Roland Kamphuis Rotating Header Image

Posts Tagged ‘security’

Joomla hackers

De laatste tijd maak ik vaak mee dat Joomla sites gehacked worden van klanten. Het zijn meestal oude Joomla installaties die al maanden/jaren niet meer geupdate zijn. De hackers hebben blijkbaar ergens een injectie ontdekt om op die manier bestanden in de /tmp map te plaatsen. Deze map moet chmod 777 hebben bij installatie van joomla, dus is het aardig eenvoudig voor de hacker om daar bestanden in te plaatsen.
Ten tweede plaatsen ze dus vaak een dos scriptje, en gaan ze vervolgens met het scriptje aan de slag om andere servers/sites te dossen. De server gooit zijn complete uplink helemaal vol met verkeer richting het ip die de aanval moet ontvangen. Ik heb meegemaakt dat er meerdere servers opeens een volledige gbit gingen trekken en daarmee sommige uplink providers van ons overbelasten wat als resultaat onze eigen bereikbaarheid van het netwerk ook aantasten.

Gelukkig hebben we goede monitoring en kon ik snel ingrijpen door ten eerste de servers terug te zetten naar 100mbit, en daarna de server te onderzoeken. Bij een van de gevallen kwam ik een leuke case tegen. z
Ik zie een hacker zijn php hackscript aanroepen met “b11770.php?action=udp&host=xx.xx.xx.xx”, heb ik snel het script aangepast en $_GET[‘host’] = $_SERVER[‘REMOTE_ADDR’]; bovenaan toegevoegd. Toen was het wachten tot hij het script opnieuw aanriep, want met die regel zou de hacker dus niet meer zijn xx.xx.xx.xx ip aanvallen, maar gaat de aanval opeens naar het ip van de hacker zelfs. En voilla, na 2 minuten riep de hacker zijn script aan en ging er een flinke attack richting zijn eigen ip. Wonderbaarlijk riep hij het script nog 3 keer aan voordat hij erachter kwam dat zijn eigen script een aanval op hemzelf lanceerden en staakte eindelijk zijn acties… (waarschijnlijk opzoek naar een nieuwe niet-geupdate joomla site).

php_dos

Nieuwe lantaarnpalen in de straat

Ik zag opeens vanuit mijn werkplek een lantaarnpaal omlaag gaan. Blijkt dat de gemeente Enschede vandaag besloten heeft om de lantaarnpalen te vervangen gaan. De nieuwe palen zijn een stuk hoger en belichten daardoor de straat veel beter.
Dan vraag je wellicht af waarom ik een post aan lantarens besteed, er is namelijk ook een lantaarnpaal voor ons datacenter neergezet, met als groot voordeel dat onze nachtvisie van de buitencamera’s flink verbeterd is. Waar we vroeger nog grauwe hoekjes zagen is nu bijna alles goed belicht. En dat te bedenken dat onze camera’s al perfect beeld gaven in het donker.
Maar zoals wel vaker maakt de gemeente de klus niet af, en staan er een paar extra lantaarnpalen in onze straat die nog niet aangesloten zijn…

Ruzzie met een hacker

Af en toe gebeurd het nog dat er een server geïnfecteerd raakt en dat de server allerlei nevenactiviteiten vertoond. Vaak komen deze hackers binnen via lekken in php-scripts. De hackers zetten een script aan om zo bijv. andere machines te infecteren, wachtwoorden te verzamelen of andere websites plat halen.

Zo werd ik deze ochtend wakker met een tiental abuse mails in de mailbox. Dus ik log in op die machine die blijkbaar andere machines aan het brute-forcen was (niet technische term: alle user/wachtwoord combinaties proberen op andere servers).
Ik kom er al snel achter dat de hacker via roundcube binnen is gekomen en begin om alle schade ongedaan te maken. Ik stop als eerste het script van de hacker en gooi alle bestanden van hem weg, vervolgens begin ik apache te patchen zodat ik zeker weet dat daar ook geen lek in zat. Terwijl ik dat aan het doen ben ontvang ik het bericht “ha” van een andere ingelogde gebruiker. Blijkt die gebruiker de hacker te zijn die op hetzelfde moment ook nog ingelogd was. En nog geen seconde later verlies ik de connectie met de server (ofwel de hacker had mij eruit gegooid). Opnieuw connecten leverde geen resultaat op.
Dus ik bel de klant op van de server en controleer samen met hem of de backups van afgelopen nacht goed zijn. (zodat ik het systeem kan aanpakken, en in geval dat de hacker iets heeft geïnfecteerd of verwijderd het hele systeem opnieuw kan inrichten).
Maargoed, ik kon nog steeds de server niet in. Dus pakte ik het grover aan en rebooten de server met de APC switch. Door continue de server te pingen kon ik op de eerste seconde inloggen.
Ik moest snel zijn, want ik moest de lek nog dichten. Dus snel het updaten van roundcube aangezet, en voordat dat klaar was, was meneer hacker ook weer ingelogd. Dus ik noteer snel zijn ip en ban hem van de server. Ik dacht, dat is te makkelijk, dus ik maakte mijn borst al nat voor geval de hacker terug zou komen van een ander ip of een botnet zou inzetten. Opeens kreeg ik weer een timeout van de server, en stond verbaasd te kijken want de hacker kon mij er niet uit hebben gegooid omdat ik hem eerder had kunnen blokkeren. Uit ergernis probeer ik op een andere machine van mij in te loggen om vanaf daar naar de server te verbinden. Blijkt die server ook plat. Toen ik google.nl intypte in de browser leek het niet de servers te zijn maar mijn internet verbinding die plat was.

Ik keek in mijn thuis router (DD-WRT) en zag dat ik een flinke inkomende attack binnenkreeg. Ofwel die hacker had in die kleine tijd voordat ik hem geblokkeerd had mijn ip genoteerd en op mijn ip een dos gestart.
Dus ik pakte mijn mobiel (lang leve de internet op de telefoon) en logde via Vodafone dus opnieuw in op die server. Daar bleek alles na mijn blokkade rustig te zijn en heb ik rustig de server verder af kunnen beveiligen. De server nog gecontroleerd op mogelijk backdoors, rootkits en geïnfecteerde bestanden. De server draait inmiddels weer als een zonnetje.
De dos aanval op mijn thuis-internet verbinding hield na 20 min op.

Mijn dank gaat dan ook weer uit voor roundcube, mogen ze daar eens leren veilige code schrijven. (Dit is niet de eerste keer dat de versie van roundcube lek is, zie ook hier). Mocht je nog roundcube versie 0.5 draaien, update hem snel mogelijk naar 0.7!  (Geen idee over versie 0.6 een lek bevat, na dit voorval heb ik alle versies geupdate naar 0.7).

InterDC: Beveiliging

Gister zijn alle camera’s opgehangen in het InterDC datacenter. De camera’s zorgen voor een 24/7 beveiliging van het pand. Er is geen hoekje meer waar de camera’s geen zicht op hebben. Op de datavloer hangen 2 camera’s. Dat aantal zullen we nog uitbreiden naarmate het aantal rijen racks zal stijgen.

Alle camera’s hebben een resolutie van minimaal 720p, wat vele male hoger is dan het oude traditionele CCTV systeem. Op die manier hebben we veel hogere kwaliteit beelden en kunnen we veel meer details zien. Ook kunnen de camera’s prima in het donker zien. Waar de camera’s op de datavloer uitgerust zijn met een bewegingssensor en een lamp, beschikken de camera’s die buiten hangen over een heel gevoelige lens, zodat in het donker nog steeds gezien kan worden.

IceHosting 6 jaar

Vandaag, 1 okt 2010, is IceHosting 6 jaar geworden. Het is alweer 6 jaar geleden dat ik IceHosting oprichte als een kleine webhoster. IceHosting is als kleine webhoster flink gegroeid en is nu een van de grotere spelers in Nederland. Het laatste jaar hebben we veel oude servers vervangen. Vandaar dat er niet veel bij de servernummering bij is gekomen. Ook hebben we in december een nieuwe backupserver van 6×1,5TB. In November 2009 zijn we Ripe lir geworden.  Dat houd in dat IceHosting zonder tussenpartijen direct haar ip benodigdheden kan aanvragen en beheren. Ook hebben we begin dit jaar onze ipv6 range toegewezen gekregen. Op moment wordt daar aan gewerkt om deze binnen kort termijn uit te gaan rollen.
Vorige maand is IceHosting verhuisd naar Enschede voor een deel. De Administratie is nog achtergebleven in Haaksbergen. Ik hoop dat het kantoorpand snel af is zodat we ook de benedenverdieping van ons pand kunnen gaan gebruiken en de administratie kunnen verhuizen gaan. Uniek aan ons pand is de beveiliging. Meeste bedrijven hangen een bewegingsensor op icm een alarmcentrale. Wij hebben een aantal Axis ip camera’s opgehangen. Deze camera’s detecteren beweging en nemen het hele moment op vanaf begin van de beweging. ’s Nachts werken deze camera’s met bewegingsensoren om beweging te kunnen detecteren en om vervolgens een lamp aan te schakelen.
Tot slot heb ik nog een aantal leuke plannen gepland staan voor IceHosting in de toekomst. Zo zijn we afgelopen maand begonnen met Software ontwikkeling onder de naam IceByte, en zullen we nog een complete nieuwe bedrijfstak toevoegen in de toekomst.