NU.nl weer veilig te bezoeken

NU.nl heeft woensdag korte tijd last gehad van een virusaanval. Het probleem is onmiddellijk aangepakt en de site is inmiddels weer normaal en veilig te bezoeken.

Wat er is gebeurd: Een inlog tot het content management systeem (CMS) van NU.nl is woensdag in verkeerde handen gevallen waarna ergens  tussen 11.30u en 12.30u malware is verspreid via NU.nl.  Deze kwaadaardige software poogde bezoekers van NU.nl met een ‘trojan’ te besmetten.

Wat we hebben gedaan: Direct na de eerste melding hebben we maatregelen genomen. De aanpassingen aan ons systeem zijn onmiddellijk gecorrigeerd en het cms is afgeschermd. Alle accounts van beheerders en redactie zijn afgesloten en opnieuw uitgegeven. Alle ‘logs’ zijn veiliggesteld en worden nader geanalyseerd en alle content wordt bekeken op mogelijke aanwezigheid van afwijkende codes.

Wie of wat er achter zit: Wat we weten is dat de aanvallers gebruik maakten van servers in India waarop een ‘exploit-kit’ was geplaatst.

Wat doen we nu: De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht.

Wat we aanraden: Laat, als u NU.nl vanmorgen heeft bezocht, voor alle zekerheid uw virusscanner een extra scan uitvoeren.

About these ads

58 Reacties to “NU.nl weer veilig te bezoeken”

  1. Gerben Says:

    Misschien handig om ook even aan jullie bezoekers af te geven HOE ze kunnen zien OF ze geinfecteerd zijn en WAT ze er tegen kunnen doen. :)

    • Rick Says:

      Mee eens, prima uitleg hier maar hoe kunnen jullie bezoekers ervan af komen? Geef gewoon op nu.nl aan wat er gebeurt is. Merendeel zal niet eens weten dat het van nu.nl afkomstig is maar hebben nu wel malware draaien.

  2. Remco K Says:

    Is niet de eerste keer dat India en China een virtuele oorlog aan het voeren zijn tegen Europese landen.

  3. Lexxx Says:

    Helemaal eens met Gerben. Ik kreeg gisteren rond 12:00 een melding van mijn scanner dat er een aanval werd tegengehouden. Bij anderen misschien wel gelukt, maar wat dan…….

  4. van Deurzen Says:

    Jullie hebben geen last gehad van een virusaanval. Dat heet mooipraten. Jullie zijn simpelweg gehacked en durven dat niet toe te geven. Een virusaanval doet heel wat anders dan het via de nu.nl webservers verspreiden van malware!

  5. RS Says:

    Beter gooien jullie die prominent op je website in plaats van achteraf tussen het tech nieuws…

  6. Mark Says:

    Gerben: Ad-Aware installeren (ook als browser-plugin) en uitvoeren. Die herkent deze malware en maakt het zonder problemen onschadelijk

    • Gerben Says:

      Snap ik, ik hoef die uitleg ook niet, maar die andere 80.000 bezoekers in dat ene uur wellicht wel? Het gaat om het idee, niet zozeer voor mijzelf.

  7. Peter Says:

    Gratis anitmaleware scanner van microsoft even draaien:

    http://www.microsoft.com/security/scanner/en-us/default.aspx

  8. ferdinand de beus (@junkonwheels) Says:

    o vandaar daar dat @AlexanderNL het met een van nu.nl op twitter over virus scan hadden en alexander er een aanraden maar dan moet je je aanmelden voor producten waar je wel dik voor betaald.
    ik denk dat nerd alexander reclame maakt daar aan verdiend. wand hij raad je deze scanner aan als je denkt mede door nu.nl een virus te hebben.
    NU.NL IS GEWOON GEHACKT ALLEEN HEEFT NIET DE BALLEN HET TOE TE GEVEN TJA ZO DRA JE ZELF NIEUWS BENT ZOU IK OOK STIL ZWIJGEN.

    • RS Says:

      Housecall van Trend Micro is al jaren gratis en je hoeft je nergens voor aan te melden. Ik heb even bekeken wat je bedoelt, maar waarschijnlijk heb je verkeerd gekeken (of je kunt geen engels). Je krijgt duidelijk de optie: Continue to download housecall (gratis) OR Get Trend Micro Titanium. En voor die laatste moet je natuurlijk betalen en gegevens achterlaten Je kunt het Trend Micro niet kwalijk nemen dat ze dat erbij zetten. ‘Alexander’ maakt reclame voor een gratis product, dus echt verdienen eraan zal wel meevallen.

  9. vaste bezoeker Says:

    Erg vervelend allemaal, had Nu.nl altijd best heel hoog zitten en bezocht de site altijd erg vaak. Ik hoop dat jullie in de toekomst meer prioriteit geven aan security om dit in de toekomst te voorkomen.

    ALS BEST BEZOCHTE WEBSITE VAN HET LAND BEN JE EEN GEWILDE PROOI VOOR CYBERCRIMINELEN. DIT HAD NU.NL KUNNEN WETEN.

    Hoop dat nu.nl het voortaan beter doet qua security

  10. Ewald Says:

    Deze email heb ik om 12.37 uur aan NU.nl gestuurd.
    Ik heb hierop nog geen reactie ontvangen

    ——————————

    LS

    zojuist heb ik NU.nl bezocht en worden er via uw website twee .exe bestanden op mijn computer geplaatst. Mijn virusscanner slaat gelijk op tilt. Of uw site is gehackt of u plaatst iets op mijn computer dat niet is toegestaan.

    Datum/Tijd: 14-03-2012 12.14 uur
    Geplaatste bestanden: 0.868179434554336.exe
    24kkk729347.exe
    Locatie geplaatst: C:\Documents and settings\Local Settings\Temp

    De bestanden zijn geisoleerd en kan ik u toesturen indien nodig.
    Graag een reactie van u.

    Met vriendelijke groet,

  11. Jacqueline Tervoort Says:

    ik had dus wel een trojaanspaard en ben idd op nu.nl geweest vanmorgen en tuusen de middag…! :(( Gelukkig wel een goede virusscanner die m gelijk verwijderd heeft!

  12. nuweblog Says:

    @Ewald. We hebben je mail niet ontvangen (of over het hoofd gezien, excuus dan). Zou het zeer op prijs stellen wanneer je hem nogmaals mailt naar redactie@nu.nl

    Alvast hartelijk dank.

  13. Jaap Says:

    Heb Kaspersky als virusscanner, gaf keurig aan dat er een Trojan gevonden was. Kaspersky besloot meteen om gehele pc schoon te maken.
    Ik raad deze dus ook aan.

  14. Andre Says:

    Jammer dat je virusscanner niets gaat zien. Gebruik als extra middel een programma zoals HitmanPro (de ontdekker van de lek)

  15. Pieter Jansen Says:

    Tijd voor een firewall op content/applicatieniveau? Apache met Snort er tussen doet het prima, en er zijn goede commerciële appliances te koop. Daarnaast is het verstandig om periodiek je CMS-content te laten scannen door een virusscanner. Kleine ingreep, voorkomt een 2e keer!

  16. Remco Says:

    Het zou de redactie van nu.nl sieren, indien zij bekend maken welke trojans/virussen verspreid zijn. Uit de reacties begrijp ik dat een bijgewerkte virusscanner ze netjes detecteert, maar meer info zou welkom zijn.
    De info die Ewald geeft is de enige concrete informatie. Gelukkig heb ik op mijn Linux machine niets aangetroffen.

  17. Victor Says:

    @Peter. Bedankt! Ik heb op dit moment geen virusscanner en ben een aantal keer op die tijdstippen op nu.nl geweest, na het doen van die gratis scan van microsoft bleek dat er geen virussen aanwezig waren…. Best appart toch?

  18. Baantjer Says:

    Waarom staat dit nieuws niet op nu.nl zelf? Als het bij een ander is lees je het direct op nu.nl, maar nu is men het zelf en dan lees je er op nu.nl niets over! Via Tweakers.net kom ik hier, maar dit is nog geen front-page-news.
    Verder keurig ‘hoe dek ik mij in’ bericht zonder jezelf veel te verwijten. Goed bezig!

  19. JJzD Says:

    Mensen, geen paniek. Hoewel het balen is, toch mooi opgelost, hoewel dit misschien wel een headline op nu.nl waard is.
    1. Blijkbaar is er een wachtwoord gecompromiteerd. Dat is vervelend, maar onvoorkoombaar. Of de policies heel strak afstellen zodat iedereen ze ergens opschrijft of bewaart, of je loopt een langduriger risico, maar minder directe impact.
    2. Elke site is kwetsbaar, en als je geen virusscanner hebt draaien “omdat je alleen nu.nl bezoek” dan ben je beetje naief. Als je meer sites bezoekt zonder virusscanner, ben je heel erg naief. Daar kan je nu.nl als “brenger van slecht nieuws” niet de schuld van geven. Sterker zelfs, zeer waarschijnlijk ben jij een van de bronnen die deze zooi verspreidt.
    3. Ik ken de inhoud van de exploit niet, maar weet iemand of dit om ongepatchte lekken gaat, of zijn alleen mensen die achterlopen op hun patching geraakt? (Zie verder punt 2)
    4. Een firewall of Snort doet het niet voor 0-days (die je in zou zetten voor een dergelijke website) en mijn indruk is dat er banners van derden servers zijn gebruikt. Deze banners zouden om je website heen zijn gegaan en hadden niet geholpen.
    5. HitmanPro (of AdAware) zijn meer een morning-after pil dan dat je veilig hebt gevreeen. Volgende keer het dus maar veilig doen.

    Kortom: moving on, en ik hoor graag jullie nieuwe wachtwoorden ;)

  20. MarcoV Says:

    Ik lees er denk ik overheen, Iedereen praat over “de trojan” .
    Zou fijn zijn welke ..
    Zou ook fijn zijn om enige aandacht aan het tweede compunent de “Rootkit”.

  21. Remco Says:

    Even voor de mensen die niet verder kijken dan hun neus lang is ;-)

    http://www.security.nl/artikel/40727/1/NU.nl_besmet_bezoekers_met_malware.html

  22. doenormaalwantjedoetalgekgenoeg Says:

    Stop met janken meiden, het kan iedereen overkomen. De laatste paar maanden is hacken zowieso publiek ‘in’, en daar zijn veel meer bedrijven bij betrokken dan Nu.nl.

    KPN is gehackt, waarbij het zelfs mogelijk was internetverkeer te volgen en veranderen, daarbij vergelijken is het verkrijgen van een login van een CMS een peuleschil…

    Alles is te hacken, en dat zal de komende jaren nog wel zo blijven. Niet zo ‘oprecht’ verbaasd zijn en ontzettend jankerig en teleurstellend doen, gewoon even die virusscanner laten draaien (die je zowieso om de zoveel tijd zou moeten draaien maar wat je toch niet doet). Dat is het enige wat nu helpt. En natuurlijk up-to-date houden van je systeem en software.

    Nu.nl vraagt er toch ook niet om of een paar scritpkiddies een programmatje willen draaien om even dat wachtwoord te achterhalen… Om dan te zeggen dat ze ‘meer aandacht aan beveiliging moeten besteden en hun gebruikers’ is pure waanzin, gebaseerd op nonsens. Als dat het enige is wat je kan bedenken weet je er blijkbaar niks vanaf. Wees dan ook zo oprecht om je eerst eens in het onderwerp te verdiepen, en dan bedoel ik niet de info vanuit de media.

    Lesje geleerd! Nu weer lekker normaal doen.

  23. Nu.nl serveerde kortstondig malware | Tech-nieuws Says:

    [...] 16:10: Nu.nl meldt inmiddels dat een account voor het content management systeem woensdag ‘in verkeerde handen [...]

  24. MarcoV Says:

    Heb ondertussen Twee bevestigde melding van medewerkers.
    Dat gisteravond laat er op een tweetal machines problemen optraden met java plugin. Een met IE en een met Chrome.

  25. Jan Says:

    Iemand heeft een analyse geplaatst van de JavaScript injectie: http://sijmen.ruwhof.net/weblog/166-nu-nl-gehackt-malware-analyse

  26. Johan Klos (@JohanKlos) Says:

    Tijd voor een 2-step verification, lijkt mij, dan heb je niet gelijk meer een probleem als een wachtwoord geraden wordt.
    Zoiets wellicht?

    http://support.google.com/accounts/bin/answer.py?hl=en&answer=180744

    • Ikkedan Says:

      Doe toch normaal man, het moet allemaal wel werkbaar blijven…

      Misschien ook nog vingerafdruk scanner, een iris scanner, 6 dobermann’s rond de server en een zwaar bewapende beveiliger.

      Het is een nieuws-site !! Niet de lanceercodes van een kernwapen arsenaal

      Alles is te hacken, hoe dan ook…

  27. Reneetje Says:

    Ben ik effe blij met mijn Linux.

  28. Bert Says:

    Ik heb de pc laten scannen op virussen, mal ware enz. Er werd niets aangetroffen. En hij draait normaal. Maar het wordt wel vervelend wanneer nieuwssites zelfs aangevallen worden. Een goede virusscanner draait toch altijd op de achtergrond mee? Moet je trouwens ook uitkijken met plug -in’s en java scripts die volgens Mozilla noodzakelijk zouden zijn? Je kunt een soort controle op die dingen doen en dan zijn er altijd wel een paar die ‘noodzakelijk’ zouden zijn.

    • Kees Says:

      Virusscanners zoals M$ Security Essentials draaien altijd mee op de achtergrond.

      Noodzakelijke plugins worden gecontroleerd, en kunnen hoogstens d.m.v. een script buitenaf worden geëxploiteerd.

  29. Michael Says:

    @nuweblog: Heb eea meegekregen van reacties op meerdere fora, en er is iets vreemds aan de hand.

    Sowieso Atheïste liet weten dat ze een melding kreeg van het virus Jpigframe.A. Dit is een trojan die andere ‘bad code’ uitvoert of toegang geeft tot een pagina aan andere ‘bad code’.
    Sjakie2 laat weten dat hij de melding kreeg van TrojanDownloader.Win32/Dofoil. Dit is een virus dat zich via de mail verspreid en zou dus niet in jullie server moeten zitten tenzij via een aangesloten PC het virus binnen is gekomen. Dit virus vormt ook weer als portaal voor de binnenkomst van andere virussen.
    Kunnen jullie aub een bijzonder grondige scan van jullie server doen en zsm het bericht naar de top verplaatsen zodat ook mensen die normaal gesproken niet bij Tech kijken er ook van af weten?

    • Kees Says:

      Ik denk dat die scan al voor het plaatsen van het bericht is gebeurd, en denk jij niet dat zoiets als dit eerst naar de top wordt doorgespeeld voordat het wordt uitgelekt?

      Het is normaal helemaal niks te zeggen over een hack, dus de berichtgeving op Nu.nl zelf laat al zien dat iedereen ervan af weet, en het dus ook publiekelijk maakt.

      Elke trojan is zo’n beetje hetzelfde: het verzamelt informatie op je computer en stuurt dat door naar de hacker. Een trojan is een programma, het maakt niet uit hoe het op je computer komt, draaien doet ie toch wel. Het is dus onmogelijk om te zeggen dat een bepaalde trojan zich alleen door email verspreid en dus niet vanaf Nu.nl af kan komen. Zodra er een code wordt uitgevoerd die een trojan op je PC kan installeren, kan de hacker zelf kiezen wat hij erop zet.

  30. Michael Says:

    Aanvulling: bij de meeste mensen is er echter melding van het W32/Sinowal virus, wat keyloggers en rootkits installeert.
    Dit lijkt me toch een ernstiger probleem die 3 virussen samen dan ‘slechts’ het verliezen van een account, aangezien ik niet zie waarom een hacker een mail-gebaseerd virus op jullie server zou plaatsen terwijl met Sinowal toch al keyloggers en rootkits meekomen die toch al de toetsaanslagen voor oa wachtwoorden en mailadressen registeren.

  31. Michael Says:

    *Jpigframe.A moet Jpgiframe.A zijn, foutje

  32. Gijs Says:

    Zijn er ook gevolgen voor de mobiele gebruikers van de applicatie?

    • Kees Says:

      De trojan is gericht op PC gebruikers, mobiele gebruikers hebben een minimale kans op gevolgen.

      Zowieso weer even een anti-virus app downloaden en even scannen!

  33. Gehackt NU.nl verspreidt schadelijk programma | Nieuws24.com Says:

    [...] de hackers is bekend dat ze aanvallers gebruik maakten van servers in India, meldt NU.nl. Ze zouden op die servers een zogeheten ‘exploit-kit’ hebben geplaatst, waardoor het [...]

  34. Gehackt NU.nl verspreidt schadelijk programmaNieuws Boulevard Says:

    [...] de hackers is bekend dat ze aanvallers gebruik maakten van servers in India, meldt NU.nl. Ze zouden op die servers een zogeheten ‘exploit-kit’ hebben geplaatst, waardoor het [...]

  35. Korte tijd malware verspreid via NU.nl | NuNieuws.eu Says:

    [...] probeerde bezoekers van NU.nl te besmetten met een trojan. Direct na de eerste melding zijn maatregelen genomen, zijn de aanpassingen gecorrigeerd en is het CMS [...]

  36. anoniem Says:

    misschien een domme vraag, maar wat als je een mac hebt?

  37. Sijmen Ruwhof Says:

    Naar aanleiding van de hack op nu.nl heb ik een infectietest ontwikkeld, zodat je kan controleren of je door nu.nl een virus gekregen hebt.

    Laat je computer nu testen door op het onderstaande adres te klikken:

    http://sijmen.ruwhof.net/js/nu.nl-infectietest/

  38. Nu.nl serveerde kortstondig malware | Techcube Says:

    [...] 16:10: Nu.nl meldt inmiddels dat een account voor het content management systeem woensdag ‘in verkeerde handen [...]

  39. Marco Says:

    Ik vind de (re)actie van NU.nl toch wel redelijk traag. Ik heb dinsdag om 13:29 al een mail aan de redactie gezonden waarin ik aangaf dat er mogelijk malware verspreid wordt via NU.nl.
    Via allerlei scripts werd geprobeer rare dingen op mijn PC te doen en te downloaden.
    Geen enkele reactie gekregen…

  40. Baantjer Says:

    Ik kom tot de ontdekking dat er censuur wordt gepleegd op de reacties hier, want een aantal opmerkingen van mij zijn niet geplaatst. Ik reageerde in deze reacties alleen op een aantal mensen die het na 16:30 opnamen voor de redactie omdat er wel degelijk een nieuwsitem op nu.nl stond. Maar als je dat pas om 16:18 doet, dan is dat gewoon te laat! Andere media kwam er vele malen sneller mee.

  41. Update: malware verspreid via NU.nl « NUblog Says:

    [...] de stand van zaken: Over de oorzaak van de virusaanval kunnen we nog niet heel veel meer vertellen dan gisteren. Er wordt nog steeds met man en macht gewerkt aan een manier om een nieuwe aanval te voorkomen. [...]

  42. Virusaanval op NU.nl! | voorzieners Says:

    [...] probeerde bezoekers van NU.nl te besmetten met een trojan. Direct na de eerste melding zijn maatregelen genomen, zijn de aanpassingen gecorrigeerd en is het CMS afgeschermd. [...]

  43. NewsfinderII Says:

    Ook opvallend dat de gehele berichtgeving omtrent dit punt NU al niet meer terug te vinden is op nu.nl
    Kom op jongens, openheid en eerlijkheid is geboden in deze! Diginotar is een goed voorbeeld voor jullie hoe het niet moet, jullie kunnen beter!

  44. NewsfinderII Says:

    Overigens klopt de klok hier niet met de werkelijkheid, zit een uur verschil tussen… (virusje?)

  45. viv Says:

    Als ik op mijn telefoon nu.nl heb geopend, dus niet de app, maar de site. Kan mijn mobiel dan geïnfecteerd zijn?

  46. http://Burgerlounge.com/ Says:

    Hello, I just dropped by to learn about this website. It appears
    really cool and I liked reading it, thanks for the helpful writing!

Reageer

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s


Volg

Ontvang elk nieuw bericht direct in je inbox.