Een kijkje achter de schermen bij de afdeling Abuse

Overlast op het internet is er in diverse vormen, denk hierbij aan defacing, spamming, denial-of-service (DDoS) et cetera. Onze afdeling Abuse houdt zich voornamelijk bezig met het pro-actief opsporen van overlast met als doel deze voor te zijn. Soms komt het voor dat het leed al geschied is, door adequaat te handelen beperk je de schade en door juist te informeren is kans op herhaling minimaal.

In dit artikel geven we enkele praktijkvoorbeelden van overlast inclusief praktische tips.

Jouw website verstuurt spam

Deze vorm van overlast komt relatief vaak voor. Jouw website wordt misbruikt om spam uit te sturen, vaak doordat hackers een manier hebben gevonden om ‘binnen te komen’. Eenmaal binnen plaatsen hackers (veelal geautomatiseerd) bestanden binnen jouw website die spam versturen.

Deze vorm van overlast kan schadelijk zijn omdat jouw domeinnaam een slechte reputatie kan krijgen binnen spamfilters.
Wij monitoren pro-actief op uitgaande e-mail en bij overlast reageren wij hier direct op. Dit doen wij door bijvoorbeeld de mailfunctie uit te schakelen voor buitenaf zodat het spammen direct gestopt wordt. Uiteraard nemen wij contact op om de vervolgstappen door te spreken.

Jouw website is gedefaced

De vorm van overlast kenmerkt zich vaak door een (politieke) boodschap of reclame uiting op jouw site.  De originele homepage wordt namelijk vervangen waardoor jouw gebruikers niet jouw website zien maar een andere ongewenste pagina.

Ook deze vorm is schadelijk omdat jouw website bijvoorbeeld door Google geblokkeerd kan worden. Daarnaast brengt het reputatieschade met zich met mee omdat jouw bedrijf/website niet geassocieerd wil worden met de betreffende boodschap. Mochten wij een abuse melding ontvangen hierover dan nemen wij contact op om de vervolgstappen door te spreken.

Denial-of-service (DDoS)

Deze vorm van overlast is wellicht wat bekender omdat dit met enige regelmaat het nieuws haalt. Door veel verkeer naar een bepaalde website of webserver te sturen raakt deze overbelast met als gevolg dat de website en diensten hierachter niet bereikbaar zijn. Dit verkeer komt voort uit een botnet, een netwerk van geïnfecteerde computers. Vaak kiezen hackers slachtoffers bewust uit, bijvoorbeeld omdat ze het niet eens zijn met de visie van een bedrijf.

Wij monitoren pro-actief de verkeersstromen- en bronnen en nemen direct actie bij een aanval of enige verdacht gedrag. In sommige gevallen nemen wij contact op met de klant, veelal worden deze aanvallen afgeslagen voordat de eindgebruiker hier iets van merkt.

Veelvoorkomende oorzaken

• De computer(s) waarop gewerkt wordt bevat Malware
  Bijvoorbeeld Malware in de vorm van een keylogger, zo kan gemakkelijk het wachtwoord achterhaald worden van een e-mailadres of FTP gebruiker.
• Het gebruik van zwakke wachtwoorden
  Met een brute-force attack kan dit wachtwoord gemakkelijk achterhaald worden. Gebruik daarom altijd een combinatie van (hoofd)letters, cijfers en vreemde tekens en zorg dat het wachtwoord minimaal 8 tekens lang is.
  Pro-tip: https://en.wikipedia.org/wiki/Password_strength
• Het gebruik van standaard gebruikersnamen
  Zorg er voor dat je default gebruikers zoals admin of administrator altijd aanpast. Dit maakt de kans op een succesvolle brute-force attack aanzienlijk kleiner.
• Het CMS is niet up to date
  Indien je een CMS (bijvoorbeeld WordPress of Joomla) gebruikt en deze is niet up to date, dan kunnen bekende veiligheidslekken misbruikt worden. Zorg ervoor dat je altijd de meeste recente (stable) versie van jouw software pakket hebt geïnstalleerd.
• Het gebruik van schimmige thema’s
  Pas op met ‘gratis thema’s’ die je online kunt downloaden. Deze kunnen namelijk een backdoor bevatten zodat hackers via de ‘achterdeur’ naar binnen kunnen. Zorg er daarnaast ook voor dat thema’s up to date zijn.
• De plugins, modules of componenten zijn niet up-to-date
  Zorg ervoor dat alle plugins, modules of componenten ook up-to-date zijn. Je doet er verstandig aan om de life-cycle in de gaten te houden en changelogs te raadplegen. Een plugin kan wel up-to-date zijn, maar wat betekent dit als de laatste update van twee jaar geleden is?
• Rechten op bestandsniveau niet goed
  Op bestandsniveau kunnen rechten (read, write & execute) niet goed staan, vaak doordat er manueel iets gewijzigd is. In het configuratiebestand zou bijvoorbeeld nooit geschreven mogen worden.

Handige handleidingen

• Website gehackt, wat nu?
• Website veiligheidscontrole

In de praktijk

“Helaas is het niet altijd te voorkomen dat een website gehackt wordt. Het internet is immers een openbare plaats waar iedereen toegang heeft tot elkaars website. We kunnen het wel moeilijk maken door altijd de website up-to-date te houden. Dit geldt met name voor CMS-systemen zoals WordPress, Joomla, Drupal, Magento etc. Vergeet hierbij niet de plugins. Thema’s en plugins dien je alleen via officiële bron te verkrijgen. Ilegale thema’s zijn vaak besmet. Ook het kiezen van een sterk wachtwoord voor het CMS-systeem is heel belangrijk. Liefst ook een sterke gebruikersnaam dus geen voornamen of leesbare namen. Vragen? Neem gerust contact met mij op!”

Walther, afdeling Abuse

Abuse melden

Heb je een NTD-verzoek of wil je abuse meldingen? Dan vragen wij jou een e-mail te sturen naar abuse@realhosting.nl of telefonisch contact te zoeken via +31 (0)88-7508918