Dinsdag 13 december 06.00 – 08.00 uur Op dit tijdstip pleegt de SIDN onderhoud aan hun systemen. Hierdoor is het tussen 06.00 – 08.00 uur niet mogelijk om .nl domeinnamen te registreren en te verhuizen. U kunt wel een bestelling plaatsen en een verhuizing aanvragen, maar deze zullen dan na het onderhoud in behandeling worden genomen.
Daarnaast zal de WHOIS informatie van .nl domeinnamen mogelijk met korte onderbrekingen beschikbaar zijn.

De SIDN meldt via Twitter de voortgang van hun onderhoud.

Zondagnacht 4 op 5 december was er een hacker actief op Cluster 2. Via een website met een oude CMS versie met daarin een lek, kreeg de hacker toegang tot de code van een site op Cluster 2, waarna hij middels een kernel exploit verhoogde rechten gekregen en een groot aantal van de sites op dat cluster weten te defacen.

Welke stappen heeft Byte vandaag ondernomen?

Vandaag hebben we enkele acties ondernomen om het probleem te verhelpen en voorkomen dat dit in de toekomst nogmaals kan gebeuren. We hebben het volgende gedaan:

• Wachtwoorden van interne systemen uit voorzorg aangepast;
• We hebben onze procedures rondom kernel releases aangescherpt;
• We zijn alle exploit pogingen die de hacker heeft gedaan op ons platform nagelopen. We hebben ervoor gezorgd deze niet meer mogelijk zijn. Websites met een verouderde CMS-versie of module lopen wel nog steeds risico om gehackt te worden. Dit kan echter geen invloed meer hebben op andere sites in hetzelfde cluster;
• We zijn alle logs van deze hacker nagelopen en hebben vastgesteld dat deze enkel de websites heeft gedefaced.

Wat is de policy van Byte omtrent beveiliging?

Byte houdt haar software doorlopend up-to-date en ook monitoren wij 24/7 op verdacht gedrag. Nieuwe kernelexploits komen echter vaak uit, en niet voor elke exploit is direct een patch beschikbaar. We hebben deze exploit direct gefixt zodra deze bij ons bekend was en hebben onze beveiligingsprocedures verder aangescherpt.

Uiteraard is het nog steeds van groot belang dat websitebeheerders de versies van hun eigen systemen bijhouden en mogelijke lekken zo snel mogelijk dichten. We vragen onze klanten en partners dan ook ook dit goed in de gaten te houden voor je klanten en verouderde versies zo snel mogelijk te upgraden.

Byte zal aangifte doen, echter geen resultaat verwacht

Hackers werken vrijwel altijd met behulp van een alias. Door slim via andere PCs (en/of openbare PCs) in te loggen, is vrijwel onmogelijk om de daadwerkelijke dader te traceren. Hierdoor kunnen we helaas ook niemand aansprakelijk stellen.

Wel zullen we aangifte doen van deze hack. Ervaring leert echter dat de afdeling high-tech crime van de politie het te druk heeft om hier actie op te ondernemen. We verwachten hier dan ook geen resultaat van.

Enkele minuten geleden waren de servers van cluster 4 (segment 1) even erg druk voor circa 5 minuten. Klanten kunnen hiervan hinder hebben ondervonden. Websites op dit cluster waren tijdens deze storing verminderd bereikbaar zijn, of trager.

Onze technici hebben de oorzaak gevonden en opgelost.

Men probeerde een extra backup te maken, om te zorgen dat een hack zoals vannacht voortaan minder impact heeft. De servers zouden hier geen last van mogen hebben, maar dit bleek helaas toch het geval.

Excuses voor het ongemak.

Update 14:00u: Het probleem is inmiddels voor alle geraakte sites verholpen. We voeren nog een check uit om zeker te weten dat alle sites weer volledig naar behoren werken.

Wat was er aan de hand?

Via een website met een oude CMS versie met daarin een lek, heeft een hacker zondagavond toegang verkregen tot de code van een site op Cluster 2, hij heeft een webshell geupload en middels een kernel exploit verhoogde rechten gekregen en een groot aantal van de sites op dat cluster weten te defacen.

In de nacht van Zondag 04 op Maandag 05 December 2011 vind er tussen 02:00 en 05:00 noodonderhoud plaats aan een aantal Magento clusters.

Update 03:00: Het onderhoud is voltooid. Websites op clusters 3, 5, 10 t/m 21, 24, 25, en 26 zijn tijdens dit onderhoud enkele minuten offline geweest.

Via een website met een oude CMS versie met daarin een lek, heeft een hacker zondagavond toegang verkregen tot de code van een site op Cluster 2, hij heeft een webshell geupload en middels een kernel exploit verhoogde rechten gekregen en een groot aantal van de sites op dat cluster weten te defacen.

Welke websites hebben hiermee te maken gekregen?

Alleen websites die op Cluster 2 staan, hebben hiermee te maken gekregen. De hacker heeft geen toegang weten te krijgen tot andere clusters. Op het Service Panel vindt u op welk cluster uw website staat onder Administratief –> Domein informatie.

Momenteel zijn we nog met een aantal websites bezig om het probleem te verhelpen.

In de nacht van Zondag 04 op Maandag 05 December 2011 vind er, in verband met een security issue in het operating systeem, tussen 02:00 en 05:00 noodonderhoud plaats aan een aantal Magento clusters.

Update 03:00: Het onderhoud is voltooid. Websites op clusters 3, 5, 10 t/m 21, 24, 25, en 26 zijn tijdens dit onderhoud enkele minuten offline geweest.

Zondag avond heeft een hacker via een lekke site een van de nodes in cluster 2 weten te hacken. Vervolgens heeft hij root (“Administrator”) rechten op deze node weten te verkrijgen, en heeft hiervan gebruik gemaakt om alle sites op cluster 2 te defacen.

In de nacht van 1 op 2 december van 0:20 tot 9:20 uur zijn er geen cronjobs (periodieke taken) voor cluster 1 uitgevoerd. Ook was het in deze periode niet mogelijk om wijzigingen aan cronjobs te maken. Inmiddels is het probleem verholpen.

Update 24 nov 00:17: Het onderhoud is succesvol afgerond.

Originieel bericht:

In de nacht van woensdag 23 november op donderdag 24 november rond 0:00 zullen we een configuratie update uitvoeren op de firewall van segment 2. U hoeft hiervoor niets te doen en de kans op downtime is zeer klein.