Wat te doen tegen een gehackte website?

[Zomaar iemand]

Op nu.nl stond vandaag een stukje waarin de FBI bedrijven in de V.S. heeft gewaarschuwd voor eventuele aanvallen van Syrië.

 

Nu vraag ik me af wat nu werkelijk het gevaar kan zijn.

Als men een website hacked kan je als webmaster toch gewoon de hele server resetten, nieuwe wachtwoorden erop zetten eventueel extra maatregelen treffen om een nieuwe hack te voorkomen en gewoon weer verder gaan met ondernemen?

 

Buitenlandse bedrijven krijgen de waarschuwing vaak ook, al is het vaak wat later. Een aantal jaren geleden kregen wij ook een dergelijke brief. Hoewel deze niet van de FBI was, maar van de ambassade.

Ik verwacht deze keer niet dat ik de brief zal krijgen, omdat we al een tijdje geen zaken meer met de ambassade doen.

 

Ik snapte toen ook de commotie niet helemaal. Of zie ik iets over het hoofd? Kunnen ze met een hack een server permanent onklaar maken? Ik maak bewust geen gebruik van de webmail functie van onze website om te voor komen dat e-mailadressen bij een hack of een lek in de software bij verkeerde mensen terecht komen. Waardoor mijn contactpersonen dan niet lastig gevallen kunnen worden.

[R.I.P. | Peter Bonjernoor]

Alle pagina's van je website kunnen besmet raken zodat al je bezoekers geconfronteerd worden met malware. Da's niet goed voor je reputatie, en het kan veel tijd kosten je site weer op te schonen.

 

Daarnaast kunnen natuurlijk eventuele databases leeggetrokken worden, met alle ellende vandien.

[Zomaar iemand]

Hoezo zou dat veel tijd? JE haal toch alles eraf en zit het origineel er weer op?

 

Ik kwam op de google website zelfs een handleiding tegen die in Jip & Janneke taal verteld wordt (wel in het engels)

http://www.google.com/webmasters/hacked/

[TwaBla]

 

Gewoon even niet meer via de Eurotunnel reizen. En verder geen zorgen maken.

[Zomaar iemand]

Sorry, die snap ik niet.

 

Ik maak me ook helemaal geen zorgen. Ik heb geen standaard websitesoftware draaien, dus een hack moet echt specifiek worden geschreven voor mijn website. Denk niet dat mijn website echt heel interessant is. Ben gewoon benieuwd.

[tim123]

Als hackers je server(s) willen hacken om gegevens te achterhalen dan defacen ze je website natuurlijk niet. Ze willen dan niet dat ze opgemerkt worden.

 

Daarnaast moet je bij een hack je wel goed realiseren dat alles op de gehackte server niet meer te vertrouwen is. Als er meer servers in het lokale netwerk hangen moet je goed afvragen of je die nog wel vertrouwd. Je moet dus niet alleen je website opnieuw inrichten maar ook het OS enz. Er zijn zelfs gevallen bekend waarbij hackers een backdoor in de firmware van een server hebben geplaatst zodat de backdoor zelfs een reinstall overleeft. Verder is het ook prima mogelijk om een server fysiek te slopen (mits je voldoende toegang tot het besturingssysteem hebt; zogenaamde root-rechten).

 

Ik weet niet of het specifiek over je eigen website ging maar daar zie ik toch echt een login scherm waar klanten kunnen inloggen. Zou je het erg vinden als die klanten gespamt worden? Of als ze het wachtwoord wat ze voor je site gebruiken toevallig ook ergens anders gebruiken en door een hack op je server komt een hacker aan dat wachtwoord? Toegegeven het is niet helemaal jou schuld dan, maar ik vraag me af of je klanten er ook zo over denken.

 

Ik zou trouwens nog maar eens goed naar je website laten kijken want die zou wel eens wat probleempjes kunnen hebben. Voor details moet je maar een berichtje sturen.

 

[Zomaar iemand]

Bedankt voor je reactie.

 

Interessant wat je schrijft over de server. Nu huur ik ruimte op een server, wat wel extra risico met zich meebrengt (wanneer andere websites gehackt zouden worden, maar op server niveau is het niet mijn taak. Gelukkig want daar heb ik te weinig verstand van.

 

De klanten inlog is niet meer in gebruik, achter dit systeem zit wel een heel uitgebreid systeem waar vaste klanten via een webshop hun dingen kunne bestellen en hun orders in kunnen zien. Maar er werd geen gebruik van gemaakt, mensen belde of stuurde een e-mail.

Met de nieuwe layout, die nu ontworpen wordt, is deze inlog ook verwijderd.

 

Ik heb je een e-mail gestuurd over de eventuele risico's.

[AtCreate]

Ik vind de opmerking 'mijn website is niet zo interessant' altijd een gevaarlijke. Dat je een kleine website hebt houdt niet in dat je niet gehackt zult worden, of dat er geen pogingen zullen worden gedaan om binnen te komen. Juist de kleinere websites zijn leuk als 'target practice'. Het beveiligen van je website is altijd een goed idee, hoe groot of klein de website ook is!

[Ingteractive.com]

@Atcreate...

 

volgens mij gaat er iets ook niet helemaal goed bij je eigen website:

[Henri Kroeze]

Voor iedere ondernemer die denkt dat zijn/haar website niet interessant is voor hackers: vaak is het internet gespuis alleen maar geïnteresseerd in de webserver zelf.

 

Men installeert kleine bestandjes, hopelijk onopgemerkt, om daarmee vervolgens spam email te verzenden. Dit wordt niet gedaan vanaf jouw email adres, gewoon onder een fake name.

 

Waarom? Omdat op dat moment jouw webserver nog niet bekend is op de black list en email verstuurd vanaf die server door andere computersystemen gewoon wordt geaccepteerd. Maar na een half uur spammen heeft jouw provider (beheerder van je webserver) het wel in de gaten en zet jouw domein 'uit', zodat in ieder geval het spammen stopt.

Doet hij dit niet, wordt de webserver op de zwarte lijst gezet en is email verstuurd vanaf die server per definitie verdacht. En met jouw website alle andere websites die op die server draaien. Dat wil de provider te allen tijde voorkomen.

 

Dus ja: zorg dat je website beveiligd is. En goed beveiligd is. Begin 2013 lagen de WordPress sites zwaar onder de aanvallen, nu zijn dat de Joomla sites.

 

[AtCreate]

@Ingteractive.com: nee dat klopt wel, ik ben er momenteel mee bezig ;) [/offtopic]

[fvddungen]

Het hacken van sites, die voorzien zijn van een veel gebruik cms, daar komt geen handwerk aan te pas. Dat gebeurt allemaal via scripts, die het hele internet afspeuren naar zulke sites en vervolgens kijken of er nog lekjes in zitten, die niet zijn gedicht. Maakt dus geen moer uit of je website interessant is of niet.

[MegaMartin]

Sorry, die snap ik niet.

 

Ik maak me ook helemaal geen zorgen. Ik heb geen standaard websitesoftware draaien, dus een hack moet echt specifiek worden geschreven voor mijn website. Denk niet dat mijn website echt heel interessant is. Ben gewoon benieuwd.

Ik sluit me aan bij eerdere reacties. Het gros van de websites wordt niet gekraakt omdat zij door krakers worden aangemerkt als een interessante 'target', maar het kraken vind volledig automatisch plaats. Softwarerobots zoeken het internet af naar websites die een of meer beveiligingsfouten bevatten. Daarna wordt de gevonden fout automatisch uitgebuit en de de website besmet.

 

Alle bekende CMS'en liggen onder de loep voor de genoemde robots. WordPress, Joomla, Drupal. Alle bekende pakketten hebben beveiligingslekjes, of lekjes gehad die tot een kraak kunnen leiden.

 

Een besmetting van je website wordt waarschijnlijk vrij snel opgemerkt door virusscanners, die de domeinnaam van de website zullen aanmerken als gevaarlijk. Het stickertje 'gevaarlijk' komt vervolgens bij de browsers van je klanten terecht, waarna die bij het bezoeken van je website OF worden besmet met een virus, OF geblokkeerd worden en je website niet kunnen bezoeken. De virusscanners kunnen een website soms langdurig als gevaarlijk aan blijven merken, ook als je de besmetting reeds hebt verwijderd.

 

De besmette website verwijderen en een schone versie terugzetten lost het probleem niet op: de schone versie van de website bevat namelijk nogsteeds hetzelfde beveiligingsprobleem, dat automatisch ontdekt zal worden door de softwarerobots, waarna de website weer wordt besmet. Op een gegeven moment ben je vaker bezig met het terugzetten van een schone site dan met core business.

 

Bovendien: wie zegt dat de kopie van de site die jij als 'schoon' beschouwd, ook daadwerkelijk schoon is? Een website waarop geen virus is gedetecteerd, is niet per definitie schoon. Een virus kan ook tijdenlang inactief zijn binnen een website, en op een moment dat voor de krakers gunstig is, tot leven worden gewekt. Het terugzetten van een schone kopie is dan een illusie.

 

Het verwijderen van een virus uit een website is voor moderne virusscanners nog niet goed mogelijk, en handmatig vaak niet te doen, tenzij je extreem veel uren uittrekt en van doodsaaie en foutgevoelige klusjes houd..

 

Ik snapte toen ook de commotie niet helemaal. Of zie ik iets over het hoofd?

De rede voor de waarschuwingen van de FBI is meervoudig, maar een belangrijke reden is dat men bedrijven wil waarschuwen voor diefstal van gegevens. Dit kan om persoonsgegevens gaan, maar ook om bedrijfsgeheimen. Als een kraak gericht wordt uitgevoerd (men gaat specifiek op zoek naar een beveiligingsfout voor het kraken van bedrijf X) dan is deze vaak vele malen meer ingenieus opgezet dan de eerder genoemde automatische aanvallen.

 

En als je bedrijfsgeheimen lekt kun je wel een oud kopietje van je site terugzetten, maar daar heb je dan toch niks meer aan ;)

[Christine]

Een web site die weinig verkeer trekt is geen target voor hackers, maar wel voor bots. Mijn server is een keer gehackt, terwijl er niks interessants op draaide, gewoon door een bot die een rootkit installeerde. Dat kwam omdat ik phpbb draaide, en dat is zo lek als een mandje.

 

Het argument "ik gebruik geen standaard software" vind ik dubieus. Je site wordt des te gemakkelijker gehackt naarmate de bouwer minder verstand van beveiliging heeft. Als je Wordpress gebruikt (of Joomla of Drupal of een ander framework met veel lekken) dan heb je het voordeel dat je door de makers op de hoogte wordt gehouden van de problemen, zodat je ze tijdig kunt fixen. Als je zelf iets maakt in php dan moet je zelf bugtraq bijhouden, en zelf de lekken dichten. Dat kun je doen als je een ervaren programmeur bent (of als je die in dienst hebt).

[Think Twice]

Juist de standaard cms-en zoals Wordpress zijn een doelwit. Dit gebeurt allemaal automatisch. Het maakt hierbij niet uit of je een drukbezochte website hebt of niet.

 

Ieder CMS heeft wel tips om de beveiliging te verbeteren, neem die serieus en voer die uit.

 

En belangrijkste, zorg altijd zelf voor een recente backup van de bestanden en database! Veel hostingpartijen kunnen je er namelijk niet aan helpen als het erop aan komt.

 

Vergeet ook niet dat als je op een VPS draait die je zelf moet onderhouden, dat alle onderliggende software ook lekken kan bevatten. Ook die software dus regelmatig updaten.

 

Ook het onderhouden van je eigen computer hoort daarbij. Heb je zelf een computer die vol zit met spyware/ virussen dan is het een kwestie van tijd voordat je wachtwoorden worden onderschept.

[R.I.P. - Benm]

Een weinig bezochte site is inderdaad zeker geen garantie om niet gehacked te worden. Als je bijvoorbeeld een verouderde versie van wordpress draait dan kan dat geheel automatisch gebeuren, zonder dat de aanvaller het specifiek op jouw site voorzien had.

 

Wat ze er vervolgens mee doen is anyones guess. Uiteraard kunnen ze je website zichbaar verstoren, maar ook onderwater je hostingpakket gebruiken voor het verzenden van spam, hosten van malware en dergelijke. Dat hoef je niet eens direct in de gaten te hebben als je de website beheert of bezoekt.

 

Een recente backup hebben is altijd goed, maar bedenkt wel dat het domweg terugzetten daarvan het probleem niet oplost: als het kwetsbaar was dan is het ook weer kwetsbaar als je die backup terugzet, je zult dan toch maatregelen moeten treffen om herhaling te voorkomen. Dat kan domweg upgraden naar de nieuwste versie van iets als wordpress zijn, maar soms ook complexer omdat het feitelijke lek elders zit.

[herman van der helm]

Onze provider heeft last gehad van een hacker en heeft dit aan zijn klanten gemeld en alles weer gereset, nieuwe inlogcodes en wachtwoorden ingesteld. Na enkele dagen is één van mijn sites die op marktplaats zichtbaar is voorzien van een fake web shop waar allerlei telefoons werden aangeboden. Erop geattendeerd door markplaats en na verwijdering van de site door en in overleg met de provider, alle wachtwoorden en inloggegevens weer aangepast. Een dag later stond er weer een fake web shop op met nu ook onze naam en logo's erin verwerkt. Wederom verwijderd en tot nu toe de site leeggelaten om even af te wachten of het niet weer opnieuw gebeurde.

Site blijft leeg.

Vandaag krijg ik een mailtje van iemand die op de web shop met ons webadres een telefoon heeft gekocht en betaald en zich afvraagt of hij niet opgelicht is. Of ik hem verder kan helpen.

 

Wat moet ik hiermee? aangifte doen?

[Nico Schouten]

Mogelijk zijn er meer mensen slachtoffer van de hack.

Vraag eens aan de provider wie er nog meer last van heeft gehad.

 

Hacken is strafbaar, volgens mij heet dat formeel computervredebreuk.

Zeker nu er zich 'klanten' melden denk ik dat het goed is om zelf al actie te ondernemen.

Is er betaald naar een Nederlands bankrekeningnummer?

 

Vwb het resetten van passwords, dat lijkt een oplossing maar hackers willen wel eens bestanden op de server plaatsen waarbij ze op eenvoudige manier de gebruikersnaam en het wachtwoord kunnen achterhalen.

Naast resetten van de logins doe je er goed aan om ook even laten kijken naar de recent aangepaste files op de server. Als er nieuws bestandjes zijn geplaatst is de kans groot dat deze bestanden bedoelt zijn om username/password te achterhalen.

 

[Bazzio]

[quote author=herman van der helm link=board=3;threadid=48524;start=15#msg509649

Wat moet ik hiermee? aangifte doen?

lijkt me wel, hacken is strafbaar maar zonder aangifte kan politie ook niets doen..

wellicht is dat mogelijk met een digitale aangifte?

[Nico Schouten]

Hoe doe ik aangifte van internetcriminaliteit?

[herman van der helm]

zit zo meteen op het politiebureau

[herman van der helm]

Het valt onder fraude. Aangifte is geregistreerd. Volgens onze hoster blijkt het een landelijk opererende NL bende te zijn die vnl Dixons benadeeld via allerlei fake websites.

Ze hacken hosters die dan al hun domeinen van klanten kwijt zijn en dan misbruikt worden.

[R.I.P. - Benm]

Die figuren heb je er altijd tussen zitten. Als je een wat ouder marktplaats account hebt loop je het risico dat ze daarvan de gegevens ontvreemden (bijvoorbeeld door de server te hacken waarop het mailaccount dat je voor marktplaats gebruikt gehost is).

 

Het vervelende is dat ze mensen oplichten die vervolgens meestal bij jou aan komen kloppen. Je kunt ze doorsturen naar de politie, die zal de aangifte wellicht wel opnemen maar of ze ooit hun geld nog terugzien betwijfel ik.

[Edo van Santen]

Onze provider heeft last gehad van een hacker en heeft dit aan zijn klanten gemeld en alles weer gereset, nieuwe inlogcodes en wachtwoorden ingesteld. ...

 

Herman,

los van het aangifteverhaal, zou ik me ook zorgen maken over de robuustheid en de beveiliging van je website. Helaas zijn vele websites eigenlijk zo lek als een mandje, en dan wordt het dweilen met de kraan open. Wellicht toch even de beveiliging etc laten checken?

[PimEffting]

In het kader van de week van de veiligheid, heeft mijn collega hierover een informatief artikeltje geschreven:

https://realhosting.nl/2014/10/week-van-de-veiligheid-tip-5-website-gehackt-malware-en-defacing/

 

Hopelijk heeft iemand er iets aan. Aanvullingen of suggesties uiteraard ook welkom.

[wpbeveiligen]

Via de Sucuri malware scanner kun je gratis scannen of je WordPress site al geïnfecteerd is,

https://sitecheck.sucuri.net/

 

Het verschil moet tevens gezien worden dat WordPress niet zozeer lek is, en de lekken worden geregeld met updates gefixt.

 

Het zijn vooral de plugins die de problemen veroorzaken, plugin makers die updaten niet vaak genoeg en hebben niet altijd verstand van beveiliging.

 

Zonder een beveiligingsplugin zet je de WordPress website zoal wagenwijd open voor een ieder die wil proberen handmatig of via een bot binnen te komen.