Browserglobalstat, website hackers?

Dit artikel zal ik met grootst mogelijke discretie schrijven, omdat het gaat over een website hack bij één van onze nieuwe klanten. De klant wilde een nieuwe website, omdat haar huidige verouderd was en niet meer geheel naar hun zin. Het eerste wat we dan doen is de bestaande site onderzoeken. En toen kwamen wij browserglobalstat in een hele vreemde index.php variant tegen.

Wij hopen dat u uit onderstaande lering kunt trekken als uw site ook al een paar jaartjes meedraait, of dat u ook op zoek moet naar uw admin wachtwoord of het telefoonnummer van uw webdesigner.

Laten we beginnen met het ergste, de hack

De website van deze klant was zeer slecht bereikbaar. Ook indirecte links die via advertenties op andere sites konden worden aangeklikt voerden naar totaal andere websites. Dit is alarm fase 1, want dan is uw website werkelijk gehackt. Dit kunt u eenvoudig controleren, doordat u ook links vanaf andere sites (zoekmachine of andere site met uw advertentie) ook naar andere sites dan de uwe wordt geleidt.

Malware waarschuwing in Google Chrome

Meestal is het resultaat schokkender dan slechts een zogenaamde redirect (waarbij de site wordt omgeleid). Bovenstaande afbeelding laat zien dat ook de browser herkend dat er mogelijk malware (malicious software) op uw computer dreigt te belanden. Dit is de beste manier om uw bezoekers voor altijd van u te vervreemden. Ik zal zo iets meer over deze hack vertellen, maar eerst u even een spiegel voor uw virtuele geweten aanhouden.

Wachtwoorden

Om iets te kunnen wijzigen aan uw website programmatuur is het noodzakelijk dat er schrijf mogelijkheden bestaan tot uw webspace (in de volksmond wordt vaak gesproken van ftp toegang). Maar het kan ook via SQL injectie, waarbij via fake informatie SQL geïnjecteerd wordt in uw site, die ook uitgevoerd kan worden. Dit komt binnen nieuwe CMS systemen niet veel meer voor, maar we spreken in ons geval over een CMS systeem met een versie uit 2007. SQL injecties vinden meestal hun weg naar uw systeem via contact formulieren of via de URL middels zogenaamde GET parameters).

FTP toegang, vrijbrief naar uw site

FTP toegang voor een website is voor een site als de gezondheidsgegevens van uw zelf. Op het moment dat dit in verkeerde handen valt, dan weet men heel veel. En meestal niet om er goede dingen mee te doen. Helaas vinden wij het nogal lastig om wachtwoorden te onthouden en daarom zijn we soms lichtzinnig in het vastleggen van wachtwoorden. In ons geval ging het om een toegang waar zowel de voornaam als de achternaam was gebruikt. Dit klinkt dom, maar het gebeurd nog maar al te vaak dat we zo lichtzinnig omgaan met gebruikersnamen en wachtwoorden.

Maak de wachtwoorden lekker moeilijk

Gelukkig kennen steeds meer internet providers cryptische toegangen toe en in veel gevallen zijn deze dan slechts door nieuwe cryptische toegangen te wijzigen. Belangrijke tip is dus: gebruik geen makkelijke wachtwoorden als “henk123” of “jannie280274”, maar maak het lekker moeilijk. Sla deze wachtwoorden desnoods op, door ze op een papiertje te schrijven en op een veilige plaats te leggen (kluis), desnoods in een gesloten envelop.

Hoevaak komt het voor dat u bij de admin van uw site moet? Maak voor een auteur een eigen toegang aan. Als u van IT dienstverlener veranderd, wijzig dan ook de wachtwoorden en verwijder de gebruikersnamen die u voor de dienstverlener heeft aangemaakt. Vertrouw niemand op hun blauwe ogen, zeker niet als je deze niet niet kunt zien!

Sla nooit wachtwoorden op!

Tenslotte is het raadzaam om niet overal hetzelfde wachtwoord te gebruiken. Het is handig misschien dat u dan maar één wachtwoord hoeft te onthouden, maar bij verlies of misbruik staan de virtuele deuren naar het internet wijd open. Gebruik voor publieke sociale netwerken altijd afzonderlijke wachtwoorden. En als u al een keer inlogt op een andere PC (niet de uwe), log dan altijd uit en sluit de browser. En sla nooit wachtwoorden op in uw browser, ook al lijkt dit nog zo handig. Het zijn vooral sociale netwerken (Facebook) die na het verlaten van de site, meestal met de laatst aangemelde gebruiker verder gaan. Dus UITLOGGEN !!!

Browserglobalstat, terug naar onze hack

De hack in ons voorbeeld was een echte redirect hack. De index.php was vervangen door een eigen versie. Schijnbaar werd de site gewoon aangesproken maar middels een zogenaamde CURL redirect. Dit hield in ons geval in dat de content werd doorgegeven (middels CURL) aan een andere URL, die vervolgens maskeerde dat deze andere URL ook zichtbaar werd. Enig onderzoek wees uit dat de site via browserglobalstat.com, werd geleidt.

Deze site behoort toe aan een zekere Michael Brown in Oslo, Noorwegen. Mogelijk dat ook dit domein ook slechts deel uitmaakt van het redirect netwerk, waarin onze klant is verzeild. Indien het domein browserglobalstat.com wordt ingetikt in browser, dan wordt een redirect (hoe verrassend) uitgevoerd naar de site botsvsbrowsers.com. Een enigszins gedateerde site die informatie over user-agents publiceert. Onderstaande afbeelding laat zien dat er blijkbaar ook Russische verbanden bestaan met het browserglobalstat.com domein.

browserglobalstat.com, een malware netwerk?

Op het moment dat uw site gemaskeerd wordt via een redirect, dan is het mogelijk om informatie aan de pagina toe te voegen, voordat deze naar de aanvrager wordt teruggezonden. Het is dus goed mogelijk dat uw site niet zelf rotzooi over het net verspreidt. Maar dit gebeurd wel met uw handtekening. De maskering zorgt er voor dat nog steeds de inhoud van uw pagina wordt verzonden, maar niet helemaal zoals u dat in gedachten had. Wat veelvuldig gebeurd is dat er dan schadelijk JavaScript code wordt meegestuurd, die informatie over uw systeem (uw laptop of PC) over het internet kunnen terugsturen, of zelfs versturen.

Goed verziekt

Door de slechte beveiliging van de site (zeker na het succesvol achterhalen van het wachtwoord) werd op alle PHP en HTML bestanden voor de </body> tag een <iframe> element toegevoegd. Hierin werd de site content vervangen door geheel andere content. De meest fatale wijziging (doch herstelbaar) was het .htaccess bestand.

inhoud corrupt htaccess bestand



Uw virusscanner up-to-date

Omdat er velen zijn die niet zorgvuldig omgaan met hun website, kan deze bedreiging ook van een andere site komen die u bezoekt. Dan moet u niet alleen denken aan sites met bedenkelijke inhoud. Mijn klant is ook een keurige firma met een goed aanzien. Het kan dus ook de site zijn van een firma waar u mogelijk zelf al jaren klant van bent.

Ook de virusscanner is alertHet is daarom van het grootste belang dat u ten alle tijde uw PC heeft voorzien van een goede virusscanner en malware bescherming, die ook telkens wordt bijgewerkt met de laatste bescherming. Het gaat niet zozeer om het merk virusscanner dat u beschermt, maar wel de laatste updates. Zorg voor goede bescherming, ook al komt de inhoud uit uw internet browser.

Zorg voor goede internet kennis

Na het afleveren van de website laten veel aanbieders en ontwikkelaars het nogal eens afweten. Met veel trots wordt overal in het systeem in de broncode de naam achter gelaten van hun bedrijf of contactpersoon, maar het contact is regelmatig verwaterd tussen klant en aanbieder. Soms lijkt het of zij zich meer zorgen maken op inbreuk op hun eigen copyrights dan om het welzijn van hun klant.

Onderhoud gaat verder na de laatste factuur

Zorg dat u altijd de beschikking heeft over internet kennis met betrekking tot uw website en internet toepassingen. Als u niet meer tevreden bent met uw aanbieder of ontwikkelaar, zorg voor een goede overdracht. Het beheren en onderhouden van een website eindigt niet met de laatste factuur van uw ontwikkelaar. Het valt mij op dat er regelmatig klepels ontbreken, daar waar de bel is horen luiden. Wees op uw hoede, zeker wanneer het een tijdje stil is.

Als u denkt dat uw site is gehackt of dat de laatste tijd het laden van de site wel erg lang duurt neem dan gerust contact met mij op.

Meer informatie over malware: Wikipedia
Link: gratis anti-virus software
Link: Vijf tips voor een sterk wachtwoord (bnr.nl)

Voor betaalde anti-virus software vraagt u uw eigen IT-dienstverlener om advies.

Johan van de Merwe

Johan van de Merwe is sinds 1985 werkzaam in de automatisering. In 2007 heeft hij Enovision GmbH opgestart, welke is gespecialiseerd in internet toepassingen, presentatie en coaching. Voor Websprinter is hij werkzaam als internet coach voor het MKB.

You may also like...

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *