Beste mensen, zoals u misschien kort gemerkt heeft, was Sargasso even gehackt.
Inmiddels lijkt alles weer normaal te werken. We zijn nog aan het uitzoeken hoe dit heeft kunnen gebeuren.

Kijk bij de wakkere buren van Retecool voor een screenshot.

Reacties (57)

#1 MS

Even een rootkitchecker (laten) lopen. Met name omdat onze hekkert beweert geen achterdeurtje te hebben achtergelaten zou ik het toch even bekijken.

Ik draaide wel eens rkhunter. Wel de allerlaatste nemen.

  • Volgende discussie
#2 Steeph

Zou ik graag doen, maar ik zit op mijn werk met beperkte mogelijkheden.
De hoster gevraagd er even naar te kijken.

  • Volgende discussie
  • Vorige discussie
#3 MS

OK. Kundige mensen? Dan weten ze wel wat ze moeten doen.

  • Volgende discussie
  • Vorige discussie
#4 MS

Overigens, heb jij enig idee wat voor RePsEct Jan Lammers zou moeten betonen?

  • Volgende discussie
  • Vorige discussie
#5 Bas

Misschien aan Jos Verstappen?

  • Volgende discussie
  • Vorige discussie
#6 S’z

Pertinente vraag : heeft zo’n hacker dan zicht gehad op onze e-adressen ?

  • Volgende discussie
  • Vorige discussie
#7 Steeph

@S’z: Zover we hebben kunnen nagaan is de hacker niet in WordPress geweest. Er zijn alleen wat bestanden vervangen op de site.

  • Volgende discussie
  • Vorige discussie
#8 Sikbock

jullie kunnen je nog bekeren jongens.. dit is nou de macht van allah ( prijze zijn baard in vrede)

beter afschermen van de site leidt alleen maar tot verdere polarisatie..

* is in flauwe stemming *

  • Volgende discussie
  • Vorige discussie
#9 Bismarck

@8: Was het een terrorist dan, die hakker?

  • Volgende discussie
  • Vorige discussie
#10 larie

Ik voel dit als bedreigend, dus voor mij wel @Bismarck.

  • Volgende discussie
  • Vorige discussie
#11 su

Een luser van een scriptkiddie was het. Een html pagina zonder html of body tags..

  • Volgende discussie
  • Vorige discussie
#12 larie

Alle mensen die elkaar geweld aan doen zijn lusers @su

  • Volgende discussie
  • Vorige discussie
#13 positivo

Bekende hack. Updaten naar WP 2.5.1 jongens.

  • Volgende discussie
  • Vorige discussie
#14 Steeph

@positivo: Uh, we zitten op 2.5.1
Hij is waarschijnlijk via ons archief binnengekomen. Is nog software uit 2004.

  • Volgende discussie
  • Vorige discussie
#15 hemaworstje

waarom moet ik naar rc voor 1 lousy screenschot, wepmeesteres? . gebrek aan ruimte hiero of zitten jullie in 1 kantoor?

  • Volgende discussie
  • Vorige discussie
#16 Steeph

@hemaworstje: Kan niet uploaden hier, firewall gedoe. Vanavond weer.

  • Volgende discussie
  • Vorige discussie
#17 Bismarck

@10: Als iets bedreigend is, is het nog geen terrorisme. Ik merk dat het woord aan een hevige inflatie onderhavig is.

  • Volgende discussie
  • Vorige discussie
#18 larie

Wellicht na een hevige deflatie.

wiki:

Terrorisme is van oorsprong het opzettelijk verstoren van andermans leven waarbij de tegenstander wordt gedwongen hieraan mee te werken.

  • Volgende discussie
  • Vorige discussie
#19 su

Wat Bismarck zegt. Een simpel exploit gelijk trekken aan terrorisme, daar wordt niemand beter van.

  • Volgende discussie
  • Vorige discussie
#20 su

@ #18 larie:

Met zo’n definitie kun je staken ook uitleggen als terrorisme. Zullen de bazen leuk vinden.

  • Volgende discussie
  • Vorige discussie
#21 larie

Mijn punt is dat het begrip in de loop der tijd verschoven is naar extreem verstorende levensbeinvloeding. Vanuit historisch perspectief is het het een ongeldig argument te stellen dat het begrip aan inflatie onderhevig is.

Een woord is een “golden pin” die een abstractie in groepsverband middels klanken afperkt..niet statisch aldoende.

  • Volgende discussie
  • Vorige discussie
#22 su

Maar wat bedoel je nu met extreem verstorende levensbeïnvloeding? En in hoeverre dekt het woord terreur de lading niet meer?

  • Volgende discussie
  • Vorige discussie
#23 larie

Ach, ik neuzel maar wat. Woorden zoals “terreur” zouden vervangen/gesplitst moeten worden. Er zit ook een politiek luchtje aan, vertroebelt elk “begrip”.

  • Volgende discussie
  • Vorige discussie
#24 Bismarck

@18: Heeft die hakker jouw gedwongen om Sargasso mee te hakken? Oke, dan kan ik erin komen.

Mijn reactie (#9) was overigens meer aan het adres van #8, die stelde dat heel Sargasso (inclusief reaguurders?) gedwongen werd zich tot de Islam te bekeren door deze hak. Ik kon dat niet helemaal volgen (of beter die voorlaatste twee woorden in omgekeerde volgorde).

Ik heb toch al een mug/olifant gevoel bij deze hele post. Een blije puber is vannacht langsgeweest om zijn vriendjes te showen hoe knap hij is en heeft geen schade aangericht. Zijn actie was ongedaan gemaakt nog voor ik vanmorgen mijn internet aanzwengeld had. Waarom zouden we daar meer van maken dan het is?

  • Volgende discussie
  • Vorige discussie
#25 hemaworstje

omdat rc en en sargasso attentiehoeren zijn bismarck that’s why.
firewall ik kan niet uploaden , moahaha
dan link je toch naar imageschack of weet ik wat voor uploader en niet je commerciéle dode peerd in de hoek?

Of is dit zelf gefabriceerd komkommernieuws ? zijn we weer bezig bezoekers rond te pompen en dienen wij oh en ah te roepen bij gebrek aan beter nieuws?
we zijn vandaag zo vrolijk zo vrolijk zo vrolijk

  • Volgende discussie
  • Vorige discussie
#26 Yevgeny Podorkin

WÀÀÀT?! Zze hhebben ttoch niks meegenomen hoop ik? Bedoel: ER ZAL TOCH NIKS GEBEURD ZIJN MET ME REACTIES? Nou, dat ze niet in vreemde handen zijn gekomen? En zie je wel dacht ik het niet altijd dezelfden: waren het geen vieze communisten of fascisten…waren het wel die vuile moslimterroristen! En altijd als je op 1 oor ligt, de lammelingen. Gelukkig dat er nog wakkere buren waren anders…

Maar we kunnen zo toch niet meer met goed fatsoen rustig gaan slapen mensen? Weet niet hoe het met u zit maar mijn handen jeuken. Burgerwacht, vigilantes, de hele rattaplan. Want ze laten toch sporen achter? Nou dan, VOLGEN..tot de bron. Uitroken, kromstompen, kadavers laten wegrotten in de felle zon, minstens…De Wraak zal zoet zijn.

O ja…het zal.

  • Volgende discussie
  • Vorige discussie
#27 MS

@Steeph

Buggy software beschikbaar houden?!? Oei..

  • Volgende discussie
  • Vorige discussie
#28 Bismarck

@25: Het zijn toch reaguurders, die hier de zaak opblazen (#8: die ons adviseert te bekeren tot islam, #10 die vindt dat er sprake is van terrorisme).

Toegegeven, als Steeph er geen post van had gemaakt, waren er geen slapende honden wakker gemaakt. Of zijn er veel sargassoreaguurders die ook RC lezen (naja, dan kun je het toch altijd nog glashard ontkennen)?

  • Volgende discussie
  • Vorige discussie
#29 zmc

@larie, #18: Dat is wel een hele brede definitie. Normale mensen noemen dit gewoon vandalisme. Als er een plaatje van een satanische metalband op was gepatst, had je het toch ook geen satanisch metalterrorisme genoemd?
Bij terrorisme hoort een politiek oogmerk en het is vrijwel altijd gericht op het veroorzaken van angst in en het ontwrichten van de samenleving. Daar heeft dit niks mee te maken.

Zie ook vandale.nl; terrorisme is “het ontwrichten van een samenleving door daden van terreur, met een politiek oogmerk”.

  • Volgende discussie
  • Vorige discussie
#30 larie

Dus toch deflatie;)

  • Volgende discussie
  • Vorige discussie
#31 Steeph

@MS: Vooral bijna 4 jaar aan postjes beschikbaar houden. We moeten ze nog een keertje inlezen in het huidige WordPress, maar dat is geen eenvoudige/snelle klus.
Krijgt wel meer prio.

  • Volgende discussie
  • Vorige discussie
#32 MS

Het is altijd dat oude aftandse dingetje wat nog even moet blijven aan staan totdat.. etc etc.

  • Volgende discussie
  • Vorige discussie
#33 MS

@Steeph

Weet je zeker dat de database in orde is? Ik bedoel, ik neem even aan dat een en ander onder een eigen gebruiker draait, dus in de db kan zomaar iets veranderd zijn.

Ach, ze zullen de PHP engine of een module wel gefopt hebben. Vandaar de afwezigheid van html en body tags.

  • Volgende discussie
  • Vorige discussie
#34 Steeph

@MS: Nee, ze zijn niet in de db geweest. Ze hebben een soort include truc uitgehaald op een php bestand. Langs die weg toegang tot een directory gekregen waarmee ze bestandjes konden maken/overschrijven.

  • Volgende discussie
  • Vorige discussie
#35 positivo

@ Steeph:
Ken je deze plugin? Speurt naar exploits binnen je WP-installatie:
http://www.headsetoptions.org/2008/06/27/wordpress-exploit-scanner-is-a-life-saver/

  • Volgende discussie
  • Vorige discussie
#36 zwartwit

Heh hema.., zeikwijf! Alleen retecoole mensen bewaken de internets als iedereen ligt te maffen

En sorry hoor maar de afwezigheid van tags is een triviaal weetje, om dan iemand voor lutser scriptkiddy uit te maken is wel een beetje dom. Je kan beter erg blij zijn dat je iemand getroffen hebt met nog enige form van fatsoen in zijn flikker. Het is in elk geval iemand die zijn prioriteiten kent, html is triviaal. Ik zou mijn filesysteem heel goed na (laten) kijken want die achterdeur bestaat zeker.

  • Volgende discussie
  • Vorige discussie
#37 su

@ #36 zwartwit:

Jaja, kudo’s aan de hardcore hacker die weet prioriteit te stellen!! Ehhh.. Hoeveel bezoekers hebben zijn exploit uiteindelijk kunnen zien voordat ‘ie verwijderd werd?

  • Volgende discussie
  • Vorige discussie
#38 Steeph

@36: Al twee achterdeuren verwijderd :-) Tevens heel brutaal die hacker een mailtje gestuurd en hem bedankt voor het, ietwat bot, wijzen op ons beveiligingslek zonder gelijk alles stuk te maken. Aan hem gevraagd wat hij aanbeveelt om dat te voorkomen. Eens kijken hoe groot zijn ego is.

@su: Hooguit 300 mensen gegeven de normale bezoekpatronen tussen 4 uur ’s nachts en half negen ’s ochtends.

  • Volgende discussie
  • Vorige discussie
#39 Marynus

@37 Alle bezoekers van Retecool & Sargasso (zie link)

  • Volgende discussie
  • Vorige discussie
#40 zwartwit

@ 37

ijzersterke remark, het gaat kennelijk niet om credits, er schijnen nog mensen rond te lopen die je gewoon wijzen op het feit dat het pakket van je keuze bagger is.

De gaten uit eerdere versies (2.3.3 en 2.5) blijken nog immer te bestaan.

Verder:

http://www.movabletype.com/blog/2008/06/movable-type-a-history-of-secu.html

  • Volgende discussie
  • Vorige discussie
#41 zwartwit

Oh ennuh.., doe voor de grap ff een google zoekding op het mailadres van de ongewenste bezoeker, dan begrijp je wellicht dat het belangrijk is mensen, die veelal niet genoeg kennis hebben om dit soort zaken te voorkomen, te wijzen op het belang van een juiste pakketkeuze.

  • Volgende discussie
  • Vorige discussie
#42 zwartwit

If you can’t handle your soup, don’t eat it.

Maar, wel leuk joh al die plug-ins enzo.

  • Volgende discussie
  • Vorige discussie
#43 zwartwit

Is overigens geen verwijt, meer een bevestiging van het feit dat wanneer een pakket te veel mogelijkheden heeft, het erg moeilijk wordt om de veiligheid te overzien.

Het is een massa-exploit, die voornamlijk gebruikt wordt om malware te verspreiden en om sites van boefjes te SEO-en, ook weer voor de malware, Dat “bezoekers” de site “zien” is wel het minst belangrijke.

  • Volgende discussie
  • Vorige discussie
#44 MS

Hier meer mensen die met hem/ze van doen hebben gehad.

  • Volgende discussie
  • Vorige discussie
#45 su

@ #40 zwartwit:

Als het alleen daarom gaat, wat is er dan zo verkeerd aan een discreet mailtje naar de webmeester(es) van degene die je wilt waarschuwen? En waarom backdoors openen terwijl je je hack breeduit adverteert op de voorpagina? Scriptkiddie dus.

  • Volgende discussie
  • Vorige discussie
#46 Steeph

@zwartwit: Zijn jouw ramen thuis van gewapend en kogelvrij glas? Nee? Moet je niet klagen dat er een keer ingebroken wordt, al was het maar om aan te tonen dat glas het kwetsbaarste deel van de verdediging van je huis is.
Ga dagelijks wat stenen gooien als je het niet erg vindt. “if you can’t…..”

Blijft een debiele redenering.

Overigens zat het gat (nogmaals) niet in WP maar in de archiefsoftware (weet niet eens meer hoe dat heet, voor mijn tijd).

Dus eens met su.

  • Volgende discussie
  • Vorige discussie
#47 Steeph
  • Volgende discussie
  • Vorige discussie
#48 su

@ #47 Steeph:

Is allemaal geautomatiseerd. Scriptkiddies krijgen een grafische UI gepresenteerd. Click, click. Vink, vink. [OK].

  • Volgende discussie
  • Vorige discussie
#49 zwartwit

@ Steeph

Nee gewoon dubbel glas, op de eerste etage en een paar goede sloten op de deur. Plus een aantal niet nader te noemen veligheidsmaatregelen, nog nooit last gehad van inbraak, Amsterdam, pijp, ik klaag niet.

Ik kan me uiteraard vergissen over de wijze van toegang (heb immers geen prompt gezien), je gaf al aan dat het waarschijnlijk via de oudere software van het archief is gebeurd. Ik geef alleen maar aan dat wordpress nog steeds zo lek is als een mandje. Inderdaad, klik en go, tof pakket heh?
Waarom moeilijk doen als het makkelijk kan?

Ik ben zelf best handig maar heb wordpress afgeschreven. simpelweg omdat het te onoverzichtelijk is qua code.

Een achterdeur is standaard, omdat het dus inderdaad niet gaat om “gezien worden, maar omdat je server in de toekomst een ander doel kan dienen. Ik zei al geen verwijt, mijn menig over cms-pakketten.

  • Volgende discussie
  • Vorige discussie
#50 su

Een achterdeur is standaard, omdat het dus inderdaad niet gaat om “gezien worden, maar omdat je server in de toekomst een ander doel kan dienen.

Doen professionele inbrekers dat ook dan, de eerste dag alleen de slot kraken en een briefje op de voordeur prikken: “HAHA, L1PS SUX B1GT1M3!!”, om de volgende dag pas de buit op te halen? Lijkt mij dat ze dan vaak worden geconfronteerd met vervangen sloten.

  • Volgende discussie
  • Vorige discussie
#51 zwartwit

tiep maar raak su, als je appels met peren gaat vergelijken ben je mij kwijt.

WordPress kent te veel functionaliteiten en plug ins en wordt veelal gebruikt door mensen die te weining kennis hebben om de mogelijkheden die die functionaliteiten bieden (en dus ook de slechte) te kunnen overzien.

Daarnaast is het pakket simpelweg te populair, samen met onoverzihctelijk veel functionaliteiten een dodelijke combinatie. Aangezien het erg interessant/lukratief wordt om te zoeken naar gaten. Die dus ook doorlopend worden gevonden. Je blijft patchen met dat spul en dan ben je dus nog steeds lek.

  • Volgende discussie
  • Vorige discussie
#52 Lammert

Als het lek in de archiefsoftware zat… waarom is het archief dan nog actief? Of is de webmeesteres zo snel dat ze dat ze dat lek al heeft gepatcht?

  • Volgende discussie
  • Vorige discussie
#53 Steeph

@Lammert: Lek is deels dicht doordat rechten veranderd zijn. Maar om zeker te weten dat er niet nog een foefje is, moet alles uiteindelijk over.
Echter, we houden van onze historie. En google ook :-)
Dus we nemen gewoon weer een beetje risico.

  • Volgende discussie
  • Vorige discussie
#54 MS

Enfin, samenvattend kunnen we nu elke discussie over ISLAM/WILDERS/FITNA/SLAAP ZACHT opleuken met de mededeling:

Netherlands sh0w s0me R3psect! Lammers!

  • Volgende discussie
  • Vorige discussie
#55 sander

Een buitenlander weer he!!!

‘Moslimhacker’ valt Nederlandse sites aan

  • Volgende discussie
  • Vorige discussie
#56 marian

Doen wij dat ook moslims site, s hacken als er een vliegtuin de twintowers ingeboord wordt met duizende doden denken ze daar ook aan.En zo debiel hackt duizende site, s voor een filmpje waar weinig kwaad inzat maar wat wel de realiteit is helaas

  • Volgende discussie
  • Vorige discussie