Hacker wist servers van Nederlands hostingbedrijf

domein

Gepubliceerd: Zaterdag 13 december 2008

Een aantal klanten van Intronic IS, een klein hostingbedrijf, is onlnags het slachtoffer geworden van een hacker. Primaire én back-up servers zijn gewist.

Toon volledig artikel

Anonymous Coward op Zaterdag 13 December 2008 10:24

image

Op zich wel vreemd dat een hacker ook de Back-ups heeft kunnen verwijderen. Dat is toch een heel slordige manier van werken. Een back-up gedeelte hoort ook buitenshuis te wezen zodat je bij ander calamiteiten grotendeels toch terug kan.

  • 18 / 18

Calypso op Zaterdag 13 December 2008 10:29

image

Neehoor, dat schijnt heel normaal te zijn bij een aantal partijen. Zelf ook met zo'n partij te maken gehad enkele jaren geleden. Die zetten hun 'backups' gewoon op een andere disk in dezelfde server. Toen dat duidelijk werd (ook door een hacker overigens) was ik daar heel snel weg natuurlijk.

Dit beschermt simpelweg alleen tegen harddisk failure. Als een hacker binnenkomt of je server gaat letterlijk in rook op dan ben je zowel data als backup kwijt.

  • 9 / 9

Anonymous Coward op Zaterdag 13 December 2008 10:42

image

Inderdaad, het bewijst dat je voor serieus werk ook een serieuze provider/hoster moet hebben, ik heb een paar jaar terug eens een probleem gezien van een klant, hij bleek bij een paar studenten gehost te zijn die na hun studie de PC opgepakt hadden en gewoon verdwenen.
Hoeveel het hem uiteindelijk gekost heeft weet ik niet, maar de moeite om zijn domeinnaam alleen al elders onder te brengen was een (groot) probleem.

  • 6 / 6

ibex op Zaterdag 13 December 2008 14:27

image

Zal wel zo'n verknipte marketingactie zijn... om traffic naar hun website te genereren... was waarschijnlijk geen kont aan de hand... dus bestaande klanten hebben geen reden om weg te gaan... deze krijgen zelfs de impliciete bevestiging dat het wel snor zit met hun backups. Wel slim eigenlijk.

  • -10 / 12

Bob op Zaterdag 13 December 2008 12:53

image

Daarom als je een betrouwbare hostingprovider zoekt, check dan of er backup wordt gemaakt die naar een andere locatie gaan.

Stel dat locatie a in de fik gaat, hacker, blikseminslag of weet ik wat, de kans dat de data op locatie b tegelijkertijd ook verloren gaat is dan wel heel erg klein.

Dit artikel laat maar weer eens zien dat backup gewoon op een hele andere server moet gebeuren en liefst noch op een andere locatie.

  • 7 / 7

Lamme23 op Zaterdag 13 December 2008 13:33

image

Ik lees nergens in het artikel dat de backupserver niet in een andere ruimte stond... Er staat alleen dat de bestanden ook verwijderd zijn. Als de hacker beide heeft verwijderd, dan maakt het niet uit waar het stond. Meestal zitten primaire en backupservers op eenzelfde netwerk.
Daarnaast hebben ze blijkbaar ook off-line backups gemaakt op tape of zo, al zijn ze twee a drie dagen oud. Zo heel erg onbetrouwbaar lijkt me deze ISP dus ook niet. Eigenlijk zou hij de backup ook dagelijks moeten maken, maar dat hangt dan weer af van wat de gebruikers er voor over hebben.
Wat ik niet begrijp is waarom de sites van 'een vijftal klanten' niet terug te halen is. Blijkbaar heeft de hacker toch wat meer schade veroorzaakt. Twee servers en een backupserver zijn 'toegtakeld'.

  • 5 / 5

Bob op Maandag 15 December 2008 11:13

image

Wat ik niet begrijp is waarom de sites van 'een vijftal klanten' niet terug te halen is. Blijkbaar heeft de hacker toch wat meer schade veroorzaakt. Twee servers en een backupserver zijn 'toegtakeld'.

Misschien toch geen tape backups ? Er stond ook dat enkele resellers zelf een backup gemaakt haden dus die kunnen de boel weer voor een groot gedeelte terugzetten dan.

  • 2 / 2

ibex op Zaterdag 13 December 2008 14:26

image

Zal wel zo'n verknipte marketingactie zijn... om traffic naar hun website te genereren... was waarschijnlijk geen kont aan de hand... dus bestaande klanten hebben geen reden om weg te gaan... deze krijgen zelfs de impliciete bevestiging dat het wel snor zit met hun backups. Slimme jongens.

  • -7 / 7

Jeroenh op Zaterdag 13 December 2008 16:46

image

Misschien hebben ze de boel zelf gesloopt en geven ze de schuld aan een hacker. Heb ik ook meegemaakt, dat men dat doet...

  • 6 / 8

marceld op Zaterdag 13 December 2008 10:35

image

En zo zijn er nog veel meer kleine ISP's met onvoldoende beveiliging. Vanwege mijn werk kom ik vaak in datacentres, en dit is geen geintje ; er zijn hosters in de markt die gewoon op Aldi PC's draaien !! Geen firewalls, load-balancers, backups, zero redudancy... Er staat dan gewoon een tower op een simpel routertje in een gehuurd half rack te draaien.

De service is meestal dan ook spotgoedkoop bij zo'n partij, maar wees bewust dat bij een klapper je enige tijd off-line bent.

  • 2 / 4

Nickname op Zaterdag 13 December 2008 13:19

image

Zijn dat geen 'servers' van mensen die em daar neer gezet hebben voor hobby? Om mee te spelen? Mensen die in hun vrij tijd een kleine website(weinig bezoekers) van een kennis bijhouden? Bij weinig bezoekers heb je geen load-balancers nodig en een backup kun je ook op je eigen thuis pc bewaren. En er hoeft dan ook weinig gerouterd te worden.

  • 5 / 5

Jeroenh op Zaterdag 13 December 2008 16:50

image

Mjah, maar niet iedereen heeft het even breeed, en je kunt ook zelf vormen van redundancy regelen. Of zelf backuppen.

  • 4 / 4

Mokje op Zaterdag 13 December 2008 13:23

image

Maar helaas willen klanten voor een dubbeltje op de eerste rang zitten.
Je kan toch niet verwachten dat je voor je paar euro per maand hosting
pakketje ook nog eens ofsite backups krijgt. Dat er raid oplossingen
danwel onsite backups zijn is al heel wat maar alle waar naar zijn geld.

In de algemene voorwaarden van Intronic IS staat niets over backups
en of verplichtingen, dan weet je waar je aan toe bent. Dat mensen
de voorwaarden niet lezen en er te laat achter komen dat ze zelf backups
hadden moeten maken is jammer maar pech.

  • 2 / 4

maxx op Zaterdag 13 December 2008 13:50

image

Lijkt meer op een actie van een ex-medewerker... Vergeten een account te blokkeren na ontslag.

  • 5 / 5

bussie op Zaterdag 13 December 2008 14:03

image

Een bedrijf dat niet dagelijks backups maakt noem ik geen serieus bedrijf.

Ik zou daar als klant direkt weggaan.

Wat een stelletje amateurs!

  • -2 / 6

Adriaan op Zaterdag 13 December 2008 15:07

image

Ik zou daar als klant direkt weggaan.
Ik ook. Maar hoe weet je of een andere provider het wél goed geregeld heeft...

  • 3 / 3

Jeroenh op Zaterdag 13 December 2008 16:48

image

* Mond op mond reclame of de goede naam van de ISP
* Testen; zgn per ongeluk iets verwijderen en dan vragen om een backup :P

  • 0 / 6

NoChrome op Zaterdag 13 December 2008 15:24

image

"Waarom webhosting nemen bij Intronic IS?

* » Dagelijkse back-up van uw bestanden en databases
<snip>
* » Gemiddelde uptime van 99,95% "

Dus WEL dagelijkse backup, tenminste daar adverteren ze mee. Wat is nu de waarheid?

  • 4 / 6

Jeroenh op Zaterdag 13 December 2008 16:47

image

Wel, met snapshots (NetApp, ZFS, UFS, ...) kun je vrij makkelijk een dagelijkse backup maken. Maar deze kun je ook vrij gemakkelijk verwijderen als je root hebt op de kist...

  • 3 / 5

hubruja op Zaterdag 13 December 2008 16:54

image

Kan deze hacker niet bij alle ISP's ieder zijn browser-geschiedenis even verwijderen?

  • -2 / 6

Intronic IS op Zaterdag 13 December 2008 18:51

image

Graag zou ik nog even het een en ander willen toelichten.

In de reacties lees ik onder andere dat wij geen dagelijkse back-ups zouden maken naar een externe server.

Er wordt echter wel degelijk een dagelijkse back-up gemaakt en de back-up van zondag en de eerste van de maand worden ook steeds bewaard.

Verder wordt alles verzonden naar een externe back-up server zonder directe internet connectie. De hacker heeft dus waarschijnlijk middels een gehackte server weer toegang verkregen tot de back-up server.

Ik weet verder niet of men hier bekend is met het ext3 partities, maar als je daarop iets verwijderd dan is het ook echt weg. Bij windows is het vaak zo dat het bestand pas echt weg is als hetzelfde bestandsblock overschreven wordt door een nieuw bestand. Bij ext3 (linux) is dit niet het geval waardoor een restore van een hardeschijf zeer lastig is.

Hopelijk geeft mijn reactie iets meer duidelijkheid over de gehele situatie.

  • -4 / 12

overdenkamp op Zaterdag 13 December 2008 20:04

image

Misschien is het dan een tip om in het vervolg géén ext3 meer te gebruiken?

  • 0 / 4

gnu_lx op Zaterdag 13 December 2008 20:26

image

Lijkt me niet zo moeilijk om de harde schijf te wissen ipv. rm -rf /. Dan kun je het op andere file systems ook wel vergeten.

Zou verwachten dat backup server toegang heeft op productie server en deze kopieert en dat ter beveiliging alle toegang erop uitstaat en op zijn minst ander gebruiker / password etc heeft. Daarnaast kan de backup gewoon automatisch uit/aan zodat het window waarop iemand iets kan proberen kleiner is.

Maar ja, nadeel is dat je gemak moet op offeren voor beveiliging. Enige veilige PC is 1 zonder externe toegang en die uit staat... ;-)

  • -3 / 3

mistercrabs op Dinsdag 16 December 2008 10:29

image

dan zou ik eerder dd if=/dev/urandom of=/dev/[harddisknode] doen
maar in dat geval zou ook de website van istronic zelf niet meer bestaan

dus óf het was een tinky-winky "hacker" die echt geen idee heeft waar ie mee bezig is, óf er is meer aan de hand.

  • 1 / 1

Jeroenh op Zaterdag 13 December 2008 22:13

image

Oh, dat is erg vreemd, want TSK kan files van ext2/ext3 recoveren...

They can be used to analyze NTFS, FAT, Ext2, Ext3, UFS1, and UFS2 file systems and several volume system types.

Daarnaast zorgt een betrouwbare organisatie ook voor _offsite_ backups.

  • 3 / 7

Jozik op Zondag 14 December 2008 17:44

image

Terughalen van files van een ext3-partitie is niet onmogelijk:

  • 4 / 4

Skinkie op Woensdag 17 December 2008 07:13

image

...zolang je platform little endian is (dus x86) komt alles wat je lief is (en meer) gewoon terug met deze tool. Echt een gods geschenk :) Ik heb m'n donatie gedaan :)

  • 0 / 0

Calypso op Zondag 14 December 2008 21:54

image

Verder wordt alles verzonden naar een externe back-up server zonder directe internet connectie. De hacker heeft dus waarschijnlijk middels een gehackte server weer toegang verkregen tot de back-up server.

Dit combineer ik met:

Hij stelt dat ze geprobeerd hebben de hacker te stoppen. "We hebben hem op tijd gedetecteerd, maar hij heeft waarschijnlijk doorgehad dat we hem doorhadden en heeft toen al zijn sporen gewist."

En daarop trek ik de conclusie dat jullie wisten dat jul-lie gehackd werden, en toen niet afdoende maatregelen hebben getroffen. Als ik namelijk een server zou hebben die ten prooi van een hacker zou zijn gevallen zou ik als eerste mijn backupserver helemaal afsluiten - desnoods uitzetten - omdat dat hetgeen is waarop ik terug moet vallen.

Nu begrijp ik uit je uitleg dat hij "weer toegang" tot die backupserver heeft kunnen krijgen. Ai ai ai - hij had er dus al opgezeten en jullie hebben het niet voorkomen, terwijl je dat wel kon (naar mijn bescheiden mening zonder jullie netwerk/serverpark te kennen).

Overigens zou ik iemand die verkondigd dat hij "op tijd gedetecteerd is" en dan dit soort uitspraken lees dat iemand minimaal 2x op een backupserver is gekomen absoluut niet serieus nemen op beheergebied.

Ik weet verder niet of men hier bekend is met het ext3 partities, maar als je daarop iets verwijderd dan is het ook echt weg. Bij windows is het vaak zo dat het bestand pas echt weg is als hetzelfde bestandsblock overschreven wordt door een nieuw bestand. Bij ext3 (linux) is dit niet het geval waardoor een restore van een hardeschijf zeer lastig is.

Met deze 'uitleg' doe je jezelf niet echt een plezier. Zoals hieronder door anderen al is aangegeven is het niet onmogelijk om op ext3 verwijderde bestanden terug te halen, en dat is IMHO bij een redelijk tot goede beheerder bekend.

  • 4 / 4

nico.coesel op Maandag 15 December 2008 00:20

image

Ik vind het ook een vreemd verhaal. Waarom zou iemand alles wissen? Ik kan me voorstellen dat iemand een perverse kick krijgt uit het defaces van websites (anderen gooien taarten naar beroemdheden...) Botweg alles wissen klinkt meer als een vergeldingsaktie van een boze (ex) werknemer die precies weet hoe alles in elkaar steekt. Ik geloof namelijk niet zo in crackers die op magische wijze weten in te breken. Vanaf scratch doelbewust op een server inbreken kost zeer veel tijd en moeite. Daar moet wel een zekere genoegdoening voor de (in dit geval) cracker tegenover staan.

  • 2 / 2

Nappy op Maandag 15 December 2008 08:49

image

Als ze dat remote gezien hebben (ik ga ervan uit dat ze niet in data ruimte naast de server zitten de hele dag) dan kan het even duren voordat je een server uitzet.
Zelfs met iLO moet je inloggen naar de juiste pagina gaan etc.
In die tijd kan de hacker de boel plat gooien.

Ik neem aan dat deze dat heeft gedaan omdat zijn activiteiten strafbaar zijn en elk spoor mogelijk tot vervolging kan leiden. Het wissen/beschadigen van disks kan dan een goede optie zijn.

  • 0 / 2

Jeroenh op Maandag 15 December 2008 12:22

image

Jaja. In die tijd kan een 'hacker' alle data volledig shreden/srmen...

  • 2 / 2

bussie op Maandag 15 December 2008 07:49

image

M.i. maken jullie als bedrijf 1 zeer grote fout en dat is dat jullie alleen backup naar een externe server maken (die dus BTW ook weer te bereiken was) en niet naar tape o.i.d., althans dat blijkt nergens uit je verhaal.

Er hoort ook een backup te worden gemaakt naar tape en die hoort in een kluis.

Als jullie dat als bedrijf niet doen, dan zijn jullie geen serieus bedrijf cq zaken-partner.

  • 2 / 2

mistercrabs op Dinsdag 16 December 2008 10:23

image

Kom op man, stop met huichelen! Je zit nu de ene leugen te verbergen met de andere.

Als je een "hacker" (moet natuurlijk cracker zijn) binnen je netwerk aantreft, kan je die in 5 seconden buiten hebben met iptables -I INPUT -j REJECT of een reboot. Je claimt 'm de tijd te hebben gegeven om z'n sporen te wissen. Sterker: je gaf 'm rustig de tijd om op een andere server in te breken, daar rond te kijken waar jij je backups bewaart, en deze vervolgens te vernietigen. (Want backups bevatten sporen van je inbraak?)

En waar is dan die eerste-van-de-maand backup? Waar is die zondagse backup? En de offsite backup?

Als je van mening bent dat het echt een "hacker" is geweest, daag ik je uit aangifte bij de politie te doen en een scan op je website te zetten! (En een vette boete te krijgen als blijkt dat je aangifte vals was.) In ieder ander geval, wees een vent, geef toe dat je gefaald hebt. Gebeurt de beste. Maar lieg je klanten niet voor, dan zet je gewoon de strop voor je onderneming klaar.

  • 1 / 1

decimeterpaaltje op Zaterdag 13 December 2008 19:09

image

Das geen hacker, maar een cracker... en niet eentje van Melba.

  • 2 / 6

sharkoon op Zaterdag 13 December 2008 23:36

image

Yeah right.. die verhalen ken ik.

Dat betekend: server crash waarvan er geen backups zijn..
En wat moet je klanten dan vertellen???

Gewoon zeggen dat het een hacker is. Dan maakt het niet uit.

  • 2 / 4

postzegel op Zondag 14 December 2008 22:31

image

Ben het met je eens...
Als je kijk op http://www.intronic.nl/noc/ dan zijn er niet veel servers en in het nieuws archief staat ook niets vermeld.
Of ze houden hun NOC page niet bij of men wil op deze manier aandacht hebben.

Negatieve aandacht is ook aandacht zeg ik maar.
IntronicIS is overgens op webhostingtalk.nl een groot reageerder in het aanbiedingen gedeelte... 1 + 1?

  • 2 / 2

Megumi op Zondag 14 December 2008 05:25

image

Snel weg gaan bij dat bedrijf.

  • 2 / 4

Jeroenh op Maandag 15 December 2008 12:23

image

Denk je dat klanten hier veel van begrijpen? Wie denk je wie de klantenkring zoal betreft?

  • 2 / 2

Fusion op Zondag 14 December 2008 14:36

image

Och dat 'snel weggaan bij bedrijf' doet toch niemand.
Vroeger stonden hier wel eens berichten van PCExtreme dat ze ddos kregen, gehackt werden, etcetc. en nu zijn ze toch best groot qua budget-provider.

  • 2 / 2

keesdewit op Maandag 15 December 2008 11:34

image

onlnags?

  • -2 / 2

poema op Maandag 15 December 2008 15:54

image

Overigens vind ik het niet verplicht dat een hosting bedrijf data backups maakt. Als klant hoor je dat zelf te doen. Een hosting bedrijf maakt in het algemeen alleen maar backups om na een hardware fout gerepareerd te hebben om de software weer terug te zetten.

Dus waar je ook je website of wat dan ook host, maak zelf backups.

  • 0 / 2

Bendictus LXXIV op Maandag 15 December 2008 17:49

image

Gooday deer sir,

I am Ali bin Linu X, son of the famous president of my country. I have good news: you become can also a hosting privoder in only one day only. Sent me 500 $ and you will recieve our manual containing 43.000.000 charakters... Next you can follow the Schiedegger course of one evening.

You will be a great privroder then....

Sent checks to our pobox:

A. bin Linu
c/o PO Box 12345
Kathmandu 1002 Ext/3

  • 1 / 3

Om te kunnen reageren, dient u ingelogd te zijn.

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Darpa's robot oorl...

World Tech Update: Darpa's robot oorlogspaard (video)

Verleden nieuws