“Mijn hosting provider heeft mijn site offline gezet omdat hij gehackt zou zijn.” Met dit bericht zocht een vereniging contact met de Webcompagnons. De hosting provider wilde de site pas weer actief zetten als de verdachte bestanden verwijderd waren. Voor alle duidelijkheid: de Webcompagnons hadden de site niet in beheer. Hoe hebben we dit opgelost?
Waarom willen hackers mijn site hacken?
Allereerst: waarom willen hackers eigenlijk toegang krijgen tot je website? Het komt weleens voor dat een hack direct gericht is tegen (de eigenaar van) een site. Maar meestal is de hack niet persoonlijk bedoeld. Of, oneerbiedig gezegd: het merendeel van de sites is voor hackers helemaal niet interessant. Ze zijn geïnteresseerd in de capaciteit en functionaliteit van je webhosting.
De hacker misbruikt jouw hosting account bijvoorbeeld om een enorme hoeveelheid spam-mail te versturen. Of om scripts uit te voeren waarmee weer een ander systeem aangevallen wordt. Voor zulke aanvallen worden vaak grote aantallen gehackte accounts gecoördineerd ingezet. Dankzij die gehackte accounts beschikt de hacker gratis over computercapaciteit én is het niet te achterhalen wie er achter de aanval zit. De hackers kunnen allerlei motieven hebben om systemen aan te vallen. Het kunnen bijvoorbeeld pogingen zijn om (financiële) gegevens te stelen maar het kan ook om politieke doelen gaan.
Een spam-script gevonden
Terug naar de vereniging die bij de Webcompagnons aanklopte. Hun hosting provider scant regelmatig de inhoud van alle aanwezige bestanden op (mogelijk) verdachte programmeercode. Wij lieten er ook een aantal tools op los. Daarmee vonden we een paar verborgen pagina’s. Iemand die op de hoogte was van deze pagina’s kon daar een e-mailbericht invoeren en een lijst met mailadressen. De pagina bevatte een link met de tekst "Start sending" en daarmee werd het bericht naar al die mailadressen verstuurd. Het doel van deze hack was in ieder geval duidelijk.
Een verborgen pagina op je site... om spam te versturen.
Deze website was gemaakt met het Joomla content management systeem. De Webcompagnons zijn Joomla-specialisten, vandaar dat de vraag bij ons terecht kwam. De hackers hadden een paar extra bestanden neergezet met daarin hun programmeercode. Ze hadden gelukkig geen bestanden van Joomla zelf aangepast. We konden de bestanden vrij gemakkelijk verwijderen. Het probleem met een hack is echter dat je niet altijd kunt achterhalen hoe men toegang heeft gekregen. Als de “toegangsdeur” blijft bestaan dan is het mogelijk dat verwijderde bestanden er binnen de kortste keren opnieuw op staan.
Herhaling van de hack voorkomen
Bij elk content management systeem (cms) is het belangrijk om updates te installeren. Mochten er beveiligingslekken ontdekt worden, dan worden die via de updates gerepareerd. Op deze site was het Joomla-cms keurig up-to-date. Maar in het verleden waren er ook een paar uitbreidingen (extensies) geïnstalleerd die niet meer gebruikt werden. En zoals dat gaat: men was deze extensies een beetje vergeten en ze werden niet meer up-to-date gehouden. Waarschijnlijk is in een daarvan op een gegeven moment een beveiligingslek gevonden waardoor de hackers binnen konden komen. We hebben - in overleg met de vereniging - deze extensies uit de installatie verwijderd.
Ook hebben we gebruikersaccounts opgeruimd die niet meer in gebruik waren en we hebben geadviseerd om alle wachtwoorden te veranderen. Tenslotte hebben we bij de hosting provider nagevraagd wat het maximum aantal mails is dat per dag verstuurd kan worden. Als dit aantal voor normaal gebruik aan de ruime kant zou zijn, dan kan dit eventueel verlaagd worden. Hoe minder mails er verstuurd kunnen worden, des te eerder wordt een spam-script gestopt - mocht er ooit nog zo’n script op de site terechtkomen. Bovendien krijgt de eigenaar automatisch bericht van het bereiken van de limiet en dat is een signaal dat er iets aan ongewoons de hand is.
Monitoren en onderhoud
We hebben na onze opschoonactie de site een paar weken in de gaten gehouden door regelmatig een paar tools te laten draaien. De problemen zijn in die periode niet teruggekomen. Interessant om te zien was dat de hosting provider wel ontdekt had dat er een hack had plaatsgevonden maar niet zo gedetailleerd kon aangeven wat er aan de hand was als wij. Dat komt doordat de tools die wij gebruiken specifiek voor Joomla zijn.
Voor onze klanten bieden de Webcompagnons onderhoudsabonnementen aan. We houden het Joomla-cms en de aanwezige extensies up-to-date. Ook zorgen we voor een website-firewall en andere veiligheidsmaatregelen en we gebruiken de eerdergenoemde tools om de sites regelmatig te controleren. Zo’n abonnement is voor elke website aan te raden, of het nu gaat om een bedrijf, instelling of vereniging.
Een onderhoudscontract helpt te voorkomen dat je website gehackt wordt.
De Webcompagnons en non-profit organisaties
Tot slot een heel ander detail bij dit verhaal: het contact tussen de Webcompagnons en deze vereniging kwam tot stand via de Beursvloer Nieuwegein. Dit is een jaarlijks evenement waarbij bedrijven een helpende hand bieden aan non-profit organisaties. Deze hulp mag niet structureel zijn. In overleg wordt een niet-financiële tegenprestatie vastgesteld. De Webcompagnons vinden dit een mooie manier om een steentje bij te dragen aan onze maatschappij en tegelijkertijd nieuwe contacten op te doen. Zie ook: https://samenvoornieuwegein.nl/beursvloer/
Reactie van de vereniging
Wat waren we blij met deze match op de Beursvloer. Onze webmaster kon met verschillende virusscans de foute bestanden niet opsporen, ze leken te veel op onschadelijke standaardbestanden van Joomla. Volgens de hosting provider waren de voor ons onvindbare foute bestanden ook in oudere back-ups van de website aanwezig, dus we kwamen geen stap verder. De Webcompagnons kwamen er met hun specialistische kennis en tools wel achter wat er aan de hand was en maakten onze website schoon. De tip over de limiet van het aantal mails per dag gaan we zeker opvolgen.