Ehhb.nl is verhuisd en gehackt

Nieuwsberichten.
Plaats reactie
Gebruikersavatar
Administrator
Site Admin
Berichten: 206
Lid geworden op: 11 apr 2024, 11:16

Ehhb.nl is verhuisd en gehackt

Bericht door Administrator »



Sta in dubio of de kopregel "Ehhb.nl is verhuisd en gehackt" of "Ehhb.nl is gehackt en verhuisd" moet zijn.
Ga voor de eerste optie, omdat dit chronologisch beter uit te leggen is.

Verhuisd
Waarom een website verhuizen als je het voornemen hebt om het op 6 april 2026 aflopende contract niet te verlengen?
Realiseerde mij dat ik naast dit contract in 2025 een contract afgesloten heb bij een andere hostprovider die gebruikt wordt als back-up van deze website. Kwam hiertoe omdat ehhb.nl bij Mangelot Hosting enige keren (onaangekondigd) onbereikbaar was, lees Ehhb.nl even onbereikbaar.
Na de eerste storing op zoek naar een alternatief. Tien hostingproviders gewikt en gewogen en Site.nl kwam hierbij als beste uit de bus.¹
¹ De tien onderzochte hostingproviders waren: Junda, Mijn.host, Strato, Cloud86, Site.nl, Hostinger, TransIP, Yourhosting, SiteGround en Hosting.nl.

Op 10 juli 2025 trad weer een (onverwachte) storing op. Tijd om in actie te komen en uit voorzorg een contract afgesloten bij Site.nl.
Sinds die dag draait daar een back-up van ehhb.nl.

Het is de intentie om op 6 april 2026, als het Mangelot Hosting-contract afloopt, ehhb.nl te sluiten en op 10 juli 2026 de back-upwebsite.
Tot ik mij realiseerde dat het nutteloos is een back-upwebsite in de lucht te houden als de bron verdwenen is.
Echter, als ik de website verhuis naar de back-upwebsite, wordt de einddatum verlegd naar 10 juli. Zo gezegd, zo gedaan.

Perikelen
Voor alle duidelijkheid: de ervaringen met Site.nl zijn goed.
Contract afgesloten, je krijgt schijfruimte en een uniek IP-adres waarmee je aan de slag kunt.
phpBB geïnstalleerd, back-up gemaakt van de ehhb.nl-website en hier opgeslagen. Draait als een zonnetje.

Tot ik op 6 januari 2026 daadwerkelijk de migratie in gang zet.
Toegegeven, een deel van de problemen komt op mijn conto. Neem hiervoor verantwoordelijkheid. Mainframe-, DOS- en Windows-kennis is blijkbaar onvoldoende om een website succesvol te migreren.
In mijn voordeel pleit dat ik privé een Windows-server heb draaien met diverse (op verschillende tijdstippen gemaakte) ehhb.nl-kopieën:

Afbeelding

Zie je het verschil? Het enige onderscheid is de adresbalk waarin localhost/ehhb... staat.

Voortgang:
  • Het eerste misverstand ontstaat bij het overzetten van de domeinnaam ehhb.nl van Mangelot Hosting naar Site.nl.
    Uit alle mogelijkheden kies ik voor directe betaling van Rabobank naar ING. Vond dit de makkelijkste manier. Zag wel 3 dagen verwerkingstijd staan, maar dat was in het verleden. Een betalingsopdracht wordt tegenwoordig binnen één seconde uitgevoerd.
    Hier ontstond het misverstand: geef door dat ik betaald heb en zag in gedachten al mensen rennen om de wijziging door te voeren.
    Niet dus, de praktijk is dat Site.nl 3 dagen wacht voordat ze überhaupt beginnen met de domeinmigratie...
  • De tweede misser komt op mijn conto.
    Een back-up kun je op elk willekeurig moment aanmaken. Maar bij een back-up met de intentie een website te verplaatsen, moet je wel zorgen dat er vervolgens geen wijzigingen meer kunnen plaatsvinden. Omdat dit forum wel lezers heeft, maar er zelden iets geplaatst wordt, besloot ik het forum open te laten.
    Na het maken van de back-up meldden zich prompt twee nieuwe forumgebruikers aan...
  • Vervolgens bega ik een blunder. (Van misverstand naar misser en vervolgens blunder − Murphy's Law?)
    Na het plaatsen van de back-up op de nieuwe server bedacht ik dat er nu op twee websites de extensie Anti-Spam² draait, terwijl ik een licentie heb voor slechts één server. Wat te doen? Omdat ik niet weet hoe je, als de domeinnaam overgezet is, de 'oude' website kunt benaderen, besloot ik Anti-Spam op de actieve server uit te schakelen. Onwetend van het feit dat die dag al twee hackpogingen gepleegd waren:
    Afbeelding
    ² Lees CleanTalk* — Cloud Services for Websites
  • Hoe nu verder?
    Vanaf dat moment is veel onduidelijk − en van de voortgang heb ik weinig aantekeningen gemaakt.
    Eerst stuurt de SIDN (Stichting Internet Domeinregistratie Nederland) drie e-mails. Denk dat ik nog enige tijd nodig heb om ze te begrijpen:
    1. Je krijgt deze mail omdat je de administratieve contactpersoon bent van een domeinnaam.
    2. Je bent houder geweest van een domeinnaam.
    3. Je krijgt deze mail omdat je de administratieve contactpersoon bent van een domeinnaam.
    Tegelijk zendt Site.nl een e-mail:
    "Bedankt voor het aanvragen van de verhuizing van ehhb.nl bij ons. Wij hebben de verhuizing succesvol opgestart."

    Blijf de oude website zien, blijf de oude website zien, blijf... blijft niets meer over.

    Je wilt dat de domeinnaam naar de plek wijst waar de back-up geplaatst is. Blijkbaar niet.
    Mail naar Site.nl gestuurd en zelf aan het experimenteren geslagen. De map ehhb.nl aangemaakt en de back-up ook hier geplaatst.
    Op een gegeven moment is de nieuwe website bereikbaar, maar de verbinding is onveilig (http i.p.v. https).
    Omdat het al laat is, forum gesloten (ja, ik kan het wel) en ga van mijn nachtrust genieten.
    Fris in de morgen (het maakt echt verschil) vind ik de benodigde informatie: SSL activeren voor je website met DirectAdmin webhosting.
Welkom op het vertrouwde forum, maar vanaf nu op een nieuwe plaats.

Gehackt
Hierboven al aangegeven dat ik de Anti-Spam-extensie uitschakelde, waarna de eerste de beste hacker de website onklaar maakte.
CleanTalk gevraagd wat hun policy is. (Ja, de volgende keer doe ik het andersom.)
Eugene schreef:Afbeelding
We do not have any restrictions related to transferring your website to another host. In this case, it is only advisable to reinstall the plugin to avoid any errors in its operation.
You can use one access key on two websites. Your logs will contain requests from both. However, all entries will display the website name specified in your CleanTalk dashboard.
Opmerkelijk: Toen ik de tekst naar het klembord kopieerde, zag ik toevallig dat deze hagelnieuwe website al aangevallen werd door een Russische hacker:
Afbeelding

Afbeelding Advies: Nooit een phpBB-website online plaatsen zonder antispambeveiliging.

Heb geen idee wat een hacker uitricht, waardoor je forum nutteloos wordt? Zal het waarschijnlijk ook nooit te weten komen.
Omdat ik net voor de hack een back-up gemaakt heb, nogmaals een back-up aangemaakt en beide bestanden vergeleken met mijn favoriete programma Beyond Compare. Geen verschil te ontdekken! Sterker nog, deze laatste back-up is gebruikt om deze website op te tuigen.
Blijkbaar werd er ergens anders (???) iets aangepast.

Resultaat van de hack
De instelling is bij mijzelf zo ingeregeld dat ik automatisch aangemeld word. Maar ik ben ineens uitgelogd:
Afbeelding

Oké, dan meld ik me opnieuw aan. Resultaat: inlog wordt geweigerd! Gebruikersnaam en wachtwoord zijn 100% accuraat:
Afbeelding
Je kunt "Ik ben mijn wachtwoord vergeten" aanklikken, maar vervolgens gebeurt er niets.

Aangezien dit niet werkt, meld ik mij vervolgens aan als nieuw forumlid:
Afbeelding
Klik op "Ik ga akkoord met deze voorwaarden" en het volgende scherm verschijnt:
Afbeelding
Met andere woorden: de website is ontoegankelijk geworden.
Forum 2026 SHA1 hashcode: a7347c87110c65c03944054e10a2910c3c17ccea 20260128 1117w #199 actueel leestijd 6 minuten gecontroleerd door Scribbr
Omhoog
Gebruikersavatar
Administrator
Site Admin
Berichten: 206
Lid geworden op: 11 apr 2024, 11:16

To be hacked or not to be hacked?

Bericht door Administrator »

Afbeelding
Onderzoek
Nogmaals in de logfiles gedoken om te onderzoeken of er aanknopingspunten te vinden zijn, waardoor er niet meer ingelogd kon worden. Niets gevonden. Maar in alle onduidelijkheid raak ik er meer en meer van overtuigd dat de website niet gehackt is, maar dat zich een ander probleem voorgedaan heeft. De vinger hierachter krijgen is echter bijna onmogelijk; de betrokken website is niet meer online. En de exacte situatie op de bewuste avond is niet meer te reconstrueren.

Vermoed dat op de bewuste woensdagavond de eerste acties ondernomen werden om de domeinnaam www.ehhb.nl te verhuizen van de oude naar de nieuwe server. Dit valt echter niet meer te achterhalen.

Back-up
Het laatste wat je moet doen, is een back-up maken van een besmet systeem. Als je deze op een ander systeem terugzet, wordt dit systeem ook besmet.
Maar dit forum is ingericht met de laatste aangemaakte back-up, nadat er niet meer ingelogd kon worden. Dit versterkt mijn vermoeden dat er iets anders aan de hand geweest moet zijn.

Tijdlijn
Opvallend is dat dit gebeurde in een zeer korte tijdspanne:
  • Om 21:31 heeft iemand zich nog aangemeld als nieuw forumlid
  • Om 21:47 kon ik niet meer inloggen; een kwartiertje later
De logfile bevat echter geen melding op deze tijdstippen.

De eerste foutmeldingen in de logfile treden op om 23:28. Niet zomaar een gebruiker, maar Amazon Data Services in Singapore.
Ja, ook zij zijn van harte welkom. De melding komt van startup.php, te vinden in ./includes. De melding is "failed to open stream: No such file or directory". De verwijzing is van public_html/common.php. Specifiek regel 23, waar staat "require($phpbb_root_path . 'includes/startup.' . $phpEx)". De relatieve root path ($phpbb_root_path) verwijst wellicht naar de nieuwe server waar het bestand startup.php (nog) niet te vinden was???

Aangezien nu alles picobello draait, sluiten we dit hoofdstuk af.
Forum 2026 SHA1 hashcode: f5260f906dc71a59e2fd37efa5e5d566312bb523 20260128 315w #200 actueel leestijd 2 minuten gecontroleerd door Scribbr
Omhoog
Plaats reactie

Terug naar “Nieuws”