jou toch ook niet eerst bellen als je huis in brand staat of ze het wel mogen blussen. Nee ze blussen het gewoon om de buren erger te besparen. Bekijk jouw hosting dan even als je huis en de server als de woonwijk.


Backups hoef ik niet van ze te verwachten. Deze zetten enkel terug als de hele server in de knoei ligt.

Aangezien je dit op voorhand weet, waarom maakt je dan zelf geen eigen backups.

De stelling dat iets mag, ómdat het in de algemene voorwaarden staat, is natuurlijk kolder. Zaken in strijd met de wet zullen in een zaak zo worden doorgestreept en ondanks goede bedoelingen en schijnbare overeenkomsten uiteindelijk niets waard blijken.

Maar of dat in dit geval ook aan de hand is, weet ik niet. Bekijk het vooral pragmatisch en dan van zowel de provider als klant kant.
1) Blijkbaar draait er iets kritisch voor de klant op een shared omgeving. Les 1: doe dat niet! Neem je verantwoording en zorg dat je een "eigen" omgeving hebt (VPS bijvoorbeeld) om o.a. dit soort situaties te voorkomen.
2) Wat is rommelen? Een provider kan dat doen. Maar een andere klant, middels dit soort scripts, al dan niet door derden geïnstalleerd en vaak niet te achterhalen wie, kan het nog veel beter. Rommelen is in mijn ogen geen rommelen als het de totale beleving van de omgeving beschermt.

In het kader van vooral het 2e punt, kan ik me voorstellen dat een rechter besluit dat de hoster niet in strijd met de wet heeft gehandeld, daar er direct actie is ondernomen om de problemen te beperken, waarna contact is gezocht. Bij het blussen van een brand ga je volgens mij ook niet eerst met de verzekering afstemmen om vervolgens te kijken of er nog wat te blussen valt.

Nog een persoonlijke mening. Ik vind het heel netjes dat ze alleen een deel offline hebben gehaald en de rest van de procedure, weliswaar binnen de communicatieve kaders die ze zelf gesteld hebben, lijkt mij ook prima.

Keurig mailtje van Hosting2go trouwens..

Uit service oogpunt had het bedrijf natuurlijk ook even kunnen kijken wat het lek veroorzaakt en de oplossing kunnen aanbieden.

De stelling dat iets mag, ómdat het in de algemene voorwaarden staat, is natuurlijk kolder. Zaken in strijd met de wet zullen in een zaak zo worden doorgestreept en ondanks goede bedoelingen en schijnbare overeenkomsten uiteindelijk niets waard blijken.

het is echter NIET in strijd met de wet op bestanden die gebruikt worden om jouw server te hacken in quarantaine te plaatsen, je mag namelijk van de klant verwachten dat deze zorg draagt voor de veiligheid van jouw infra ...

ik mag bijv ook geen bom in een citibox leggen, en als deze dan wordt ontdekt hoeft de eigenaar echt niet eerst de klant te bellen voor ze de EOD laten komen.

sterker nog, zelfs in dit geval met hosting, zou het niet eens raar zijn dat hosting2go besluit om je een rekening te sturen wegens gemaakte kosten (tegen een reëel tarief natuurlijk)

De stelling dat iets mag, ómdat het in de algemene voorwaarden staat, is natuurlijk kolder. Zaken in strijd met de wet zullen in een zaak zo worden doorgestreept en ondanks goede bedoelingen en schijnbare overeenkomsten uiteindelijk niets waard blijken.


Er is een ruime mate van contractvrijheid, en er zijn niet zo heel wettelijke 'default' rechten die je niet per contract mag/kunt opgeven.
En dat geldt al helemaal in 'b2b', waar 'de gewone man' nog soms geacht wordt extra bescherming nodig te hebben of een zwakkere partij te zijn (arbeidsrecht, huurrecht e.d.) worden van een zakelijke overeenkomst meer verwacht dat partijen op zichzelf kunnen passen.

Kortom alle kans dat een nogal brede algemene voorwaarde waarbij de hoster het recht claimt om bij overlast of schade 'direct noodzakelijke maatregelen te nemen om verdere schade te beperken' gewoon rechtsgeldig is.



Maar of dat in dit geval ook aan de hand is, weet ik niet. Bekijk het vooral pragmatisch en dan van zowel de provider als klant kant.
1) Blijkbaar draait er iets kritisch voor de klant op een shared omgeving. Les 1: doe dat niet! Neem je verantwoording en zorg dat je een "eigen" omgeving hebt (VPS bijvoorbeeld) om o.a. dit soort situaties te voorkomen.
2) Wat is rommelen? Een provider kan dat doen. Maar een andere klant, middels dit soort scripts, al dan niet door derden geïnstalleerd en vaak niet te achterhalen wie, kan het nog veel beter. Rommelen is in mijn ogen geen rommelen als het de totale beleving van de omgeving beschermt.

In het kader van vooral het 2e punt, kan ik me voorstellen dat een rechter besluit dat de hoster niet in strijd met de wet heeft gehandeld, daar er direct actie is ondernomen om de problemen te beperken, waarna contact is gezocht. Bij het blussen van een brand ga je volgens mij ook niet eerst met de verzekering afstemmen om vervolgens te kijken of er nog wat te blussen valt.

Nog een persoonlijke mening. Ik vind het heel netjes dat ze alleen een deel offline hebben gehaald en de rest van de procedure, weliswaar binnen de communicatieve kaders die ze zelf gesteld hebben, lijkt mij ook prima.

Seconded.
Het valt eigenlijk nog enorm mee dat de hoster blijkbaar de moeite genomen heeft om het probleem zo minimaal mogelijk te beperken.
De switchpoort dichtgooien, of de site anderszins op zwart zetten is simpeler en werkt nog beter (jammer dan voor de bezoekers die alleen even een contact/telefoonnummer of route zochten) .
Zeker aangezien het hier blijkbaar om een budget pakket of hoster gaat is dit feitelijk maar dan je zou verwachten.

Sterker nog... Ik zou als hoster niet eens het risico gaan lopen dat een site bv. nóg minder veilig wordt door het verwijderen van 1 of meer bestanden. Ik zou alles gewoon dicht zetten.

Juist. Zo doen wij dat ook.
Bij calamiteiten zetten we de zaak gewoon op suspend. Eventuele gevaarlijke bestanden worden gecopieerd naar een directory van ons op de server.
Dan wordt contact opgenomen met de klant, daarbij wordt wel gevraagd of we de geinfecteerde bestanden mogen verwijderen, of dat hij ze liever ingepakt in bijv. zip ergens nog bewaard wenst te hebben. Ze blijven dus in principe na het antwoord van de klant niet daar staan waar ze geinfecteerd werden. Of wissen, of inpakken en naar klant sturen, da's de keuze die ze krijgen.
Er wordt niet unsuspend voordat de verdachte bestanden weg zijn of op een plek waar ze geen kwaad kunnen.

Erbij blijven is een optie, maar dat kost A tijd, dus geld en B hebben de meeste klanten bij een hack geen clue waar te beginnen met zoeken. Wij proberen dus voor hun te achterhalen wat er gebeurt is, vermits het binnen het redelijke blijft.

Maar tijdelijk suspenden werkt in zo'n situatie prima.