"Rob Klaucke" <r.m.k...@planet.nl> wrote in message
news:826185f.02121...@posting.google.com...
> Kan er iemand meer vertellen over idomein?? Idomein is onbereikbaar
> evenals onze website. Op mail wordt niet gereageerd.
Ongetwijfeld 1 van die spotgoedkope hosters waar we er ieder jaar een paar
10 van zien komen en gaan. Ik zou zeggen bel ze eens:
Rights restricted by copyright. See
http://www.domain-registry.nl/whois.php
Domain name:
idomein.nl (second domain)
Organisation:
ColoHeaven BV
Tilburgseweg 89
5051 AB GOIRLE
Administrative Contact:
B. Mulder
Phone: +31 135308646
E-mail: postm...@idomein.nl
Technical Contact:
Afdeling Systeembeheer
Phone: +31 13 4609657
E-mail: n...@groupone.nl
MarcoH
--
My haircut is totally traditional!
> Kan er iemand meer vertellen over idomein?? Idomein is onbereikbaar
> evenals onze website. Op mail wordt niet gereageerd.
Ongetwijfeld 1 van die spotgoedkope hosters waar we er ieder jaar een paar
100-en van zien komen en gaan. Ik zou zeggen bel ze eens:
Tevens zijn deze mensen ook zeer goed op de hoogte wat er allemaal afspeelt
bij Idomein.
"Rob Klaucke" <r.m.k...@planet.nl> wrote in message
news:826185f.02121...@posting.google.com...
Mmm, blij deze reactie te lezen, wilde net mijn cobalt doos gaan ophangen
via hun...
nu eens kijken hoe het bij Limit is (lees prijzen)
Sjaak
http://www.bijna-gratis.nl
Ik kan je vertellen wat er aan de hand is.
Helaas is de server waarop onze eigen domeinen Idomein.nl en Coloheaven.nl
op draaiden
gehacked.
Op deze server stonden tevens 200 virtuele domeinen.
Het was een Cobalt RAQ4r server met alle patches, updates en linux
beveiligingen op
zijn plaats, IPchains waren netjes geinstalleerd evenals Portsentry. Telnet
stond uiteraard uit.
Ondanks deze beveiligingen zijn hackers toch erin geslaagd om deze server te
hacken, waarna ze
verscheidene directories simpelweg hebben gewist.
De hack werd overigens vooraf gegaan door een zware DDoS gericht op ons 204
netblock, gelukkig
was onze upstream provider er snel bij zodat colocatieclienten op dit
netblock niets hebben gemerkt
van deze aanval.
Door de hack zijn backups niet bruikbaar, gezien we niet weten welke
wachtwoorden in handen zijn
van de hackers, we gaan daarvoor elk account apart aanmaken en nieuwe
wachtwoorden toekennen.
Vanaf februari volgend jaar hebben we een telefonische supportdesk, ook
zullen alle websites
(inmiddels vele duizenden) die nu op Cobalts draaien overgezet worden op een
load balancing cluster.
Via deze weg wil ik mijn excuses aanbieden aan onze clienten voor het enorme
ongemak, helaas is het
voor ons ook een overmachtssituatie.
Met vriendelijke groet,
Remon Akkermans
Coloheaven BV
Bellen heeft geen zin, gezien we geen telefonische supportdesk hebben, zoals
je al wist op het
moment dat je het account afsloot. Vanaf februari hebben we wel een 24-7
supportdesk.
Mailen had ook helaas geen zin, omdat de hackers specifiek onze mail en www
servers hebben
getroffen.
Gelukkig is lang niet iedereen getroffen, het betreft hier 200 getroffen
websites, wat uiteraard
nog enorm veel is.
> Ongetwijfeld 1 van die spotgoedkope hosters waar we er ieder jaar een paar
> 100-en van zien komen en gaan. Ik zou zeggen bel ze eens:
Wil je zeggen dat duurdere providers 100% hackproof zijn ?
Bel niet met Limit, omdat Limit niet Idomein is, Limit medewerkers zijn niet
op de hoogte van
dagene wat gebeurd bij Idomein.
> Mmm, blij deze reactie te lezen, wilde net mijn cobalt doos gaan ophangen
> via hun...
> nu eens kijken hoe het bij Limit is (lees prijzen)
Colocatie is niet gelijk aan webhosting, het is helaas een hack geweest,
waar we helaas niets
tegen konden doen.
In je antwoord op de post van Rob, geef je toch redelijk aan dat limit en
Idomein hetzelfde is ?
"gezien we geen telefonische supportdesk hebben"
emailadres: rem...@limit.nl
Het enige wat ik van idomein weet is dat er problemen waren met de
server waar idomein en coloheaven op draaien.
Door een onbekende fout werkte een aantal sites op de server niet.
Ik heb het idee dat er bij het fixen hiervan een hoop fout is gegaan
waardoor alle data op de server verloren is gegaan.
Idomein kennende hebben ze geen recente back-up hiervan dus kan het
wel even duren voor alle sites weer op hun plaats staan.
Toch blijft het gek dat hier geen melding naar de klanten van wordt
gedaan, maar blijkbaar zijn ze drukker bezig met het oplossen van hun
probleem.
Gekke is dat idomein.nl wel te traceren/pingen is. Aan hun netwerk zal
het dus niet liggen.
Ik kan er ook helemaal naast zitten, maar dat er een probleem was met
een van hun servers is door Maria van idomein op het eigen forum vlak
voor de onbereikbaarheid gepost.
Check:
Het gaat de goede kant op:
www.webgate.nl gaat al naar
http://duriel.idomein.nl
Ik heb geprobeerd jullie via de telefoonnummers van de nic te bereiken deze
ochtend, maar de telefoon werd er achter elkaar opgegooid. Ook na 10 keer
proberen. Lijkt me niet echt de manier om klanten/geïnteresseerden te woord
te staan. Wel interessant gruist overigens op de achtergrond op het moment
van opnemen en ophangen.....
--
vr.gr.
Frank / WebHosters.nl
> Ik heb geprobeerd jullie via de telefoonnummers van de nic te bereiken
deze
> ochtend, maar de telefoon werd er achter elkaar opgegooid. Ook na 10 keer
> proberen. Lijkt me niet echt de manier om klanten/geďnteresseerden te
woord
> te staan. Wel interessant gruist overigens op de achtergrond op het moment
> van opnemen en ophangen.....
Klopt helemaal, de nummers zijn helaas niet meer in gebruik. Limit clienten
kunnen ons wel bereiken via een
hen bekend support nummer.
Deze was gehacked, inderdaad een fors probleem.
> Door een onbekende fout werkte een aantal sites op de server niet.
Niet onbekend, gehacked.
> Idomein kennende hebben ze geen recente back-up hiervan dus kan het
> wel even duren voor alle sites weer op hun plaats staan.
De oudste backup is van 24 uur terug, hij si helaas onbruikbaar, omdat de
hacker waarschijnlijk in het bezit is van alle wachtwoorden.
We hadden dus wel degelijk een recente backup, wat zijn dan je backup
ervaringen met Idomein, deel het met ons.
Het gaat om een server met 200 sites, morgen werkt alles weer.
> Gekke is dat idomein.nl wel te traceren/pingen is. Aan hun netwerk zal
> het dus niet liggen.
Het gaat ook maar om een server.
> Ik kan er ook helemaal naast zitten, maar dat er een probleem was met
> een van hun servers is door Maria van idomein op het eigen forum vlak
> voor de onbereikbaarheid gepost.
Nee, Maria heeft iets over verbetering van security gepost, waarna de
mainserver
onmiddelijk werd aangevallen op diverse manieren, overigens is nu duidelijk
dat
hij al geruime tijd gehacked was.
> In je antwoord op de post van Rob, geef je toch redelijk aan dat limit en
> Idomein hetzelfde is ?
Idomein = ColoHeaven BV
Limit = Limit Internet CV
Webgate = 2the limit promotions BV
Verschillende eigenaren op een aandeelhouder na, namelijk ikzelf.
Maar natuurlijk
KPN = XS4ALL = PLANET = HETNET
Als je dezelfde redenatie maakt.
Maar uiteindelijk hebben ze verschillende medewerkers die niet op de
hoogte zijn van elkaars doen en laten, zijn het verder compleet
verschillende
bedrijven met andere doelgroepen en dergelijke.
Limit heeft overigens wel een telefonische supportdesk :)
Ik heb er dus (na 100 keer bellen (automatisch)) een vriendelijk doch
geiriteerd meisje aan gehad die melde helemaal gek te worden van
telefoontjes voor i-domein en consorten.
Die nummers zijn dus nog wel degelijk in gebruik.
Groeten,
Peter.
"The One" <rem...@limit.nl> wrote in message
news:at8t32$5df$1...@news1.tilbu1.nb.home.nl...
>
> "Frank Uittenbogaard" <antispam> schreef in bericht
> news:3df7d50c$0$11745$e4fe...@news.xs4all.nl...
>
> > Ik heb geprobeerd jullie via de telefoonnummers van de nic te bereiken
> deze
> > ochtend, maar de telefoon werd er achter elkaar opgegooid. Ook na 10
keer
> > proberen. Lijkt me niet echt de manier om klanten/geïnteresseerden te
Nou,... mooi niet hoor.
Misschien verstandig om naar een echt OS over te stappen (Windows2000 server
of SUN Solaris) en van dat uit de hand gelopen hobby-project (Linux) af te
stappen.
Groeten,
Peter.
P.S. Sorry, voor deze na-trap, maar van die cheapo OS'n heb ik al meeeeer
dan genoeg last gehad.
Ook onze site is nog steeds niet beschikbaar.
> Misschien verstandig om naar een echt OS over te stappen (Windows2000
server
> of SUN Solaris) en van dat uit de hand gelopen hobby-project (Linux) af te
> stappen.
Windows 2000 is dus volgens jou wel veilig ? :)
Overigens gaan we met ons nieuwe platform naar BSD.
Ja, minstens zo veilig als Linux. En... ik heb al zeer goede hoop voor
WindowsXP server (Windows.NET server)
>
> Overigens gaan we met ons nieuwe platform naar BSD.
Is ook weer zo'n UNIX variant, blijf je in ieder geval nog met die kloterige
case-sensitivity zitten :-)
Trouwens wel erg tegendraads... de trend is toch echt dat de meeste
providers overstappen op Windows platformen met .NET support, zelfs sommige
grote hosters die voorheen volledig anti-microsoft waren gaan overstag
(Ladot bijvoorbeeld).
Groeten,
Peter.
> Ik heb er dus (na 100 keer bellen (automatisch)) een vriendelijk doch
> geiriteerd meisje aan gehad die melde helemaal gek te worden van
> telefoontjes voor i-domein en consorten.
> Die nummers zijn dus nog wel degelijk in gebruik.
Is inderdaad schandalig. Dat je dit soort trucs uithaalt om
maar vooral niet bereikbaar te zijn is 1 ding, maar dat je
het willens en wetens laat staan en er anderen mee belast
is bijna misdadig.
Want "geen telefoonnummer beschikbaar" is in deze telecom
tijd per definitie een smoes.
--
-Martijn @..@ ( Martijn Loots - Hengelo [NL] )
(`--') ( mar...@cosix.com - www.cosix.com )
( >__< ) --------------------------------------
^^^ ^^^ ( Highspeed Internet: Linux@7M8 ADSL )
> Is inderdaad schandalig. Dat je dit soort trucs uithaalt om
> maar vooral niet bereikbaar te zijn is 1 ding, maar dat je
> het willens en wetens laat staan en er anderen mee belast
> is bijna misdadig.
Het is gewoon ons oude kantoorpand, dus de nummers zijn inderdaad nog niet
gewijzigd
bij SIDN.
> Misschien verstandig om naar een echt OS over te stappen (Windows2000 server
> of SUN Solaris) en van dat uit de hand gelopen hobby-project (Linux) af te
> stappen.
Duh.. hij heeft het over ipchains: niet per definitie slecht, maar
*wel* per definitie een oudere configuratie. Als ze dezelfde laksheid
op de beveiligingsupdates toepassen die ze t.a.v. de administratieve
gegevens van SIDN tentoonspreiden, dan is die hack niet zo verbazend..
Dan kun je er nog zoveel OS'sen tegenaan gooien: als de updates
niet gevolgd worden val je toch door de mand...
> P.S. Sorry, voor deze na-trap, maar van die cheapo OS'n heb ik al meeeeer
> dan genoeg last gehad.
:) Lucht je hart eens... 'k Word nieuwsgierig... ik kan me nauwelijks
voorstellen dat het een OS kwestie was: automatisering is in hoge mate
een mensenkwestie, heeft alleen zijdelings iets met techniek te maken...
> Trouwens wel erg tegendraads... de trend is toch echt dat de meeste
> providers overstappen op Windows platformen met .NET support, zelfs sommige
> grote hosters die voorheen volledig anti-microsoft waren gaan overstag
> (Ladot bijvoorbeeld).
Je haalt providers en hosters doorelkaar. En wat die hosters aangaat:
heb je getallen die iets over het machinepark zeggen ? Dat er hier
en daar een MS frontend opduikt, zegt nog niet zoveel...
> Trouwens wel erg tegendraads... de trend is toch echt dat de meeste
> providers overstappen op Windows platformen met .NET support, zelfs
sommige
> grote hosters die voorheen volledig anti-microsoft waren gaan overstag
> (Ladot bijvoorbeeld).
Ik leg mijn lot liever niet in de handen van MS ;)
Nou,... regel dat zou ik zeggen.
Maar belangrijker nog, wanneer kunnen we onze site terugverwachten?
(www.NotenBalkers.nl)
> Maar belangrijker nog, wanneer kunnen we onze site terugverwachten?
> (www.NotenBalkers.nl)
Vandaag, maar gebruik niet je oude wachtwoorden !
Zend ook even een mail naar in...@idomein.nl dan kunnen mijn collegas je de
nieuwe gegevens
mailen zodra je site weer online staat.
Tenzij je oude mail adres natuurlijk nog prima werkt.
> Duh.. hij heeft het over ipchains: niet per definitie slecht, maar
> *wel* per definitie een oudere configuratie. Als ze dezelfde laksheid
> op de beveiligingsupdates toepassen die ze t.a.v. de administratieve
> gegevens van SIDN tentoonspreiden, dan is die hack niet zo verbazend..
Op gebied van beveiliging doen we alles wat we kunnen. Overigens begrijp ik
inmiddels dat
het gat wel eens juist in een patch van Sun Cobalt had kunnen zitten. Of dit
het geval is en of de
hacker via deze weg naar binnen is gekomen is helaas niet meer te
controleren.
Ik ben programmeur op verschillende platformen, SUN Solaris en Windows
hoofdzakelijk.
Wat ik als programmeur mis op (bijna alle) unix varianten, zijn goede
ontwikkeltools. Weliswaar soms gratis, maar niet goed en
gebruiksvriendelijk. Zolang er geen goede ontwikkeltools zijn is het dan ook
moeilijk goede software te schrijven, het kost in ieder geval meer moeite
voor hetzelfde resultaat.
Ik moet eerlijkheidshalve toegeven dat het gemiddelde 'Unix' OS niet
onstabiel is.
Echter dat de 'pro-unix-activisten' (:-)) Windows altijd zo de grond inboren
snap ik niet helemaal, sinds ik WindowsXP Pro geinstalleerd heb loopt bij
mij alles als een zonnetje (evenals toen Windows2000 Pro er op stond). De
discussie dat Windows95 (en in mindere mate Windows NT 4) niet goed was ga
ik niet aan want daar ben ik het mee eens, maar ik denk dat de huidige
Windows 2000 varianten makkelijk mee over kunnen met de verschillede Unix
varianten.
En wat mij betreft is er voor de desktop nog steeds maar één seriues OS en
dat is WindowsXP.
> En wat mij betreft is er voor de desktop nog steeds maar één seriues OS en
> dat is WindowsXP.
Hiermee ben ik het absoluut eens, voor desktop omgevingen is XP perfect,
maar naar mijn mening niet voor server omgevingen.
---------------
Fijn dat u dat uw klanten laat weten.
-----Oorspronkelijk bericht-----
Van: in...@idomein.nl [mailto:in...@idomein.nl]
Verzonden: woensdag 11 december 2002 18:56
Aan: Rob Klaucke
Onderwerp: RE: i-domein
Beste Rob,
Helaas is een van onze servers gehacked, we zijn bezig om alle
accounts weer op een nieuwe server te plaatsen en nieuwe
wachtwoorden uit te delen.
U zult wel uw website opnieuw moeten uploaden.
Onze excuses voor dit ongemak, helaas is dit voor ons ook een
onaangename verrassing, we hopen dit ook nooit meer mee te
maken.
Met vriendelijke groet,
Willem Mulder
Idomein Internet
Onderdeel van Coloheaven BV
Tilburgseweg 89
5051 AB Goirle
in...@idomein.nl
Visit our forum on: http://www.idomein.nl/forum/phpBB/
Visit our Dutch site on http://www.idomein.nl
Visit our English site on http://www.coloheaven.com
Beste Rob,
Wij konden dat helaas niet eerder laten weten, gezien onze eigen
site en mail offline was door dezelfde hacker.
Met vriendelijke groet,
Willem Mulder
Idomein Internet
Onderdeel van Coloheaven BV
Tilburgseweg 89
5051 AB Goirle
in...@idomein.nl
Visit our forum on: http://www.idomein.nl/forum/phpBB/
Visit our Dutch site on http://www.idomein.nl
Visit our English site on http://www.coloheaven.com
Beste Willem,
Het had een kleine moeite geweest telefonisch contact op te nemen met
het administrative contact zoals vermeld in de registratie bij SIDN
zodat eventuele andere maatregelen genomen hadden kunnen worden. Ook
dat de website weer opnieuw ge-upload moet worden, ondanks het feit
dat de mogelijkheid wordt geboden om via de admin-sectie van de
website een back-up te maken, vindt ik een rare gang van zaken. Tevens
is de telefonische bereikbaarheid nul. Ik zeg per heden mijn contract
met u op. De website wordt vanaf a.s. vrijdag gehost door Superior
Internet Services te Helmond. Een verhuisformulier hiervoor is reeds
verzonden. Ik verzoek u dan ook om hier aan mee te werken.
Met vriendelijke groet,
Rob Klaucke
Ni-Web
-----Oorspronkelijk bericht-----
Van: in...@idomein.nl [mailto:in...@idomein.nl]
Verzonden: woensdag 11 december 2002 21:14
Aan: Rob Klaucke
Onderwerp: RE: i-domein
> Fijn dat u dat uw klanten laat weten.
Gooi jij altijd prive mail de usenet groepen in ? :)
>> Iedereen die bij iDomein een site heeft gehost is volgens mij de zak.
>> Heb al weet ik hoeveel nummers gebeld en gemaild.
>> Ziet er slecht uit dus :-(
> Bellen heeft geen zin, gezien we geen telefonische supportdesk hebben, zoals
> je al wist op het
> moment dat je het account afsloot. Vanaf februari hebben we wel een 24-7
> supportdesk.
> Mailen had ook helaas geen zin, omdat de hackers specifiek onze mail en www
> servers hebben
> getroffen.
Ah, het waren 'hackers' (of bedoel je gewoon kiddies ?), valt me mee dat
je niet meteen Irak, Bin Laden of paars II de schuld geeft.
> Gelukkig is lang niet iedereen getroffen, het betreft hier 200 getroffen
> websites, wat uiteraard
> nog enorm veel is.
Maar je gaat het wel met me eens zijn dat goedkope abbonnementen ook zijn
nadelen hebben. Je hebt kennelijk geen marge genoeg om je systemen
fastsoenlijk te beveiligen.
MarcoH
--
My haircut is totally traditional!
En alsof het weer up brengen van je systemen na een hack meerdere dagen moet
duren ofzo... :)
Bedankt voor de uitleg Remon.
een vervelden de zaak, kan me goed voorstellen dat je hier niet blij mee bent...
hebben jullie wel de lek/ hacker kunnen ontedekken?
Veel succes bij het terug plaatsen van de sites...
> Ah, het waren 'hackers' (of bedoel je gewoon kiddies ?), valt me mee dat
> je niet meteen Irak, Bin Laden of paars II de schuld geeft.
Het waren in ieder geval "kiddies"die zeer goed op de hoogte waren van
Cobalt Specifieke exploits.
> Maar je gaat het wel met me eens zijn dat goedkope abbonnementen ook zijn
> nadelen hebben. Je hebt kennelijk geen marge genoeg om je systemen
> fastsoenlijk te beveiligen.
Het probleem lag zeer waarschijnlijk aan een exploit van een Sun Cobalt
Security patch,
wat ironisch toch ?
De exploit bestaat uit een simpele handeling waarna de Sun Cobalt simpelweg
zijn shadow
password file naar de wanna be hacker stuurt.
Verder controleren wij dagelijks zowel automatisch als handmatig op rootkits
en dergelijke,
updaten we onze systemen op het moment dat er een Sun Patch uitkomt, etc
Maar ik hoef je natuurlijk niet uit te leggen dat elke provider uiteindelijk
te hacken is.
> En alsof het weer up brengen van je systemen na een hack meerdere dagen
moet
> duren ofzo... :)
Wij wilden eerst zeker stellen wat er aan de hand is en daarna of dat het
terugzetten van een backup veilig was.
Dit bleek niet het geval, gezien de hacker zeker beschikt over alle
wachtwoorden van alle accounts.
Hierna wilden we zekerheid over de manier waarop de hacker in kwestie binnen
is gekomen, zodat we
maatregelen hiertegen kunnen nemen voordat we de betreffende server weer
online brengen.
> Bedankt voor de uitleg Remon.
> een vervelden de zaak, kan me goed voorstellen dat je hier niet blij mee
bent...
> hebben jullie wel de lek/ hacker kunnen ontedekken?
> Veel succes bij het terug plaatsen van de sites...
Inmiddels hebben we redelijke zekerheid over de manier waarop de hacker
binnen is gekomen.
Collegas van me zijn inmiddels bezig de accounts terug te plaatsen, hierna
worden gebruikers
met hun nieuwe accountgegevens gemailed. Je kunt je misschien wel
voorstellen dat zowel ik als enkele collegas hieraan de hele nacht
doorgewerkt hebben, dus ik ben straks blij als ik mijn bedje ga zien ;)
Bedankt voor je positieve reactie.
Dat je de shadow/passwd files van de backup niet wil gebruiken,
dat kan ik begrijpen. Maar waarom kan de web-site-data (html
files e.d.) niet teruggezet worden van die backup?
Groetjes,
joostje
Haahahhahaha..laat me niet lachen joh, met je Microsoft troep.
Dat wil ik graag toelichten in een prive mailtje, maar niet in de Usenet
groep.
En daar heb je een halveweek ofzo voor nodig? Je kunt een server geheel
opnieuw installeren als dat al nodig zou zijn in enkele uurtjes, backup
terug zetten is maximaal een halfuur werk. Verder kun je als je echt
onzekerbent over de veiligheid van je eigen servers gewoon in ieder geval de
websites upbrengen en ftp, telnet of ssh toegang gewoon pas toelaten nadat
de oorzaak van de hack gevonden is. Je zou zelfs alle accounts tijdelijk op
een andere server kunnen zetten. Elke minuut downtijd is voor een klant 1
teveel, enkele dagen is imo absoluut onacceptabel.
Maar laten we het er maar op houden dat je een goedkoop paard niet in de bek
mag kijken hé ?
Succes ermee zou ik zeggen...
Das waar, alleen zit het verschil vaak in de manier van voorkomen en
oplossen van dergelijke problemen. Bij WideXS meen ik was vorig jaar ook een
rijtje servers gehacked (lees: alles gewist) en deze waren binnen enkele
uren weer up and running.
> Ook onze site is nog steeds niet beschikbaar.
Al us gedacht aan een andere provider? :>
> De oudste backup is van 24 uur terug, hij si helaas onbruikbaar,
> omdat de hacker waarschijnlijk in het bezit is van alle
> wachtwoorden.
Dat snap ik even niet. Ik neem aan dat je wachtwoorden one-way geencrypt
zijn. Het iljkt me niet dat hij al die passworden gekraakt heeft.
EN dan nog, je restored de backup... en veranderd de paswoorden en hangt hem
*DAN* weer terug in het rack. Ik zie niet in waarom dat zo lang moet duren.
> Elke minuut downtijd is voor een klant 1
> teveel, enkele dagen is imo absoluut onacceptabel.
Commentaar geven kun je erg goed, ik wacht de dag af waarop jou servers
gehacked worden, ik ben serieus benieuwd hoe je dat gaat aanpakken.
Overigens is het een exploit via httpd, wil je dat ook dichtzetten?
Buiten dat zijn de sites nog geen 24 uur offline, je halve week of meerdere
dagen gaat dus niet op.
> Maar laten we het er maar op houden dat je een goedkoop paard niet in de
bek
> mag kijken hé ?
Ik wordt werkelijk moe van je, ik ben benieuwd wat jij tegen DDoS aanvallen
doet of wat jij
gaat doen op het moment dat je server gehacked wordt.
Overigens wil ik je er even op wijzen dat, om een voorbeeld te noemen vele
Dalnet IRC servers
op dit moment alweer vele dagen offline zijn omdat ze zo zwaar worden
geDDoSed dat de providers ervan simpelweg geen verbinding meer hebben met de
buitenwereld.
Waarschijnlijk weet je ook dat Dalnet servers door grote ISPs en hosters
worden gehost die ondanks hun vele gigabit/s aan bandbreedte en vele
tientallen netwerk en routingspecialisten geheel machteloos staan bij een
DDoS.
Maar natuurlijk moet ik geloven dat jij het zo zou kunnen oplossen......
> Das waar, alleen zit het verschil vaak in de manier van voorkomen en
> oplossen van dergelijke problemen. Bij WideXS meen ik was vorig jaar ook
een
> rijtje servers gehacked (lees: alles gewist) en deze waren binnen enkele
> uren weer up and running.
Waarop de hacker, indien deze dit wenste, onmiddelijk dit rijtje weer kon
uitschakelen.
> EN dan nog, je restored de backup... en veranderd de paswoorden en hangt
hem
> *DAN* weer terug in het rack. Ik zie niet in waarom dat zo lang moet
duren.
We veranderen ook de gebruikersnamen.
Door de manier waarop Cobalt servers gebackupped worden is het geen kwestie
van plug en play.
Een van de redenen waarom we van het Cobalt platform gaan afstappen, een
andere reden
is schaalbaarheid.
Indien het allemaal zo simpel zou zijn, dan hadden we tenminste onze eigen
websites wel weer
online geholpen, we wilden gewoon eerst zeker weten hoe de hacker
binnenkwam.
Nu we dat weten, zijn we er ook van overtuigd dat de hacker beschikt over
alle gebruikersnamen en wachtwoorden.
> Al us gedacht aan een andere provider? :>
Dan kun je vaak blijven verhuizen, geen provider is niet te hacken.
Joh voel je eens niet zo aangevallen joh :) Ik las op het forum van
tweakers.net dat iemand al een paar dagen niet bij zijn domein kon komen,
maar dat zal dan wel een andere storing zijn geweest? Als de sites
werkelijk nog geen 24 uur offline zijn dan is het nog wel een beetje
acceptabel.
>
> > Maar laten we het er maar op houden dat je een goedkoop paard niet in de
> bek
> > mag kijken hé ?
>
> Ik wordt werkelijk moe van je, ik ben benieuwd wat jij tegen DDoS
aanvallen
> doet of wat jij
> gaat doen op het moment dat je server gehacked wordt.
>
> Overigens wil ik je er even op wijzen dat, om een voorbeeld te noemen vele
> Dalnet IRC servers
> op dit moment alweer vele dagen offline zijn omdat ze zo zwaar worden
> geDDoSed dat de providers ervan simpelweg geen verbinding meer hebben met
de
> buitenwereld.
>
> Waarschijnlijk weet je ook dat Dalnet servers door grote ISPs en hosters
> worden gehost die ondanks hun vele gigabit/s aan bandbreedte en vele
> tientallen netwerk en routingspecialisten geheel machteloos staan bij een
> DDoS.
>
> Maar natuurlijk moet ik geloven dat jij het zo zou kunnen oplossen......
Kun je mij vertellen wat een DDoS met een hack te maken heeft?
En uit welke bron haal jij dat?
> Misschien verstandig om naar een echt OS over te stappen (Windows2000
> server of SUN Solaris) en van dat uit de hand gelopen hobby-project
> (Linux) af te stappen.
LOL. WIndows 2000 server als webhosting platform noem jij een echt OS?
> Kun je mij vertellen wat een DDoS met een hack te maken heeft?
Even duidelijk, de offline tijd heeft met beide problemen te maken.
We kregen zowel een DDoS als een hack op Duriel.idomein.nl
> En uit welke bron haal jij dat?
Je maakt me niet wijs dat WideXS binnen enkele uren kon achterhalen hoe de
hacker binnen kwam, zeker kon stellen dat de hacker niet in het bezit was
van gebruikersnamen/wachtwoord combinaties en daarnaast alle
gebruikersnamen.wachtwoorden kon veranderen en dit binnen enkele uren mede
kon delen aan hun clienten.
> > Overigens gaan we met ons nieuwe platform naar BSD.
>
> Is ook weer zo'n UNIX variant, blijf je in ieder geval nog met die
> kloterige case-sensitivity zitten :-)
Kloterige case-sensitity ? Ik stoor me meer aan dingen als INDEX.HTM en
AUTOEX~1.BAT.
> Trouwens wel erg tegendraads... de trend is toch echt dat de meeste
> providers overstappen op Windows platformen met .NET support,
Vreemd, ik zie die overstap nergens.
Hoogstens dat hosters er MS hosting er *naast* gaan doen omdat hier
vraag naar is. En de reden dat er vraag naar is is dat de gemiddelde
websitebouwer met ASP werkt omdat die dat lekker thuis kan testen op
zijn XP doosje.
> zelfs sommige grote hosters die voorheen volledig anti-microsoft waren
> gaan overstag (Ladot bijvoorbeeld).
Ik ken Ladot niet als uitgesproken MS hater.
Maarten
--
*** Quits: TITANIC (Excess Flood)
Waarom zou dat niet kunnen? Ik zie geen enkel obstakel om een server binnen
enkele uren weer up and running te krijgen. Accounts activeren en passwords
opnieuw mailen kan daarna prima gebeuren.
> Waarom zou dat niet kunnen? Ik zie geen enkel obstakel om een server
binnen
> enkele uren weer up and running te krijgen. Accounts activeren en
passwords
> opnieuw mailen kan daarna prima gebeuren.
Passwords mailen ? ;) hoe kunnen die mensen hun mail ophalen zonder dat ze
op de hoogte zijn van de nieuwe passwords ?:)
Jij had het over passwords mailen, bij ons kan iedereen een 2e (extern)
e-mail adres opgeven speciaal voor dergelijke dingen. En anders kan het
prima per post. Dat soort dingen zijn zeer gemakkelijk te automatiseren.
> "MarcoH" <mar...@cistron.nl> schreef in bericht
> news:supersede.at7jdi$o1v$1...@ncc1701.cistron.net...
>
> > Ongetwijfeld 1 van die spotgoedkope hosters waar we er ieder jaar
> > een paar 100-en van zien komen en gaan. Ik zou zeggen bel ze eens:
>
> Wil je zeggen dat duurdere providers 100% hackproof zijn ?
Vast niet, maar er is wel een zeker verband. Tegenwoordig heb je
honderden hosters die een doosje ophangen bij een colo-boer ophangen en
voor hoster gaan spelen, terwijl ze van toeten noch blazen weten.
De ISP's met mensen met clue zijn vaak een stukje duurder, maar dan loop
je ook minder risico dat dit soort voorvallen plaatsvinden.
"The One" <rem...@limit.nl> wrote in message
news:at9s60$mh3$1...@news1.tilbu1.nb.home.nl...
Natuurlijk,... wil jij anno 2002 nog een zwart wit tv met twaalf kanalen
waarbij je nog met zo'n gekarteld wieletje alle zender bij elkaar moet
draaien? Lijkt me niet :-)
>
> Er zijn duizenden mensen die wel in staat zijn om goede software op het
> unix platform te schrijven, dat jij dat niet kan zegt denk ik eerder iets
> over jouw kwaliteiten als programmeur dan over BSD als OS.
Het gaat er niet om dat ik daartoe niet in staat ben, ik vind het zelfs vaak
leuk. Echter voor mijn baas geldt dat de 'Time To Market' belangrijker is
dan veel andere factoren, waaronder ook mijn fun :-(. Ontwikkeltijd is
namelijk vaak dure tijd.
Met VisualStudio ontwikkelen gaat gewoon vele malen sneller dan met Workshop
van SUN bijvoorbeeld.
Het is geen probleem dat veel zaken je uit handen genomen worden (denk aan
het automatisch programmeren van je TV), als je nog maar steeds beschikt
over de mogelijkheden om het met de hand te doen.
Naar mijn mening heeft Microsoft dat redelijk goed voor elkaar in
VisualStudio.
Groeten,
Peter.
> Add me too: sabrib...@hotmail.com
Inmiddels is gebleken dat we alle websites met platte html (dus zonder CGI
of enig executable iets) terug kunnen zetten.
"The One" <rem...@limit.nl> wrote in message
news:ata615$k6g$1...@news1.tilbu1.nb.home.nl...
Ah, je bedoeld dat de krakers executable files `aangepast' hebben,
met achterdeurtjes? Ik begin het een beetje te begrijpen.
Als je weet wanneer de krakers binnenkwamen (geloof dat je zei
dat 't een paar dagen geleden was), zou je eerst kunnen restoren
naar die datum, en dan alle platte .html files van gister terug
kunnen zetten, misschien.
Groetjes,
joostje
Ik hobby wel eens wat bij en toko die gewoon met vi e.d. hun C-code in
elkaar kloppen en dat gaat ze heel aardig af. Ze zijn een van de
grootste software-bouwers in Nederland.
Niemand heeft daar het idee dat hun code beter wordt als ze dat grafisch
gaan ontwikkelen met point&click.
Tooltjes zijn leuk voor de ontwikkelaar, maar uiteindelijk gaat het toch
om de code. En die zul je zelf bij elkaar moeten tikken. In plaats van
klikken.
--
Relax(Tm),
Ralf van Dooren
ra...@iae.nl
> Ah, je bedoeld dat de krakers executable files `aangepast' hebben,
> met achterdeurtjes? Ik begin het een beetje te begrijpen.
Precies !!
> Als je weet wanneer de krakers binnenkwamen (geloof dat je zei
> dat 't een paar dagen geleden was), zou je eerst kunnen restoren
> naar die datum, en dan alle platte .html files van gister terug
> kunnen zetten, misschien.
Helaas weten we niet exact wanneer de hacker binnenkwam, dus we beschouwen
op dit moment alle backups als onbruikbaar.
Dat is helaas wel een probleem.
Gelul, zowel idomein, coloheaven als limit zijn de afgelopen 4 maanden
telefonisch niet bereikbaar geweest. Ik kan het weten want ik probeer
je al die tijd al te bereiken omdat je de server, waar ik 4 maanden
geleden meer dan 1100 euro voor betaald heb, niet levert. Als je niet
kunt leveren dan moet je gewoon netjes terugbetalen, anders worden
mensen boos en krijg je dit soort onzin.
Een boze klant. (die jammergenoeg niet kan hacken...)
Dus uhm, je kunt een backup niet terug zetten omdat er aangepaste
executables inzitten met achterdeurtjes? Stomme vraag maar:
- Wat maakt dat uit? Ik neem toch aan dat executables van klanten niet onder
root draaien en dus een achterdeurtje weinig schade kan aanrichten aan de
server...
- Het lijkt me erg onwaarschijnlijk dat een hacker elke php elke pl en elke
cgi file handmatig is gaan editen om er een achterdeurtje in te timmeren...
- Stel dat je om welke reden dan ook geen executables terug kunt zetten, dan
kun je toch in ieder geval alle files in een directorie van de klant zetten
waar Apache niet aankomt?
- Wat doet het ertoe dat er executables eventueel een achterdeurtje
bevatten, dan kun je alle andere data zoals mail, statische data en
databases gewoon terug zetten?
Het klinkt me meer in de oren alsof er geen backup is en je nu een geweldige
smoes aan het verzinnen bent. Natuurlijk heb je wel backups (toch?) alleen
druk je je nogal fout uit dus ik zou zeggen, probeer het nog een keer voor
de mensen die je eerdere uitleg een beetje onduidelijk vinden. :)
Mag ik trouwens ook vragen hoe het mogelijk is dat iemand bij de backups
komt? Of bewaar je de backups soms op dezelfde server?
Even voor de record: dit is geen aanval op je. :)
> Een boze klant. (die jammergenoeg niet kan hacken...)
Op deze onzin ga ik zeker niet in.
> Mag ik trouwens ook vragen hoe het mogelijk is dat iemand bij de backups
> komt? Of bewaar je de backups soms op dezelfde server?
>
> Even voor de record: dit is geen aanval op je. :)
Ik denk dat de backups die we hebben, gemaakt zijn tijdens de periode dat de
server gehacked was.
De hacker kan uiteraard zelf niet bij de backups, laten we daar duidelijk
over zijn.
We hebben diverse redenen om de backups niet normaal terug te plaatsen, deze
ga ik niet posten of uitleggen.
> We hebben diverse redenen om de backups niet normaal terug te plaatsen,
deze
> ga ik niet posten of uitleggen.
Inmiddels is het meerendeel van de accounts weer online. De meeste sites
hebben we ook gewoon terug kunnen plaatsen, sommige sites helaas niet
vanwege een veiligheidsrisico.
Laten we de draad nu weer sluiten, ik vind dat ik voldoende reactie heb
gegeven in deze Usenet groep op de hack van Duriel.
't begint net interessant te worden, vooral omdat je op mijn wellicht wat
kritische vragen niet ingaat. :) Maar ik vind het prima, hoop voor je dat de
schade beperkt is gebleven.
Sorry maar ik geloof hier niet veel van. Een aantal account waarvan ik weet
dat ze bij jullie zitten zijn nog allemaal niet online. Lijkt me sterk dat
het juist dié zijn die je niet hebt kunnen terugplaatsen. Ondertussen zijn
die sites al wel DIK 48 UUR uit de lucht.... En nog steeds geen enkele mail
van iDomein.
Ik ben bang dat je veel opzeggingen tegemoet kunt zien de komende week..
--knip--
Ik zag net een CERT advisory (CA-2002-35) over Raqs. Het gaat over
vulnerability in het Sun Hardening Package. Volgens de advisory zijn
er al exploits in het wild. Het lijkt er dus op dat het Idomein
verhaal daar het levende bewijs voor is.
Carel
Rob, waarom handelen jullie onder allerlei verschillende
bedrijfs/handelsnamen?
Komt mij (persoonlijk) altijd nogal malafiede over.
--
Frank
>
>"J.S." <jran...@hotmail.com> schreef in bericht
>news:7d291912.02121...@posting.google.com...
>
>> Bedankt voor de uitleg Remon.
>> een vervelden de zaak, kan me goed voorstellen dat je hier niet blij mee
>bent...
>> hebben jullie wel de lek/ hacker kunnen ontedekken?
>> Veel succes bij het terug plaatsen van de sites...
>
>Inmiddels hebben we redelijke zekerheid over de manier waarop de hacker
>binnen is gekomen.
>
>Collegas van me zijn inmiddels bezig de accounts terug te plaatsen, hierna
>worden gebruikers
>met hun nieuwe accountgegevens gemailed. Je kunt je misschien wel
>voorstellen dat zowel ik als enkele collegas hieraan de hele nacht
>doorgewerkt hebben, dus ik ben straks blij als ik mijn bedje ga zien ;)
>
>Bedankt voor je positieve reactie.
Het er openlijk voor uitkomen is al positief (hoe erg het ook is...)
Ik denk dat vele andere het op een technische storing zouden hebben
gehouden, ofzo...
Het blijft de nachtmerrie van iedere provider...
Heb je wel aangifte gedaan?
Misschien kun je via een gespecialiseerd bedrijf nog informatie
achterhalen op de lege schijven die na de dader kunnen lijden...
>Het is gewoon ons oude kantoorpand, dus de nummers zijn inderdaad nog niet
>gewijzigd
>bij SIDN.
Da's een mailtje van 2Kbyte. Zelfs met enkel een GSM als intuhnet is het
seconden werk.
--
Ruben
|Gewoon niet meer op usenet posten, is dat ook een optie?
|
| Douwe
>P.S. Sorry, voor deze na-trap, maar van die cheapo OS'n heb ik al meeeeer
>dan genoeg last gehad.
Leuk dat je omdat iemand slordig is en langere tijd niet doorheeft dat 'ie
'gasten' heeft een OS de schuld geeft. En adding injury to insult een
alternatief voorstelt wat nog veel en veel 'gast'vrijer is.
>providers overstappen op Windows platformen met .NET support, zelfs sommige
>grote hosters die voorheen volledig anti-microsoft waren gaan overstag
>(Ladot bijvoorbeeld).
Het toverwoord heet 'omkoping'. Je wilt niet weten hoe graag Microsoft wil
dat grote hosters overstappen op een windows-variant. Een avondje Yab Yum
heb ik nooit voorgesteld, maar ik twijfel er niet aan dat ze dat vergoeden.
>Kloterige case-sensitity ? Ik stoor me meer aan dingen als INDEX.HTM en
>AUTOEX~1.BAT.
Het is HOME.HTM.
Leer dat toch eens.
>Natuurlijk,... wil jij anno 2002 nog een zwart wit tv met twaalf kanalen
>waarbij je nog met zo'n gekarteld wieletje alle zender bij elkaar moet
>draaien? Lijkt me niet :-)
Voegen die kleuren, de afstandbediening en de om-het-kwartier-reclame dan
iets toe aan de kwaliteit van de uitgezonden programma's?
Een beetje programma-maker wordt niet gehinderd door z'n gereedschappen. Een
kluns daarintegen kan met topgereedschap de indrukken wekken dat het nog wat
is.
>Naar mijn mening heeft Microsoft dat redelijk goed voor elkaar in
>VisualStudio.
Vreemd dan dat ze ondanks hun perfecte ontwikkelsoftware nog altijd simpele
zaakjes als bufferoverflows nog altijd niet onder controle hebben. Al draagt
een aap een gouden ring..
>geen provider is niet te hacken.
Zonder meer waar. Maar sommige providers slagen er wel in in een uurtje een
backup terug te zetten.
> Maarten te Paske <use...@tepaske.net> wrote:
>
> > Kloterige case-sensitity ? Ik stoor me meer aan dingen als INDEX.HTM
> > en AUTOEX~1.BAT.
>
> Het is HOME.HTM.
>
> Leer dat toch eens.
Shit, en ik heb nog wel een brainbench-windows-98-power-user
certificaat aan de muur hangen.
Is het trouwens niet Home.HTM ?
>Is het trouwens niet Home.HTM ?
Windows negeert 'case'. Dat was een van de goede kanten van Windows, volgens
OP. GELUKKIG DOEN MENSEN DAT NIET. DAT LIJDT MAAR TOT ONNODIGE IRRITATIES.
of denk je dat het makkelijker leest? als we het onderscheid tussen onder-
en bovenkast afschaffen. zomaar, omdat het ongemakkelijk is.
Laat even weten wanneer ik vrij moet nemen voor de openbare verhoren van de
Parlementaire Enquete Hostingfraude :)
--
Met vriendelijke groet,
Media Design - Internet Service Provider - http://mediadesign.nl
Chris de Waard - Seeyoutoo - http://cu2.nl
WaAr HeB jE hEt In HeMeLsNaAm OvEr ? DiT lEeSt ToCh WeL mAkKeLiJk !
--
If you see an attachment here please blacklist me
begin foutlook.exe
A: No. See http://www.leerquoten.nl/
Q: Should I include quotations after my reply?
> "Tozz" <nntp...@kijk.tv> schreef in bericht
> news:at9svv$gst$1...@info.service.rug.nl...
>> EN dan nog, je restored de backup... en veranderd de paswoorden en hangt
> hem
>> *DAN* weer terug in het rack. Ik zie niet in waarom dat zo lang moet
> duren.
> We veranderen ook de gebruikersnamen.
> Door de manier waarop Cobalt servers gebackupped worden is het geen kwestie
> van plug en play.
> Een van de redenen waarom we van het Cobalt platform gaan afstappen, een
> andere reden
> is schaalbaarheid.
> Indien het allemaal zo simpel zou zijn, dan hadden we tenminste onze eigen
> websites wel weer
> online geholpen, we wilden gewoon eerst zeker weten hoe de hacker
> binnenkwam.
> Nu we dat weten, zijn we er ook van overtuigd dat de hacker beschikt over
> alle gebruikersnamen en wachtwoorden.
Wat is dit voor buitenproportionele reactie ? 1 hackje en:
- Ander OS moet erin
- Andere gebruikersnamen
- Andere wachtwoorden (okay...)
- Backups blijken onbetrouwbaar
- Andere hardware moet erin
???
Weet je werkelijk waar je mee bezig bent ? Het komt op mij
over als paniekvoetbal..
Ik wil geen hack van deze aard goedpraten hoor, maar het begint
bijna ongeloofwaardig te klinken...
--
-Martijn @..@ ( Martijn Loots - Hengelo [NL] )
(`--') ( mar...@cosix.com - www.cosix.com )
( >__< ) --------------------------------------
^^^ ^^^ ( Highspeed Internet: Linux@7M8 ADSL )
niet als je enige doos waarop 200 klanten en je email draait
kapot gaat door een brakke voeding (of wat anders).
> - Ander OS moet erin
Doos was stuk, geen echte backups, opnieuw installeren
> - Andere gebruikersnamen
"We wisten de oude niet meer"
> - Andere wachtwoorden (okay...)
"We waren ze allemaal vergeten"
> - Backups blijken onbetrouwbaar
"We hebben geen backups van het OS"
> - Andere hardware moet erin
"Doos was stuk ? Dan moet dat wel!"
> Ik wil geen hack van deze aard goedpraten hoor, maar het begint
> bijna ongeloofwaardig te klinken...
.. Beetje ? ..
>> EN dan nog, je restored de backup... en veranderd de paswoorden en
>> hangt hem *DAN* weer terug in het rack. Ik zie niet in waarom dat zo
>> lang moet duren.
>
> We veranderen ook de gebruikersnamen.
Dat zal fijn zijn. Kan ook iedereen z'n paden aanpassen (van /home/kees naar
/home/keesje)
> Door de manier waarop Cobalt servers gebackupped worden is het geen
> kwestie van plug en play.
Als je echt zoveel ellende hebt met het restoren van een 'backup' dan zou ik
zelf maar eens een ander systeem gaan bedenken. Want aan die backups heb je
dus geen donder.
> Een van de redenen waarom we van het Cobalt platform gaan afstappen,
> een andere reden is schaalbaarheid.
>
> Indien het allemaal zo simpel zou zijn, dan hadden we tenminste onze
> eigen websites wel weer online geholpen, we wilden gewoon eerst
> zeker weten hoe de hacker binnenkwam.
Das ook piece of koekje. Je changed ff het A record van www.idomein.nl zodat
hij naar een andere server resolved, en tis opgelost.. je site is weer
online.
Verder klopt jou andere argument ook niet.. dat klanten-data geinfecteerd
is. *stel* dat dit zo zou zijn dan boeit dat geen ene donder aangezien dat
niet root draait (tenmniste, dat hoop ik ten zeerste voor je anders is er
iets FLINK mis met je configuratie).
Bye
Tozz, die niet op cobalt machines host.
En anders lukt het ze zeker wel binnen 48 uur :)
Wat ik me dus nog ff afvroeg, je zegt dat alle statische content teruggezet
is. Maar jullie eigen site met ' Outlook
klik hier voor een uitleg om uw Outlook express in te stellen.' werkt niet.
Het lijkt me niet dat zo'n handleiding dynamisch gegenereerd wordt of wel?
Het ruikt toch wel erg naar geen backups hebben en dan vraag ik me af OF je
wel gekraakt bent en of niet gewoon een disk is overleden ofzo (want die
cobalts doen afaik geen RAID oid).
Ja, daar ben je goed in en dat doe je al 4 maanden, geen server
leveren en niet reageren op mijn vragen. Je bent telefonisch
onbereikbaar, bant boze klanten van je forum en geeft niet thuis via
de mail. Het lijkt me dat je het allemaal aan jezelf te danken hebt en
als je zo doorgaat dan maak je nog veel meer mensen boos.
Je bent smerige oplichter Remon Akkemans van limit.nl coloheaven.com
idomein.nl en 'Group One Communications'
Je reageert niet omdat ik gelijk heb.
Wat een misselijke arrogante l*l ben jij zeg.
Ik neem zonnder meer aan dat je je klanten wel schadeloos stelt?
O nee, daar antwoordt je natuurlijk niet op.
Je bent nummer zoveel van die prutsers waar betalende klanten het
slachtoffer worden van gepruts en smoesjes.
Hopelijk verlies je alle klanten en dienen ze collectief een
schadoosstelling in. Faillissement is je van harte gegunt!
--
Remove NOSPAM from E-Mailaddress!!!
Mr. Happy.
>cobalts doen afaik geen RAID oid).
http://www.sun.com/hardware/serverappliances/raq550/specs.html
Software Features:
RAID Ø and 1
HTH, HAND. :)