Onderwerp: Is dit normaal?

Beste lezers,

Ik wil even advies inwinnen.

Ik neem reeds meerdere jaren al mijn domeinen en bijbehorende hostingpakket van een en dezelfde partij af. Vorige week is de server waarop o.a. ook mijn websites gehost worden besmet met een of andere worm die alle .html en .php pagina's heeft voorzien van een iframe, waardoor bezoekers van mijn sites werden bedolven onder pogingen tot het installeren van rotzooi. Dit is niet door een van mijn websites veroorzaakt liet de hoster weten. Ik merkte dit pas op na meerdere berichten van bezoekers van mijn sites, waardoor ik later dan gewild in actie kon komen. De hoster was er al een halve week van op de hoogte maar heeft mij niet verwittigd. Al met al hebben mijn sites er een ruime week uitgelegen, ik heb ze zelf offline gehaald omdat de hoster de oorzaak nog niet had gevonden en de worm na een eventuele handmatige opschoonactie weer in actie kon komen.

Uiteindelijk heeft de hoster een script gedraaid die de iframes uit alle bestanden heeft geknipt en konden mijn sites weer online na bevestiging van een mailtje van mij of alles weer veilig was.

Ik heb nu het vermoeden dat het probleem provisorisch is opgelost, namelijk door een dikke firewall.

Het viel mij op dat een van mijn sites (phpBB forum) geen update check meer kon uitvoeren, het enige wat ik kreeg was een timeout.

Goedwillend dat ik was heb ik dat forum daarna geüpgraded naar de nieuwste versie (van 2 naar 3), omdat de support en securityfixes per 1 januari a.s. afgelopen zijn. Ik wil niet dat mijn sites in de toekomst voor problemen kunnen zorgen.

Maar, het converteren van de databases ging fout. Ik kwam pas achter de oorzaak toen er geen weg meer terug was. Wat was nou het geval, door de beperkingen die zijn opgelegd door de firewall op de server, kon het script geen informatie ophalen van extern gelinkte avatars. Alle avatars kregen de maximaal toegestane width en hight mee, waardoor deze in verhouding niet meer klopten. Gevolg was een enorme klus, handmatig alle avatars verwijderen... Leden van mijn forum kunnen nu avatars uploaden naar mijn server. Dat probleem is dus enigszins opgelost, ook al wil ik externe avatars gewoon blijven toestaan.

Ander probleem is nu dat wanneer iemand een foto of andere afbeelding wilt plaatsen in een bericht, dit niet mogelijk is, omdat het script dat de afmetingen na wilt checken geen verbinding kan maken met deze externe afbeelding... Gevolg is dat de gebruikers op mijn forum dan een foutmelding voorgeschoteld krijgen.

Ik heb een mailtje naar de hoster gestuurd en blijkbaar is deze niet goed gelezen. Dat mailtje had ongeveer dezelfde uitleg van het probleem, maar als antwoord kreeg ik dat dit wordt veroorzaakt door de firewall en dat dit al een jaar is ingesteld... Ik kreeg hier pas mee te maken na het "oplossen" van het virus/worm probleem op de server waarop o.a. mijn site staat. De hoster stelde mij ook voor om rules aan te maken in de firewall voor sites die mijn sites/scripts willen bezoeken. Ik heb hierop geantwoord "alle sites". Naar mijn mening moeten de bezoekers van mijn forum zelf kunnen bepalen van welke site ze afbeeldingen willen hotlinken in plaats van vooraf bepaalde sites in de firewall...

Is het normaal dat een webhoster zonder overleg dergelijke restricties aan de klanten kan opleggen? Op dit moment voldoet mijn hostingpakket niet meer aan mijn eisen, dus tips, adviezen of deze tot bemiddeling zijn meer dan welkom.

Groeten,
Remon

Beetje vreemd, welke poort zou dan dichtgezet zijn waardoor het niet meer mogelijk is om extern te linken? Dit loopt m.i. toch gewoon over poort 80?

Maar, het converteren van de databases ging fout.
Ik kwam pas achter de oorzaak toen er geen weg meer terug was.
>> Backup maken en het kan nooit fout gaan


Wat was nou het geval, door de beperkingen die zijn opgelegd door de firewall op de server, kon het script geen informatie ophalen van extern gelinkte avatars. Alle avatars kregen de maximaal toegestane width en hight mee, waardoor deze in verhouding niet meer klopten.
>> Idem, is toch geen ramp?


Gevolg was een enorme klus, handmatig alle avatars verwijderen... Leden van mijn forum kunnen nu avatars uploaden naar mijn server. Dat probleem is dus enigszins opgelost, ook al wil ik externe avatars gewoon blijven toestaan.
Ander probleem is nu dat wanneer iemand een foto of andere afbeelding wilt plaatsen in een bericht, dit niet mogelijk is, omdat het script dat de afmetingen na wilt checken geen verbinding kan maken met deze externe afbeelding... Gevolg is dat de gebruikers op mijn forum dan een foutmelding voorgeschoteld krijgen.
>> Dit punt los mailen van al je "worm" problemen naar je host.

En tenslotte .. draai je ook andere CMS software als joomla/wordpress die ook niet geupdate waren?

je geeft aan dat je al meerdere jaren diensten afneemt van die hoster. Hen al eens gebeld, of eens een afspraak gemaakt? Als je een goede relatie hebt, zou dit geen probleem mogen vormen, en zouden jullie samen tot een oplossing moeten kunnen komen.

Oorspronkelijk geplaatst door Ramon Fincken

En tenslotte .. draai je ook andere CMS software als joomla/wordpress die ook niet geupdate waren?

Het probleem van die worm/virus/trojan werd niet veroorzaakt door een van mijn websites, dit is ook bevestigd door de hoster. In totaal hadden 750 klanten hinder van de trojan en waren ruim 50.000 bestanden aangepast.

Ik kreeg zojuist een reactie van de hoster:

Beste Remon,

Onderstaand bericht hebben wij in feb 2008 verstuurd naar alle klanten.

Het volgende bericht heb ik nooit ontvangen. Ik heb overigens nooit mailings of nieuwsbrieven ontvangen.

Zeer gewaardeerde relatie,

Wij bij *** profileren ons als uw gastheer op webhosting gebied.

Omdat we de laatste dagen hebben gemerkt dat sommige buitenstaanders u als onze klant en gast hinderlijk lastig vallen door uw websites te bestoken, waardoor u niet bereikbaar bent en u dus potentieel schade kan oplopen.

Wij hebben ervoor gekozen om het toch als strikte beveiligingsniveau aan te passen.

Vanaf vandaag zullen wij een whitelist gaan hanteren welke verzoeken aan externe websites via de uitgaande poort 80 tegen gaat houden.
Wij zullen de servers enkele uren in een registratie modus zetten, dit houd in dat we niet meteen alles zullen blokkeren, maar dat we inzicht krijgen welke klanten graag gebruik wensen te maken van onder andere RSS Feeds om informatie op hun eigen website te kunnen tonen.

Hiermee kunnen we dan de meeste klanten die verzoeken doen via poort 80 over de webserver kunnen monitoren zodat deze website adressen uitgesloten kunnen worden van blokkades.

Zodra wij een punt hebben bereikt waarmee in onze optiek voldoende informatie is verzameld zullen wij overgaan tot het hanteren van de whitelist, welke inhoudt dat u alleen websites kunt bezoeken vanaf uw eigen website die opgenomen zijn in deze whitelist.
De internetadressen die niet op de whitelist staan zullen niet bezocht kunnen worden, hiermee voorkomen we dat potentiële kwaadwillende misbruik kunnen maken van uw website.

Wat is een whitelist ?

De whitelist heeft een beschermende rol voor u als onze klant en ons als leverancier, het is geen belemmering voor uw klant, uw klant kunt u nog beter bereiken en gebruik maken van uw experise die u via uw website aan haar biedt.

Ik heb een abonnement op een RSS FEED die niet in de whitelist staat.

Mocht u om een of andere reden graag op de whitelist willen komen te staan, een voorbeeld is bijvoorbeeld dat u een nieuwe RSS Feed abonnement wilt integreren in uw website, laat ons dat dan graag per email weten.

Samen met U en ons team zorgen we er dan voor dat uw website en onze dienstverlening nog beter bereikbaar zijn voor uw klanten.

En de volgende reactie op mijn vraag om alles open te zetten:

Het is niet mogelijk om voor alle websites de firewall uit te zetten, want dat is het zelfde als je voordeur van je huis open laten staan.
Updaten van specifieke software is mogelijk als we de urls van die sites toevoegen.
Het uitvoeren van scripts die automatisch checken of een plaatje te groot is, kunnen een veiligheidrisico met zich meebrengen.

Ik vind dit een vreemde gang van zaken, vooral gezien het feit dat poort 80 gewoon open staat bij duizenden webhosters. Daarnaast hebben alle bovenstaande veiligheidsmaatregelen geen effect gehad waardoor zich zomaar een worm kon nestelen op de server. Mijn mening is dan ook dat wanneer een webhoster zijn zaken goed in orde heeft, deze vergaande restricties overbodig zijn of worden.

Mijn vermoeden is dat de whitelist (gedeeltelijk) is leeggemaakt, waardoor ik opeens niet meer naar http://*.phpbb.com/* kan connecten voor het updatescript. De problemen met de imagesize checker heb ik pas kunnen constateren na het installeren van phpBB3 die deze functie heeft ingebouwd.

Ik kreeg ook een vraag per privébericht wat ik voor mijn hosting betaal, dat is 115 euro per jaar voor hosting en 15 euro per domein.

Het is geen commerciele website, maar een hobbymatig forum. De kosten worden nu enigzins gedekt door een sponsor waarvoor ik als tegenprestatie een banner in de header heb staan.

Ik ben bang dat mijn verzoeken aan de hoster niks uithalen. Ik krijg al spontaan hoofdpijn bij het denken aan domeinen verhuizen en restitutie van het al betaalde. Ik had toevallig een kleine twee weken geleden een jaar vooruit betaald...

Oorspronkelijk geplaatst door RemonV

Ik kreeg ook een vraag per privébericht wat ik voor mijn hosting betaal, dat is 115 euro per jaar voor hosting en 15 euro per domein.

Van wie?

Oorspronkelijk geplaatst door Geert-Jan

Van wie?

Ik ga geen namen noemen, ik respecteer iedereen zijn of haar privacy. Het bericht is immers niet openbaar verstuurd. Wel kan ik vertellen dat diegene hosting aanbiedt.

Ik weet nou niet precies wat ik met deze situatie moet. Hoe moet ik mijn huidige webhoster overtuigen om de restricties op te heffen? Overstappen heb ik ook geen ervaring mee.

Ik heb nu al betaald:

Hostingpakket
Periode oktober 2008 tot oktober 2009
115 euro

Domein 1
Periode mei 2008 tot mei 2009
15 euro

Domein 2
Periode september 2008 tot september 2009
15 euro

Domein 3
Periode september 2008 tot september 2009
10 euro (ze waren iets goedkoper geworden)

Ik neem nu al vanaf september 2005 diensten van hen af.

Ik weet niet of deze persoon ook een aanbieding heeft gedaan per PM. Maar dat mag dus niet.

Oorspronkelijk geplaatst door dennis0162

Ik weet niet of deze persoon ook een aanbieding heeft gedaan per PM. Maar dat mag dus niet.

Hij hoeft geen namen te noemen, verwacht dat ie er toch wel uit wordt gehaald...

Oorspronkelijk geplaatst door Geert-Jan

Hij hoeft geen namen te noemen, verwacht dat ie er toch wel uit wordt gehaald...

Dat is ook gebeurt, en die user is voorlopig niet welkom in de adverteersectie. On topic verder.

Hallo allemaal,

Daar ik de hostingprovider ben van Remon, en ik altijd transparant wil handelen, reageer ik even via dit topic.

We splitsen de vraagstelling in een aantal delen.

1. Firewall implementatie.
2. Worm infectie
3. PHPBB Forum

1. Firewall implementatie.
We werden in het verleden continue gehackt doordat men bij ons de mogelijkheid heeft om hun eigen php based websites (Joomla/phpbb e.d.) te hosten maar deze niet regelmatig updaten. We hebben meerdere malen aangeven in mails/mailings dat men dat toch echt moet doen om te voorkomen dat websites van de klanten kunnen worden gehackt, waardoor wij als hoster worden aangekeken dat de beveiliging niet goed is.

We hebben ervoor gekozen om poort 80 voor uitgaand verkeer dicht te zetten en te werken met een whitelist, tenslotte moet een hacker/cracker altijd extern een stuk script ophalen om zijn hack te voltooien. Sindsdien zijn er geen hacks meer geweest.

We hebben alle klanten om aan te geven dat als men data (update/RSS feed) van een externe website wilt ophalen, deze url dan door te geven zodat wij deze kunnen opnemen in de whitelist.

Omdat er gebruik word gemaakt van een shared webhosting pakket wegen we altijd af welk belang we voor de klant moeten dienen, Remon heeft gevraagd of we in de firewall de functie "allow_url_fopen" aan kunnen zetten, als we dat doen, kunnen we net zo goed stoppen met de firewall en de whitelist te handhaven. Dat doen we niet. Het belang van de meerderheid weegt zwaarder dan de wens van een individu.

Worminfectie
Ook wij waren getroffen door het msn-analytics / wxhost worm infectie. We waren ervan op de hoogte en hebben er heel wat uren aan besteed om alles op te lossen, het vervelende is dat we niet hebben kunnen herleiden waar het beveiligingslek is misbruikt, daar het script werd uitgevoerd als apache en het versleuteld was. Remon heeft de in plaats van ons te mailen eerst zijn website uit de lucht gehaald en vervolgens gewacht tot wij zouden reageren naar onze klanten. Wij hebben op 30 september meteen een email gestuurd naar de klanten die zich hebben aangemeld op onze mailinglist. Daarnaast hebben wij op onze nieuwspagina's melding gemaakt van de virus infectie. Door de hoster waar de trojan naar verwees was meteen al actie ondernomen door de betreffende url te blokkeren, waardoor de trojan niet werd gedownload.
We hebben een aantal scripts geschreven welke de besmette pagina's schoon maakte, dit om te voorkomen dat klanten hun eigen websites/backups terug zouden moeten zetten, in dat geval hoefde de klant zelf geen actie te ondernemen, dat hebben wij voor de klanten allemaal verzorgd. Dat Remon zelf de keuze heeft gemaakt om zijn forum offline te halen is dan ook niet de keuze geweest van ons. Het is dan ook mijn inziens niet correct om te stellen dat het forum een week offline is geweest door toedoen van de hoster.

PHPBB Forum.
Er word gesproken over het updaten van forumsoftware en dat het converteren van de databases niet gelukt zou zijn door de beperkingen van de firewall,. Het updaten is een keuze van de klant en niet opgelegd door ons, wij adviseren altijd om de software tijdig te updaten en bij updaten moet je altijd secuur te werk gaan, dat neemt niet weg dat het vervelend is dat het mislukt. Echter kan je de hoster niet als schuldige aanwijzen voor een handeling die je zelf hebt gekozen uit te voeren.

Ik pleit mijzelf als hoster zeker niet vrij, wij moeten er voor zorgen dat de server secuur en veilig is tegen aanvallen zoals SQL injections, wij hebben een aantal veiligheid maatregelen genomen om in de toekomst dit soort zaken proberen te voorkomen.
Echter ligt er ook een grote verantwoordelijkheid bij de klant.

Overigens hebben we de schade beperkt tot 100 klanten, echter waren er wel 500.000 pagina's (html,php) geinfecteerd met de <iframe> code. Alle klanten zijn door ons geholpen en hebben zelf geen acties hoeven te ondernemen.

Ik sta graag open voor opmerkingen om deze discussie netjes te kunnen voltooien.

Was de allow_url_fopen setting op 'Off' zetten niet beter en je klanten helpen met een CURL implementatie? Verder zaken als telnet en wget chmodden naar 700, zodat alleen root deze mag uitvoeren. Draaien jullie PHP als Appachemodule of als (fast) CGI? Hoe dan ook, dit blijven technische keuzen die je zelf moet maken.

Over de software: Indien je gebruik maakt van een standaard controlpanel als Plesk of Directadmin kun je je klanten voor een paar tientjes per server per jaar voorzien van Installatron. Hiermee kun je - geforceerd - 'evil' softwarepakketten als Joomla/PHPBB automatisch updaten, hetgeen je klanten het leven een stuk makkelijker maakt. Is deze optie ooit overwogen?

Met mod_security en een stapel goede, up 2 date rules voorkom je al een hoop van die zooi, zonder met een omslachtige whitelist te gaan werken. Erg praktisch lijkt het me namelijk niet, voor zowel jou als je klant.

Ik wil even het volgende uiteenzetten om misverstanden te voorkomen:

- Op 2 oktober opende iemand een topic dat hij op mijn forum verzoeken kreeg om elementen te installeren.
- Ik dacht eerst dat diegene zijn PC zelf besmet was en adviseerde een virusscan te doen.
- Diezelfde dag meldden meer mensen soortgelijke gevallen. Ik ben alles meteen gaan onderzoeken.
- Ik logde in op mijn FTP account en zag dat alle php/html bestanden op 30 september waren gewijzigd. Ik probeerde een bestand te downloaden en mijn virusscanner gaf meteen aan dat er iets mis was.
- Ik heb in de broncode van mijn website gekeken en zag een iframe die er niet hoorde te staan.
- Ik heb meteen de index.php verwijderd en er een bericht voor in de plaats gezet. Dit om te voorkomen dat de computers van bezoekers besmet raken.
- Ik heb vervolgens (een half uur na eerste constatering) een ticket aangemaakt bij mijn webhoster:

Sinds enkele dagen ontvang ik klachten van bezoekers van mijn website www.radiohobby.nl. Deze klachten omschrijven zich dat de website dingen proberen te installeren bij de bezoekers van mijn website.

Ik ben zojuist op onderzoek gegaan naar de oorzaak en kwam tot de ontdekking dat alle index.php en index.htm bestanden op 28 september zijn aangepast. Toen ik zojuist een index.htm downloadde, gaf mijn virusscanner aan dat deze was geïnfecteerd met "JS/Tenia.d".

Alle bestanden zijn goed ge'CHMOD dus het is voor mij een groot raadsel hoe deze bestanden geïnfecteerd konden raken.

Wellicht en natuurlijk niet geheel uit te sluiten, heeft deze worm/trojan zich genesteld op de server die ook mijn website serveert, waardoor deze vrij spel heeft zich te verspreiden op alle gehoste websites.

Nu kan ik natuurlijk een backup terugzetten van het forum, maar ik wil uitsluiten dat het probleem zich weer kan voordoen.

Daarna is er contact geweest per e-mail en telefoon.

Afgelopen donderdag zag ik dat de geïnfecteerde bestanden weer gewijzigd waren en na controle bleken deze opgeschoond. Vervolgens een reply op de ticket gestuurd met de vraag of alles nu weer veilig is, wat positief werd beantwoord. Toen kon ik alles weer online zetten.

Mijn inziens heb ik correct gehandeld.

Ik kan echter nergens op de website een link vinden om mij aan te melden op een nieuwsbrief. Daarnaast zijn de gegevens van de klanten bekend en horen deze sowieso een belangrijk bericht als deze vanzelfsprekend te ontvangen.

Ik vind het zeer netjes en correct dat mijn webhoster de gelegenheid neemt in dit onderwerp te reageren, weer een pluspunt die ik al jaren ervaar. Het was nooit mijn eigen intentie geweest om prijs te geven om welke webhoster het gaat.

Ik heb zelf de link naar dit onderwerp aan mijn webhoster gemaild, met de hoop dat er met inbreng en suggesties van andere leden van webhostingtalk een oplossing gevonden kan worden.

Oorspronkelijk geplaatst door Kyra-emotion

We hebben ervoor gekozen om poort 80 voor uitgaand verkeer dicht te zetten en te werken met een whitelist, tenslotte moet een hacker/cracker altijd extern een stuk script ophalen om zijn hack te voltooien. Sindsdien zijn er geen hacks meer geweest.

Dat vind ik een wat extreme oplossing. Ik zou eerder ervoor zorgen dat alle mogelijke functies standaard uit staan, dat kan je vrij makkelijk doen met disable_functions in php.ini. Daarnaast eventueel nog mod_security met een goede configuratie (om klanten niet te veel te beperken maar tegelijkertijd wel het merendeel van de hacks te weren). Die combinatie houdt ook vrijwel alle hacks tegen. Daarnaast kun je er natuurlijk voor zorgen dat een klant enkel onder zijn eigen username scripts kan draaien (PHP, cgi, en alle scripttalen die je ondersteunt), zodat andere klanten niet benadeeld kunnen worden.

Je hebt het erover dat een worm gedraaid werd onder username apache. Dat betekent dat hoogstwaarschijnlijk je klanten nu nog steeds in elkaars userdirectory kunnen kijken.