Gepubliceerd: Woensdag 21 januari 2009
Een kwaadwillende heeft via een oude exploit in het CMS-systeem Drupal de site Bright.nl onzichtbaar gemaakt voor Google. Het bezoek kelderde.
Toon volledig artikel
HAHAHA! :|
Wat dacht je van 'updaten'???
Dat je je updates niet installeert van het beste all-purpose CMS/Framework die de open source wereld te bieden heeft is je eigen stinkende fout.
Bright is een lifestyle blad en dito website, ik denk niet dat je in de richting moet gaan zoeken van concurrenten.
Zo'n wraak actie moet je meer in de sfeer van oud werknemer of lid die op 1 of andere manier zich benadeelt voelt en zo'n wraak actie ook uitvoert.
Voor een hacker valt hier ook te weinig eer te behalen lijkt mij.
"We waren aan het bouwen en hadden ook verschillende ontwikkelomgevingen waar we met databases aan de gang waren. Dan ben je even niet bezig met je software up to date houden", legt Van der Ven uit.
Oh wat ben je oliedom
Zo zie je maar weer, dat nieuwe functionaliteit boven beveilig gaat .... commerciele overwegingen boven beveiliging en/of privacy.
"Hij was echt heel slim", aldus Van der Ven
Ehm, goede toevoeging op 101 Things you do NOT want your System Administrator to say?
Toegeven dat het dit soort problemen vaak veel simpeler te vinden lijken wanneer je ze achteraf bekijkt, is het wel een typisch voorbeeld van de mogelijke gevolgen van het gebruik van software die je niet (goed genoeg) kent. De mensen die weten waar ze het over hebben als het om security gaat, waarschuwen wel vaker voor het gebruik van complexe CMS. Uiteraard luisterd niemand en wordt de put gedempt nadat het kalf verdronken is. Ik hoop voor Van der Ven dat het niet zijn keuze is geweest om een out-of-the-box CMS zoals bv Drupal toe te passen.
Als ik je reactie goed begrijp, zouden mensen complexe CMS niet moeten gebruiken OMDAT ze complex zijn? Benoem "complex" eens.... Natuurlijk kan iets te ingewikkeld zijn. Maar eej, alles waar je "te" voor kan zetten is niet goed toch? Vervolgens stel je dat het toepassen van een out-of-the-box systeem geen slimme move is. Wat stel je voor, iedereen een custom CMS? Ik snap je niet.
WTF?!? Waarom komt dit in godsnaam op WebWereld? Een stelletje amateurs patcht haar CMS niet. Als Google Webmaster tools actief was op de website, wist je binnen no-time waar het probleem lag.
De server werd binnenstebuiten gekeerd, SEO- en Drupal-experts werden geraadpleegd.
Is het niet gewoon een kwestie van logisch nadenken en de volgende zaken nagaan:
- Access rule op server niveau?
- Access rule middels htaccess?
- HTTP referer redirect op CMS niveau?
- Robots.txt?
dat is achteraf altijd heel makkelijk op te merken.
Een diagnose stellen kan heel lastig zijn, in dit specifieke geval zijn er wel een aantal kanttekeningen te maken ( zoals het gebrekkige logging systeem) en zeker vwb het gebrek aan tijdige patches. Maar de fout kan inderdaad heel diep zitten, je hebt hier te maken met iemand die het systeem wel erg goed kende lijkt me.
de meeste CMS-en houden helemaal geen logboek bij, Drupal in ieder geval wel.
Over het algemeen is Drupal een behoorlijk robuust systeem, heb het zelf ook gebruikt. Je kunt er veel (heel erg veel) mee, en wordt door behoorlijk grote sites gebruikt.
Of Drupal zelf een log bijhoudt of niet, dat is eigenlijk niet zo interessant. De webserver houdt altijd ook nog een log bij waarin die 403 echt wel te zien geweest was.
Waarneming: minder hits op je site
Wat doe je: check waar ze vandaan komen
Je merkt op: er komt niemand meer van Google
Je controleert op Google wat er mis is met je site, en ziet dat die je hele site niet meer vindt.
Dan zou iedere weldenkende beheerder toch eens gaan kijken of de Googlebot nog wel langskomt? Grep googlebot in je access log en je ziet vanzelf dat hij een 403 krijgt. Dan ga je zoeken waar dat vandaan komt (bijvoorbeeld door zelf die string ff in je User-Agent in te stellen), en heb je het vrij snel gevonden.
Als die figuur al in november iets merkte, snap ik niet dat het tot eind januari moet duren voor ze het lek boven water hebben. Zegt niet alleen iets over de beheerder, maar ook over de ingehuurde experts. Die hadden kennelijk ook behoefte aan een 13e maand ofzo, in plaats van de boel snel uit te zoeken.
Anyway, we hebben weer een stuk documentatie gegenereerd die vanzelf komt bovendrijven als iemand gaat zoeken waarom z'n site niet meer op Google staat. Niet dat het antwoord dan nuttig gaat zijn (of het moet een wel heel slechte site zijn die de update nog niet toegepast heeft), maar het is in ieder geval vermakelijk.
Dat ze zoveel bezoek van Google hebben. Maar goed, er zijn hele kuddes die het begrip URL invoeren of bookmarken nog steeds niet snappen en denken dat het grote vak bovenaan een Google-zoek-balk is.
Waarschijnlijk valt het echte bezoek ook wel mee. FF een slechte Pagerank betekent nog niet meteen heel veel minder bezoek. Als het eind November speelde, en je ziet de huidige dip op Bright.nl, dan is er waarschijnlijk ook inhoudelijk wat loos:
http://www.alexa.com/data/details/traffic_details/bright.nl
Vermoedelijk houdt Google nog geruime tijd de pagina in de cache aan voor de site.
De site wordt niet meteen gedropt als die een paar dagen onbeschikbaar is.
Het kan dus heel goed dat de gevolgen pas met een bepaalde vertraging duidelijk worden
Ach, het is typisch voor vele commerciele sites. Wel omzet uit online willen halen, maar de uitvoering van de technologie reduceren tot een zo goedkoop mogelijke commodity.
En dan heb het niet eens over Drupal (van de out-of-the-box opties een van de betere) of de amateuristische uitvoering waardoor de site ongepatched bleef staan (dom, maar shit happens, mensen maken fouten).
Maar waarom bleef dit probleem zo lang bestaan? Zit er dan niemand achter de webanalytics? Zijn er uberhaupt behoorlijke stats? Een televisiezender bekijkt dagelijks z'n kijkcijfers, een commerciele website hoort dagelijks z'n stats te bekijken en dan zie je al heel snel dat bijvoorbeeld alle referrers van google wegvallen, of dat er een absurd aantal 403's geserveerd worden (die horen zeldzaam te zijn).
Helaas is Bright geen uitzondering, zoveel exploitanten hebben geen flauw idee wat er precies op hun site gebeurt, afgezien van de grove totalen aan pageviews en visits waar ze geld aan verdienen.
Ik ben amateur (hou zelf wel wat websites bij) maar idd, de meest gebruikte stats geven gewoon aan via welke zoekmachine mensen je site vinden. Als je daar opeens 0% Google ziet, dan zou ik als eerste m'n robots.txt checken. Met internet aan de hand moet dat toch te doen zijn om dat wat sneller te vinden. Hm.
De schade wordt veroorzaakt door het opzeggen van contracten door de adverteerders cq bepaalde betalingen bij een x aantal pageviews.
Als die inkomsten wegvallen door die hack dan spreekt men van schade.
Ik vind de schade nog wel mee vallen, als dit bv webwereld gebeurt verwacht ik dat de schade wel hoger zal zijn.
Hey, dat ga ik ook doen: een persbericht de (web)wereld in sturen waarin staat dat mijn site gehackt is en dat ik vele dyuizenden euri's schade heb geleden. Wordt zo'n bericht vast geplaatst en krijg ik een hoop gratis publiciteit. Ik bedoel: slecht nieuws is toch ook publiciteit. Benieuwd hoeveel bezoekers Bright vandaag (en de komende dagen) extra krijgt door dit bericht. Die 10.000 euro schade wordt hierdoor vast snel goed gemaakt. Verder is het een non-bericht voor Webwereld.
Als ze even de moeite hadden genomen om in Google Webmaster Central te kijken, dan hadden ze ook niet een maand lang hoeven zoeken... not so Bright, I guess...
Als ze nu via Webmaster Central een verzoek indienen om de boel weer terug te draaien naar de oude situatie (PR/rankings), hoeven ze niet NOG een maand te wachten voordat alles weer bij het oude is...
Ik wil niet zeuren, hoor, maar het moet me eenvoudigweg wel even van het hart dat ik het taalgebruik in de kop werkelijk beneden alle peil vind! Serieuze journalistiek onthoudt zich van dergelijke termen/kwalificaties. Ik ben absoluut niet wars van het gebruik van krachtige termen in het dagelijkse spraakgebruik, maar een zichzelf respecterend nieuwsmedium heeft dit soort uitingen toch niet nodig....???
Voor meer inhoudelijke informatie over het probleem en de oplossingen en berekeningen betreffende gemiste inkomsten en gemaakte kosten adviseer ik de reacties onder het artikel 'Google-hack gefixt, Bright weer vindbaar' bij Bright zelf te lezen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
