Na het succesvol opzetten van een security monitor service in de USA gaan we het nu ook hier aanbieden.

We zijn gespecialiseerd in vulnerability, DDOS, en Poort testen. We willen een paar hosters deze dienst eenmalig gratis aanbieden.

Helemaal gratis ?? Ja.

Wat is de adder dan onder het gras. Nu, we zouden het fijn vinden als jullie een stukje willen schrijven over onze dienst welke we dan op onze website mogen plaatsen. Tevens willen we dat jullie er een prijskaartje aanhangen.

Ja zul je zeggen maar julie doen het toch ook al in de states dus je weet de prijs. Tuurlijk wel maar jullie blijven nederlanders dus bepaal zelf eens wat het je waard is.

De scans worden minimaal eens per week uitgevoerd. Hiervan krijg je een rapport per email toegestuurd.

Op verzoek kunnen we ook een DDOS aanbieden maar dat alleen maar tegen strikte voorwaarden.

Als je de scan uit wil laten voeren stuur dan even een prive bericht. Voorwaarden is wel dat je de server welke we scannen in eigen beheer hebt. (Gaarne aantonen)

En dat je toestemming geeft om de server te testen.

Ik zie de priveberichten wel tegemoet.

Oja, we geven 10 scans weg.

Zou je wat meer informatie kunnen geven over wat jullie scannen? Ik zou nou niet graag willen dat jullie met brute-force proberen om wachtwoorden op de server te achterhalen.

Brute-force aanvallen doen we alleen maar op verzoek van de gebruiker.

We doen in eerste instantie een poortscan en een vulnerability scan. Later kunnen we nog een stapje verder gaan maar dat alleen in overleg met de klant.

Overigens als je bang bent voor een brute-force scan zal je toch eens iets aan je password policy moeten doen ;-)

Ik denk niet dat veel controle panelen een brute-force beveiliging hebben tegen het achterhalen van de wachtwoorden van individuele gebruikers.

Dit gaat via contracten?

@The MAzTER

Als je bedoelt dat we hier voor contracten afsluiten dan heb je het juist. We moeten dat wel om er voor te zorgen dat we legaal bezig zijn.

Als je wat anders bedoeld dan hoor ik het graag.

bedoel dus als jullie een server testen van te voren een contract afsluiten.

Dus als je zorgt dat de server op een of andere reden voor geen mogelijkheid meer up te krijgen is dat jullie aansprakelijk gesteld kunnen worden

Origineel geplaatst door Carl<n-media>
Ik denk niet dat veel controle panelen een brute-force beveiliging hebben tegen het achterhalen van de wachtwoorden van individuele gebruikers.

Wel, Plesk kapt naar 3 keer alles af.

Origineel geplaatst door The MAzTER
bedoel dus als jullie een server testen van te voren een contract afsluiten.

Dus als je zorgt dat de server op een of andere reden voor geen mogelijkheid meer up te krijgen is dat jullie aansprakelijk gesteld kunnen worden

Nee helaas niet. Kijk de server kan ook op een andere manier onderuit gaan. (Hardware problemen oid)

We gaan wel voorzichtig te werk en steeds, in overleg met de klant, een stapje verder. Echter zijn we al dusdanig slecht geconfigureerde webservers tegen gekomen welk al na <200 verzoeken onder uit gaan.

Helaas kunnen we dus geen garantie geven als we een DDOS doen. Wel als we een quickscan doen. We testen dan op ongeveer 1024 poorten en meer dan 2200 vulnerabilities.

We doen dan niets anders met je webserver dan aankloppen en requests naar je poort XX

Kortom het is vrij safe. Echter je blijft altijd zelf verantwoordelijk voor je server vandaar dat er eerst een contractje ondertekend wordt voordat wij iets gaan doen.

Maar we zijn in de USA begonnen en daar zijn de claims mij iets te hoog. Vandaar onze verzichtigheid.

Sorry dat ik het zeg, maar ik vind het maar gezever hoor :)

Portscannen kan je zelf op 5 minuten met nmap en op meer poorten dan de eerste 1024 (waarom alleen maar de eerste 1024 scannen?). Nadat je gevonden hebt welke poorten er open staan op je server kijk je gewoon of de daemon en de libs die het gebruikt uptodate is. Als je echt wilt testen voor lekken kan je toch gewoon zelf even een site bezoeken waar POC explotis opstaan en wat gaan testen. Nujah, je hebt uiteindelijk maar een overzicht van programmas die extern open staan. Lokaal is er veel meer te testen.

Om te testen of je firewall een ddos gaat herkennen en pakketjes begint te droppen ga je al zelf een vrij advanced firewall moeten configen. Een ddos extern testen lijkt me dom, want uw traffic telt natuurlijk mee. Even in het datacenter met een andere bak testen lijkt me veel handiger.

Brute forcen kan je ook met een simpel scriptje zelf doen, ook niet veel aan uiteindelijk. Het is het veel veiliger als je zelf je server in het oog houdt en kijkt dat er niets misloopt.

Een serieuze vulnerability check duurt dagen soms weken en kost over het algemeen in de omgeving van $4000,-

Een poortscan is zo gedaan en ik vraag me af welke 2200 vulnerabilities jullie checken, controleer je gelijk maar alle soorten OS vul per server tegelijkertijd ofzo? Het is eenvoudig te achterhalen welk OS de server gebruikt hoor ;)

BTw meerdendeel van de vulnerabilities zitten in user scripts als PHP/Perl en problemen bij shell toegang.

Origineel geplaatst door secur
Op verzoek kunnen we ook een DDOS aanbieden maar dat alleen maar tegen strikte voorwaarden.

Zelfs met toestemming van de hoster ben je in overtreding van de wet, je bezorgt derden overlast en schade, enz. Lijkt me niet zo'n strak plan.

//EDIT (cq toevoeging): Vulnerability assestment / PoC's / scans e.d. doe ik het liefst zelf, of laat het doen door bevriende security professionals.

Origineel geplaatst door wv-
Portscannen kan je zelf op 5 minuten met nmap en op meer poorten dan de eerste 1024 (waarom alleen maar de eerste 1024 scannen?).

Omdat tot poort 1024 root toegang vereist is om hier iets op te starten.

@Digiover: met toestemming van de hoster ben je zeker NIET in overtreding. Als jij root pass krijgt om iets te doen en je logged in ben je toch ook niet illegaal bezig.

Origineel geplaatst door Beyonder
Een serieuze vulnerability check duurt dagen soms weken en kost over het algemeen in de omgeving van $4000,-

Een poortscan is zo gedaan en ik vraag me af welke 2200 vulnerabilities jullie checken, controleer je gelijk maar alle soorten OS vul per server tegelijkertijd ofzo? Het is eenvoudig te achterhalen welk OS de server gebruikt hoor ;)

BTw meerdendeel van de vulnerabilities zitten in user scripts als PHP/Perl en problemen bij shell toegang.


Dat klopt als een bus. Voor een complete vulnerability scan op locatie, welke we ook doen, ben je ongeveer tussen de 1000 a 1500 Euro per dag voor kwijt. Voor een scan van buitenaf zijn de prijzen aanzienlijk anders.

We checken inderdaad eerst welk OS er op de server draait.

De reden dat we maar de eerste 1024 poorten checken is dat het een quickscan is. Uiteraard is er ook een mogelijk om ale poorten te laten checken. Maar dat kost iets meer tijd.


Zelfs met toestemming van de hoster ben je in overtreding van de wet, je bezorgt derden overlast en schade, enz. Lijkt me niet zo'n strak plan.

Nee we zijn niet illegaal bezig. Als je toestemming hebt van de eigenaar van de machine mag je zoiets doen. We berokkenen GEEN schade aan de machine of brengen overlast aan de machine. Het enige wat we doen is iets meer dataverkeer naar je server toebrengen.

Als je in de logfiles gaat kijken komt het wel meer voor dat er personen een poortscan/vulnerability scan doen op je systeem en daar merk je dan niets van.

Wat is het verschil tussen een vulnerability scan op locatie en een remote? ben nu heftig in de war ;)

wij doen dit soort diensten voor grote clienten en inmiddels voor meer dan 400 partijen wereldwijd. Maar ik vraag me serieus af wat je dan exact doet op locatie?? :)

Anyway als je mij kunt uitleggen (maybe middels PB) wat je exact doet en je bent goed en relatief goedkoop dan heb ik meer dan voldoende werk voor je.

Ik wil je er wel op wijzen dat wij meerdere (ex-)hackers in dienst hebben die golden als de besten ter wereld. Onze sysadmins zijn allen tenminste 5 jaar prof. bezig en werken allen meer dan 8 jaar intensief met *NIX OS.

Geef me maar eens een CV ;)

Indien je goed bent heb ik zeker werk voor je.

Origineel geplaatst door Beyonder
@Digiover: met toestemming van de hoster ben je zeker NIET in overtreding. Als jij root pass krijgt om iets te doen en je logged in ben je toch ook niet illegaal bezig.

We hebben het hier over een DDoS (DDOS bestaat niet, magoed), een Distributed Denial of Service attack. Met andere woorden: We pompen zoveel data naar $server dat deze stopt met reageren.
Over wiens netwerken gaat deze data? Juist, niet het netwerk van $hoster. Neem daarbij ook nog alle carriers onderweg, enz, enz.
Zelfs als ik toestemming zou hebben van $hoster en $server_eigenaar en ik start een DoS richting dsinet.org, dan heb ik binnen 5 minuten Vincent op m'n dak omdat ik het XS4ALL netwerk misbruik, alsmede Trueserver omdat de server daar hangt.

Dat bedoel ik met het overtreden van de wetgeving, AUP's, netiquette, e.d.
Staat tot maximaal 4 jaar celstraf op, als ik het goed heb.

Origineel geplaatst door Beyonder
Wat is het verschil tussen een vulnerability scan op locatie en een remote? ben nu heftig in de war ;)

Bedoelt TS niet "local" en "remote" i.p.v. "op locatie"? Lijkt me wat logischer klinken ;)

Mijn idee is: wat kun je local meer doen dan remote aan een vulnerability check? wellicht kun je op je eigen netwerk een DDOS simuleren maar een goede DDOS legt alle plat :)

Verder zie ik niet wat vulnerability checks met DDOS te maken hebben.

Zeker weten dat Vincent niet blij wordt van een DDOS op zijn netwerk geauthoriseerd door een van zijn klanten ;)

Vevida is trouwens een van de grotere webhosting bedrijven in Nederland, fijn dat je komt Jan en laat zien dat je wel degelijk veel begrijpt van beveiliging en dat jullie actief ermee bezig zijn, mijn complimenten !!

Indien je systeem lokale gebruikers heeft, bijvoorbeeld met ssh toegang, is het altijd verstandig om zowel een remote vulnerability scan als een local scan te doen. Van "buitenaf" zijn andere zaken zichtbaar dan van "binnenuit" .
Met een remote scan kan je open staande poorten en de specifieke service (tot op het juiste versienummer toe) controleren, of XSS fouten. Lokaal kan je zoeken naar zaken zoals foutieve permissies, onnodige libs en/of daemons, zwakke passworden, inactieve accounts, beschikbare compilers, enz.
Heb je de beschikking over een leuk, afgesloten, "test-lab", dan kan je heel goed het effect van een (D)DoS op een server en/of service testen en monitoren.

Zelf ben ik al jaren met beveiliging bezig (begonnen als een z.g. "blackhat", maar had al snel het licht gezien) en, mocht ik tijd over hebben, dan probleer ik ook zoveel mogelijk initiatieven als mostly-harmless.nl te ondersteunen bij het begeleiden van newbies.
Als hostingprovider (groot of klein) moet je mijns inziens pro actief bezig zijn met beveiliging, je heb immers -naast je systemen- altijd klanten welke lekke scripts kunnen plaatsen en hiermee je gehele service om zeep helpen.

Afhankelijk van je set up zou je dit al kunnen testen door lokaal op je server nmap 127.0.0.1 of nmap $ip_address te doen en de output te vergelijken met een nmap scan vanaf een ander systeem en netwerk.

Zelfs als ik toestemming zou hebben van $hoster en $server_eigenaar en ik start een DoS richting dsinet.org, dan heb ik binnen 5 minuten Vincent op m'n dak omdat ik het XS4ALL netwerk misbruik, alsmede Trueserver omdat de server daar hangt.

Ik denk dat Vincent daar geen enkel probleem mee heeft zolang het maar een DDoS van een paar honder Mbit is. Daar blijft het netwerk van True wel bij overeind en de kassa gaat er tenminste van rinkelen.

Origineel geplaatst door animana
Ik denk dat Vincent daar geen enkel probleem mee heeft zolang het maar een DDoS van een paar honder Mbit is. Daar blijft het netwerk van True wel bij overeind en de kassa gaat er tenminste van rinkelen. Toch niet als je via de 95%-regeling werkt? Die DDOS blijft er dan toch gewoon boven en het 95%-getal wordt niet veel hoger.

Dat hangt natuurlijk helemaal af van het verloop van je dataverkeer door de maand heen maar de meeste hebben niet zo'n heel vlak verloop dus als het wat langer duurt dan merk je dat toch op je rekening denk ik.

Je bent wel flink zuur als je op gigabyte / average basis mag gaan afrekenen.

Origineel geplaatst door luser


Omdat tot poort 1024 root toegang vereist is om hier iets op te starten.

Weet ik wel, maar wat heeft die hele scan dan voor zin... een vuln kan evengoed op een daemon op een hogere poort zitten :)

Een van de (m.i.) grootste zwaktes bij veel configuraties is nog wel de opstelling van Apache en PHP. Hoe vaak heb ik al niet klanten mogen ontvangen omdat ze bang waren voor de veiligheid van hun gegevens bij hun vorige host. Denk dan aan een typische -apache onder user nobody, php als apachi api- config waarbij je via php lekker je gang kunt gaan. Het is dan slechts een kwestie van zoeken naar een directory op de server met CHMOD777 en je kunt gaan met die banaan...

Security scans doen door vreemde partijen zou ik zowieso niet doen. Zoiets laat je doen door mensen die je vertrouwt, je geeft niet zomaar root xs aan een willekeurig bedrijf wat adverteert met security scans. Een vinger in de "onderwereld-pap" hebben of gehad hebben blijft altijd nog een gouden zaak als het gaat om afscherming van je systeem. "It takes one to know/stop one" :)

Dat is zeker zo, it takes a hacker to stop a cracker.....

Origineel geplaatst door Cybafish
Een van de (m.i.) grootste zwaktes bij veel configuraties is nog wel de opstelling van Apache en PHP. Hoe vaak heb ik al niet klanten mogen ontvangen omdat ze bang waren voor de veiligheid van hun gegevens bij hun vorige host. Denk dan aan een typische -apache onder user nobody, php als apachi api- config waarbij je via php lekker je gang kunt gaan. Het is dan slechts een kwestie van zoeken naar een directory op de server met CHMOD777 en je kunt gaan met die banaan...

Zelfs slechte permissies zijn vaak niet nodig om het te misbruiken. Het is nochtans vrij simpel om een secure webserver met php,perl,php,... (al dan niet met cgi) op te zetten. Als je als webhostingbedrijf dit al niet aan kunt, waar ben je dan mee bezig...

@secur

Kunnen jullie vertellen wat julie bieden wat nessus niet doet?