Hacken on Netsensei

Ik werd gehackt

matthias@netsensei.nl (Matthias Vandermaesen) — Mon, 21 May 2018 16:37:19 +0000

Eind maart maakte het Drupal Security team kwetsbaarheid SA-CORE-2018-002 bekend. Het ging om een zeer serieus veiligheidsprobleem met Drupal. Zo serieus dat iedereen alles moest laten vallen op Drupal websites te voorzien van een update. Drupalgeddon dus. Ondertussen maakten gewiekste mensen met slechte bedoelingen gebruik van de gelegenheid om zoveel mogelijk servers met onbeveiligde Drupal sites te hacken.

Mijn eigen server is er daar eentje van. Ik was namelijk in die periode in Californië. Het duurde even voor ik kans had om het nodige te ondernemen. Helaas was het kwaad reeds geschied. Deze week kreeg ik een bericht van Linode – de hosting partij van wie ik een virtuele server lease – dat er problemen waren.

Gehackt!

Tijd om actie te ondernemen. De eerste stap was de server offline halen om geen verdere schade te veroorzaken. Dat deed ik eerder deze week. Dat betekende dat ik enkele dagen uit de lucht was. Gelukkig gaat het om persoonlijke projecten, niet om die van betalende klanten. In dat geval zou ik met een groter probleem hebben gezeten.

Gisteren heb ik een nieuwe server aangemaakt. Handmatig configureren zou snel een dag of meer kosten. Tegenwoordig automatiseer ik zoveel mogelijk met Ansible. Het kostte me een dik half uur om die operationeel te krijgen. Vervolgens was het een kwestie van de websites één per één terug on line te zetten. In het geval van die ene Drupal website betekende dat: de files folder en de database manueel controleren en schonen. En dan vind je dit soort ongein terug:

Gehackt!

Juist. Script kiddies die mijn server mismeesteren voor allerlei illegale praktijken. In de database vond ik ook nog eens allerlei Javascript crypto miners terug. Gelukkig kon ik die met wat RegEx Fu helemaal opschonen. Het ging dan ook om een site met niet zo heel erg veel inhoud. Maar het kostte me wel wat tijd en moeite om alles grondig te controleren.

Tenslotte heb ik ook meteen alle laatste patches en updates toegepast, wachtwoorden vervangen, enzovoorts enzoverder.

Waarom de oude server niet gewoon opschonen? Omdat dat eigenlijk gewoonweg niet doenbaar is. Het is veel eenvoudiger om met een schone lei te beginnen en de gehackte server uiteindelijk te verwijderen.

Waarom Drupal nog blijven gebruiken? Omdat de ontwikkelaars achter Drupal hier de juiste procedure volgden. Kwetsbaarheid breed kenbaar maken en meteen een oplossing voorzien. Dat ik toch in de problemen kwam, ligt geheel en al aan een ongelukkige timing.

Waarom zelf al die moeite met een server doen? Daarom.

Drupalcon

matthias@netsensei.nl (Matthias Vandermaesen) — Sun, 28 Aug 2011 09:57:58 +0000

Ik schreef dit reeds donderdagmiddag. Maar ik had pas vandaag tijd om af te werken. Met een beetje vertraging dus.

’t Zit er bijna op. Ik zit nu in de coderslounge met nog een half uurtje te gaan voor we terug naar het vasteland vertrekken. Het was, zoals altijd, geweldig om weer eens Drupalcon te mogen ervaren.

De eerste dag bestond voornamelijk uit werken. Voor De Job had ik beloofd om ter plaatse wat uurtjes te maken. Geen probleem. Dus zaten we met een paar mensen op een klein hotelkamertje op houten stoeltjes te hacken, mailtjes te sturen en te vergaderen. ’s Avonds was het zoeken naar een goed restaurant. Het werd The George waar ik sausages with mashed potatoes and peas koos. De avond bestond uit pils, en gesprekken over Drupal en Boedha.

Dag twee, daar herinner ik mij niet zoveel van. Ik heb een paar sessies gezien. Eentje over The Biology of the Page Request en eentje over Easy Drupal Hosting Lifecycle. Ergens vielen ze een beetje tegen in dat ze nogal heel algemeen waren. Er werden niet meteen dingen verteld die ik nog niet wist. De rest van de dag was mensen ontmoeten, meer mensen ontmoeten, veel code schrijven, zotte ideeën uitwisselen, koffie drinken en foto’s nemen.

Hoogtepunt van de dag was de presentatie van collega’s Swentel en Jyve over Display Suite. Hun project draait op 8000+ websites en laat je toe om heel snel en makkelijk mooie websites te bouwen. De organisatie had zelfs een tweede zaal ingezet met een videolink.

Tegen de avond ben ik vrij snel terug richting hotel gekeerd met een stevige verkoudheid. Ook hier toonde het weer zich niet van zijn fraaiste kant. Bovendien zitten we hier met 1800+ mensen opeengepakt in een ietwat krappe venue.

Gisteren ging het gelukkig een stuk beter. De dag stopte wat vroeger omdat er ’s avonds naar Batman Live werd gegaan. Als je een ticket had tenminste. Het geluk was aan mijn zijde: blijkbaar deelden ze last minute nog wat gratis tickets uit.

Met een colonne typische rode dubbeldekkers trokken we van Croydon naar de O2 Arena. Ik geloof niet dat ik eerder zo onder de indruk was van een overkoepelde ruimte. Je mag er echt geen pleinvrees hebben. De eigenlijke arena is niet veel groter dan de Lotto Arena. De show zelf was een acrobatisch circus met veel special effecten, dans, kunsten, video en, jawel, vuurwerk. Het was allemaal op kindermaat geschreven: verstand op nul dus.

Vanmorgen trok ik naar de keynote van de Standardistas over Designing the Sustainable Web. Heel interessante en inspirerende sessie over de geschiedenis van het WWW en welke principes er écht belangrijk zijn wil je een goede website bouwen. De rest van de dag was het voornamelijk mensen ontmoetten.

Straks gaat het met de ferry terug richting vasteland.

BarcampGent I

matthias@netsensei.nl (Matthias Vandermaesen) — Sat, 29 Mar 2008 09:20:42 +0000

’t Is dat ik even van lijfblogging wil doen. Ik hier dus op BarcampGent. Momenteel loopt er een eerste presentatie in één van de grote zalen. Maar ik wil mijn eigen presentatie nog iets beter bijwerken. Momenteel zit ik hier in een zithoek met 6 anderen laptoppers aan het hacken, presentatiebrouwen,…

Ik geef mijn eigen presentatie om 14u. De titel? ‘Birds on a wire. Some thoughts about Twitter’ Iets rond het gebruik van Twitter in collaboratieve context. En straks om 18u is er het ITPRO geekdinner in de kantoren van Netlash.

Het belooft een stevige dag te worden.

Alle quiet on the western front

matthias@netsensei.nl (Matthias Vandermaesen) — Tue, 19 Sep 2006 14:54:12 +0000

Zondagavond stuur ik een mailtje richting mijn host om te waarschuwen dat er een hacker op mijn website actief is geweest en dat zij daar toch ook wel eens naartoe zouden mogen kijken. Gedeelde verantwoordelijkheden en zo. We zijn nu dinsdag-bijna-avond en ik heb nog altijd geen reactie gehad van de helpdesk. Bizar. Of ’t moet zijn dat ze er geen fluit meer om geven of hun servers lekke mandjes zijn of dat hun klanten het zelf maar moeten uitzoeken. Hmgr.

Als ik morgen nog geen reactie heb gehad stuur ik een iets meer aandringende mail in de hoop ze zo wakker te schudden.

Gehacked (3)

matthias@netsensei.nl (Matthias Vandermaesen) — Sun, 17 Sep 2006 19:59:16 +0000

Ik heb tijd gehad om de logfiles eens nader te inspecteren… en inderdaad! Mijn apachelogs hebben een verhaal te vertellen! Zo tussen 12u30 en 13u – tijdens mijn lunch – gebeurden er op 13 september allerlei rare activiteiten. Ik zie een ip-adres mijn site over en over refreshen. Op zich kon ik er niet uit opmaken wat er gaande is. Daarvoor zijn de files, jammer genoeg, te beperkt. Tot opeens de eerste melding naar de Hacked By the Maniac opduikt. Dat was van een tweede ip-adres. Even verder zie ik dan van het eerste ip dat er gesurft werd naar mijn site vanaf zone-h.net/defaced. Daar vond ik een mirror waar de HTML code van mijn verminkte site is opgepleurd! Blijkbaar om te pronken hoe 3733t ze wel niet zijn met hun werk.

Een whois commando leert mij dat beide ip’s behoren tot de iprange van TurkTelekom (what’s in a name). Omdat de website waar bezoekers automatisch naartoe werden doorgesjasd Turks was, lijkt het mij dat ik hier de twee boosdoeners heb gevonden.

Dat de apachelogs niets vertelden verontrusten mij ergens wel een beetje want zo kan ik niet achterhalen wat er mis is. Misschien zijn ze binnengebroken via FTP? Maar aan die logfiles geraak ik blijkbaar niet: ik heb wel de mogelijkheid om ze te downloaden via mijn administratiepaneel, maar de facto weigert hij dat te doen. Niet fijn! Visuele inspectie van mijn FTP ruimte leert mij dat er geen files zijn aangepast. Maar dat wil natuurlijk niets zeggen. En over MySQL logs beschik ik al helemaal niet. Hoewel ik voor elke databank een aparte user maak met een sterk paswoord. Het lijkt me dus vrij sterk dat ze via daar zouden zijn gekomen.

Ik heb ondertussen een mailtje met het stukje apachelog naar de helpdesk gestuurd. Ik ga het hier niet publiekelijk posten maar geïnteresseerden mogen mij anders wel een mailtje sturen. Misschien ontdekken anderen wel een patroon en het is een kans om hieruit te leren!