Het ergste wat een blogger, of wat voor site-beheerder dan ook, kan overkomen is dat je ’s ochtends wakker wordt, je mail opent en je overspoeld wordt met notificaties van je site. Uptime monitors die aangeven dat je site continue tussen on- en offline staat te klapperen. Bezoekers monitors die aangeven dat je plots data verkeer trekt van over de hele wereld, vanuit obscure landen waarvan ik zelf moest opzoeken waar deze lagen.
Op zo’n moment bekruipt je een ongerust gevoel, een onderbuik gevoel dat steeds kouder en hardnekkiger wordt.
Als programmeur schiet je dan gelijk in overdrive…. ping naar osfa.nl: okay de server is nog gewoon offline. Browsen naar de site? Nee dat is een probleem want er staat 1-of-andere standaard pagina maar niet mijn site.
Het onderbuik gevoel begint de vorm van een baksteen aan te nemen.
Inloggen op de site? werkt ook niet meer: dan maar inloggen het beheer van de server.
oh shit
Site beveiliging geeft aan dat er meer als 5000 geïnfecteerde bestanden zijn: een kort onderzoekje wijst uit dat elk bestand wat maar iets van programma code bevat geraakt is. Overal zijn er functie aanroepen aangepast, toegevoegd en verwijderd. In mappen diep verstopt op mijn site duiken stukjes code op klaar om vanaf buiten aangeroepen te worden en om kwaad te doen op het internet.
Terwijl ik bezig ben met onderzoek zie ik de schade groeien, per minuut honderden bestanden die of besmet raken of plots op plekken verschijnen waar ze niet horen.
Dan heb je maar 1 optie: De virtuele stekker er uit! Site uitschakelen, alle verbindingen de nek om draaien, alle wachtwoorden resetten: het zwartste scenario voor een site-beheerder (en programmeur): full system shutdown.
Intussen ben ik al heel wat gevloek, getier en uitzoek werk verder en is het tijd voor update:
- Er is bij de hack geen geen persoons- of betaling gegevens buitgemaakt (wat niet in de site zit kan ook niet gekopieerd worden)
- Aan de hand van de code die ik zie heeft de hack met twee doelen plaats gevonden:
- Van mijn site een ghosthub te maken die als een bot ingezet kon worden voor “dubieuze” zaken
- Het simultaan gijzelen van mijn site.
Door de (iet-wat-overkill) aan monitor en beveiligingstools die ik heb draaien op mijn site is dit beiden niet gelukt zoals het script kiddie het waarschijnlijk gewild heeft. De site crashte gigantisch op het moment dat de ghosthub scripts geinjecteerd werden. En het gijzelen: ik heb ze midden in het proces “onderbroken”.
Eind resultaat: behalve ikzelf heeft niemand hier last van gehad. En last heb ik helaas nog steeds. Alle custom programmeer code, alle 250+ recepten, alle foto’s… stuk voor stuk beschadigd, verdwenen in een zwart gat of besmet.
Uiteraard heb ik backups door de manier waarop ze zijn binnen gekomen op en in mijn site is het niet een kwestie van “kopietje” terug en weer lekker verder gaan. Ik zie in backups al sporen dat ze eerder al “binnen” zijn geweest en een achterdeurtje voor een later moment hebben achter gelaten. Hoe ze dat gedaan hebben: geen idee en ik zal het waarschijnlijk nooit weten. Alles was up-to-date maar toch hebben ze ergens een kleine window qua tijd gehad om een achterdeurtje in mijn site te krijgen. In backups van een jaar geleden zie ik al wat bestanden welke ik nu niet meer vertrouw.
Na veel pijn en moeite heb ik de recepten en een groot deel van informatiepagina’s veilig kunnen stellen. De afbeeldingen heb ik ook nog allemaal op een harde schijf staan maar ik zal recept voor recept, pagina voor pagina af moeten gaan om te kijken om weer alles aan elkaar te knopen…..
To be continued….