NU.nl heeft woensdag korte tijd last gehad van een virusaanval. Het probleem is onmiddellijk aangepakt en de site is inmiddels weer normaal en veilig te bezoeken.
Wat er is gebeurd: Een inlog tot het content management systeem (CMS) van NU.nl is woensdag in verkeerde handen gevallen waarna ergens tussen 11.30u en 12.30u malware is verspreid via NU.nl. Deze kwaadaardige software poogde bezoekers van NU.nl met een ‘trojan’ te besmetten.
Wat we hebben gedaan: Direct na de eerste melding hebben we maatregelen genomen. De aanpassingen aan ons systeem zijn onmiddellijk gecorrigeerd en het cms is afgeschermd. Alle accounts van beheerders en redactie zijn afgesloten en opnieuw uitgegeven. Alle ‘logs’ zijn veiliggesteld en worden nader geanalyseerd en alle content wordt bekeken op mogelijke aanwezigheid van afwijkende codes.
Wie of wat er achter zit: Wat we weten is dat de aanvallers gebruik maakten van servers in India waarop een ‘exploit-kit’ was geplaatst.
Wat doen we nu: De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht.
Wat we aanraden: Laat, als u NU.nl vanmorgen heeft bezocht, voor alle zekerheid uw virusscanner een extra scan uitvoeren.
NUblog 
14 maart 2012 om 15:12 |
Misschien handig om ook even aan jullie bezoekers af te geven HOE ze kunnen zien OF ze geinfecteerd zijn en WAT ze er tegen kunnen doen. :)
14 maart 2012 om 15:26 |
Mee eens, prima uitleg hier maar hoe kunnen jullie bezoekers ervan af komen? Geef gewoon op nu.nl aan wat er gebeurt is. Merendeel zal niet eens weten dat het van nu.nl afkomstig is maar hebben nu wel malware draaien.
14 maart 2012 om 15:13 |
Is niet de eerste keer dat India en China een virtuele oorlog aan het voeren zijn tegen Europese landen.
14 maart 2012 om 15:20 |
@Remco: Betekent niet direct dat India en China hier achter zitten…
14 maart 2012 om 15:19 |
Helemaal eens met Gerben. Ik kreeg gisteren rond 12:00 een melding van mijn scanner dat er een aanval werd tegengehouden. Bij anderen misschien wel gelukt, maar wat dan…….
14 maart 2012 om 15:21 |
Jullie hebben geen last gehad van een virusaanval. Dat heet mooipraten. Jullie zijn simpelweg gehacked en durven dat niet toe te geven. Een virusaanval doet heel wat anders dan het via de nu.nl webservers verspreiden van malware!
14 maart 2012 om 15:23 |
Beter gooien jullie die prominent op je website in plaats van achteraf tussen het tech nieuws…
14 maart 2012 om 15:25 |
Gerben: Ad-Aware installeren (ook als browser-plugin) en uitvoeren. Die herkent deze malware en maakt het zonder problemen onschadelijk
14 maart 2012 om 16:42 |
Snap ik, ik hoef die uitleg ook niet, maar die andere 80.000 bezoekers in dat ene uur wellicht wel? Het gaat om het idee, niet zozeer voor mijzelf.
14 maart 2012 om 15:31 |
Gratis anitmaleware scanner van microsoft even draaien:
http://www.microsoft.com/security/scanner/en-us/default.aspx
14 maart 2012 om 15:37 |
o vandaar daar dat @AlexanderNL het met een van nu.nl op twitter over virus scan hadden en alexander er een aanraden maar dan moet je je aanmelden voor producten waar je wel dik voor betaald.
ik denk dat nerd alexander reclame maakt daar aan verdiend. wand hij raad je deze scanner aan als je denkt mede door nu.nl een virus te hebben.
NU.NL IS GEWOON GEHACKT ALLEEN HEEFT NIET DE BALLEN HET TOE TE GEVEN TJA ZO DRA JE ZELF NIEUWS BENT ZOU IK OOK STIL ZWIJGEN.
14 maart 2012 om 15:54 |
Housecall van Trend Micro is al jaren gratis en je hoeft je nergens voor aan te melden. Ik heb even bekeken wat je bedoelt, maar waarschijnlijk heb je verkeerd gekeken (of je kunt geen engels). Je krijgt duidelijk de optie: Continue to download housecall (gratis) OR Get Trend Micro Titanium. En voor die laatste moet je natuurlijk betalen en gegevens achterlaten Je kunt het Trend Micro niet kwalijk nemen dat ze dat erbij zetten. ‘Alexander’ maakt reclame voor een gratis product, dus echt verdienen eraan zal wel meevallen.
14 maart 2012 om 16:00 |
Erg vervelend allemaal, had Nu.nl altijd best heel hoog zitten en bezocht de site altijd erg vaak. Ik hoop dat jullie in de toekomst meer prioriteit geven aan security om dit in de toekomst te voorkomen.
ALS BEST BEZOCHTE WEBSITE VAN HET LAND BEN JE EEN GEWILDE PROOI VOOR CYBERCRIMINELEN. DIT HAD NU.NL KUNNEN WETEN.
Hoop dat nu.nl het voortaan beter doet qua security
14 maart 2012 om 16:02 |
Deze email heb ik om 12.37 uur aan NU.nl gestuurd.
Ik heb hierop nog geen reactie ontvangen
——————————
LS
zojuist heb ik NU.nl bezocht en worden er via uw website twee .exe bestanden op mijn computer geplaatst. Mijn virusscanner slaat gelijk op tilt. Of uw site is gehackt of u plaatst iets op mijn computer dat niet is toegestaan.
Datum/Tijd: 14-03-2012 12.14 uur
Geplaatste bestanden: 0.868179434554336.exe
24kkk729347.exe
Locatie geplaatst: C:\Documents and settings\Local Settings\Temp
De bestanden zijn geisoleerd en kan ik u toesturen indien nodig.
Graag een reactie van u.
Met vriendelijke groet,
14 maart 2012 om 16:04 |
ik had dus wel een trojaanspaard en ben idd op nu.nl geweest vanmorgen en tuusen de middag…! :(( Gelukkig wel een goede virusscanner die m gelijk verwijderd heeft!
14 maart 2012 om 16:06 |
@Ewald. We hebben je mail niet ontvangen (of over het hoofd gezien, excuus dan). Zou het zeer op prijs stellen wanneer je hem nogmaals mailt naar redactie@nu.nl
Alvast hartelijk dank.
14 maart 2012 om 16:15 |
@nuweblog
De mail is, ivm cookiemeldingen etc, gestuurd aan privacy@sanomamedia.nl en niet aan de redactie. Bedankt voor de reactie. Ik stuur hem door naar jullie.
14 maart 2012 om 16:08 |
Heb Kaspersky als virusscanner, gaf keurig aan dat er een Trojan gevonden was. Kaspersky besloot meteen om gehele pc schoon te maken.
Ik raad deze dus ook aan.
14 maart 2012 om 16:14 |
Jammer dat je virusscanner niets gaat zien. Gebruik als extra middel een programma zoals HitmanPro (de ontdekker van de lek)
14 maart 2012 om 16:14 |
Tijd voor een firewall op content/applicatieniveau? Apache met Snort er tussen doet het prima, en er zijn goede commerciële appliances te koop. Daarnaast is het verstandig om periodiek je CMS-content te laten scannen door een virusscanner. Kleine ingreep, voorkomt een 2e keer!
14 maart 2012 om 16:22 |
Het zou de redactie van nu.nl sieren, indien zij bekend maken welke trojans/virussen verspreid zijn. Uit de reacties begrijp ik dat een bijgewerkte virusscanner ze netjes detecteert, maar meer info zou welkom zijn.
De info die Ewald geeft is de enige concrete informatie. Gelukkig heb ik op mijn Linux machine niets aangetroffen.
14 maart 2012 om 16:22 |
@Peter. Bedankt! Ik heb op dit moment geen virusscanner en ben een aantal keer op die tijdstippen op nu.nl geweest, na het doen van die gratis scan van microsoft bleek dat er geen virussen aanwezig waren…. Best appart toch?
14 maart 2012 om 16:28 |
Waarom staat dit nieuws niet op nu.nl zelf? Als het bij een ander is lees je het direct op nu.nl, maar nu is men het zelf en dan lees je er op nu.nl niets over! Via Tweakers.net kom ik hier, maar dit is nog geen front-page-news.
Verder keurig ‘hoe dek ik mij in’ bericht zonder jezelf veel te verwijten. Goed bezig!
14 maart 2012 om 16:30 |
Mensen, geen paniek. Hoewel het balen is, toch mooi opgelost, hoewel dit misschien wel een headline op nu.nl waard is.
1. Blijkbaar is er een wachtwoord gecompromiteerd. Dat is vervelend, maar onvoorkoombaar. Of de policies heel strak afstellen zodat iedereen ze ergens opschrijft of bewaart, of je loopt een langduriger risico, maar minder directe impact.
2. Elke site is kwetsbaar, en als je geen virusscanner hebt draaien “omdat je alleen nu.nl bezoek” dan ben je beetje naief. Als je meer sites bezoekt zonder virusscanner, ben je heel erg naief. Daar kan je nu.nl als “brenger van slecht nieuws” niet de schuld van geven. Sterker zelfs, zeer waarschijnlijk ben jij een van de bronnen die deze zooi verspreidt.
3. Ik ken de inhoud van de exploit niet, maar weet iemand of dit om ongepatchte lekken gaat, of zijn alleen mensen die achterlopen op hun patching geraakt? (Zie verder punt 2)
4. Een firewall of Snort doet het niet voor 0-days (die je in zou zetten voor een dergelijke website) en mijn indruk is dat er banners van derden servers zijn gebruikt. Deze banners zouden om je website heen zijn gegaan en hadden niet geholpen.
5. HitmanPro (of AdAware) zijn meer een morning-after pil dan dat je veilig hebt gevreeen. Volgende keer het dus maar veilig doen.
Kortom: moving on, en ik hoor graag jullie nieuwe wachtwoorden ;)
14 maart 2012 om 16:31 |
Ik lees er denk ik overheen, Iedereen praat over “de trojan” .
Zou fijn zijn welke ..
Zou ook fijn zijn om enige aandacht aan het tweede compunent de “Rootkit”.
14 maart 2012 om 16:38 |
Even voor de mensen die niet verder kijken dan hun neus lang is ;-)
http://www.security.nl/artikel/40727/1/NU.nl_besmet_bezoekers_met_malware.html
14 maart 2012 om 16:39 |
Stop met janken meiden, het kan iedereen overkomen. De laatste paar maanden is hacken zowieso publiek ‘in’, en daar zijn veel meer bedrijven bij betrokken dan Nu.nl.
KPN is gehackt, waarbij het zelfs mogelijk was internetverkeer te volgen en veranderen, daarbij vergelijken is het verkrijgen van een login van een CMS een peuleschil…
Alles is te hacken, en dat zal de komende jaren nog wel zo blijven. Niet zo ‘oprecht’ verbaasd zijn en ontzettend jankerig en teleurstellend doen, gewoon even die virusscanner laten draaien (die je zowieso om de zoveel tijd zou moeten draaien maar wat je toch niet doet). Dat is het enige wat nu helpt. En natuurlijk up-to-date houden van je systeem en software.
Nu.nl vraagt er toch ook niet om of een paar scritpkiddies een programmatje willen draaien om even dat wachtwoord te achterhalen… Om dan te zeggen dat ze ‘meer aandacht aan beveiliging moeten besteden en hun gebruikers’ is pure waanzin, gebaseerd op nonsens. Als dat het enige is wat je kan bedenken weet je er blijkbaar niks vanaf. Wees dan ook zo oprecht om je eerst eens in het onderwerp te verdiepen, en dan bedoel ik niet de info vanuit de media.
Lesje geleerd! Nu weer lekker normaal doen.
14 maart 2012 om 16:40 |
[…] 16:10: Nu.nl meldt inmiddels dat een account voor het content management systeem woensdag ‘in verkeerde handen […]
14 maart 2012 om 16:47 |
Heb ondertussen Twee bevestigde melding van medewerkers.
Dat gisteravond laat er op een tweetal machines problemen optraden met java plugin. Een met IE en een met Chrome.
14 maart 2012 om 17:20 |
Iemand heeft een analyse geplaatst van de JavaScript injectie: http://sijmen.ruwhof.net/weblog/166-nu-nl-gehackt-malware-analyse
14 maart 2012 om 17:42 |
Iemand? Je bedoeld jezelf en plugged zo je blog. Prima, maar zeg het dan gewoon eerlijk ‘Jan’.
14 maart 2012 om 17:38 |
Tijd voor een 2-step verification, lijkt mij, dan heb je niet gelijk meer een probleem als een wachtwoord geraden wordt.
Zoiets wellicht?
http://support.google.com/accounts/bin/answer.py?hl=en&answer=180744
14 maart 2012 om 18:02 |
Doe toch normaal man, het moet allemaal wel werkbaar blijven…
Misschien ook nog vingerafdruk scanner, een iris scanner, 6 dobermann’s rond de server en een zwaar bewapende beveiliger.
Het is een nieuws-site !! Niet de lanceercodes van een kernwapen arsenaal
Alles is te hacken, hoe dan ook…
14 maart 2012 om 17:57 |
Ben ik effe blij met mijn Linux.
14 maart 2012 om 20:49 |
http://en.wikipedia.org/wiki/Linux_malware
14 maart 2012 om 18:20 |
Ik heb de pc laten scannen op virussen, mal ware enz. Er werd niets aangetroffen. En hij draait normaal. Maar het wordt wel vervelend wanneer nieuwssites zelfs aangevallen worden. Een goede virusscanner draait toch altijd op de achtergrond mee? Moet je trouwens ook uitkijken met plug -in’s en java scripts die volgens Mozilla noodzakelijk zouden zijn? Je kunt een soort controle op die dingen doen en dan zijn er altijd wel een paar die ‘noodzakelijk’ zouden zijn.
14 maart 2012 om 20:42 |
Virusscanners zoals M$ Security Essentials draaien altijd mee op de achtergrond.
Noodzakelijke plugins worden gecontroleerd, en kunnen hoogstens d.m.v. een script buitenaf worden geëxploiteerd.
14 maart 2012 om 18:39 |
@nuweblog: Heb eea meegekregen van reacties op meerdere fora, en er is iets vreemds aan de hand.
Sowieso Atheïste liet weten dat ze een melding kreeg van het virus Jpigframe.A. Dit is een trojan die andere ‘bad code’ uitvoert of toegang geeft tot een pagina aan andere ‘bad code’.
Sjakie2 laat weten dat hij de melding kreeg van TrojanDownloader.Win32/Dofoil. Dit is een virus dat zich via de mail verspreid en zou dus niet in jullie server moeten zitten tenzij via een aangesloten PC het virus binnen is gekomen. Dit virus vormt ook weer als portaal voor de binnenkomst van andere virussen.
Kunnen jullie aub een bijzonder grondige scan van jullie server doen en zsm het bericht naar de top verplaatsen zodat ook mensen die normaal gesproken niet bij Tech kijken er ook van af weten?
14 maart 2012 om 20:48 |
Ik denk dat die scan al voor het plaatsen van het bericht is gebeurd, en denk jij niet dat zoiets als dit eerst naar de top wordt doorgespeeld voordat het wordt uitgelekt?
Het is normaal helemaal niks te zeggen over een hack, dus de berichtgeving op Nu.nl zelf laat al zien dat iedereen ervan af weet, en het dus ook publiekelijk maakt.
Elke trojan is zo’n beetje hetzelfde: het verzamelt informatie op je computer en stuurt dat door naar de hacker. Een trojan is een programma, het maakt niet uit hoe het op je computer komt, draaien doet ie toch wel. Het is dus onmogelijk om te zeggen dat een bepaalde trojan zich alleen door email verspreid en dus niet vanaf Nu.nl af kan komen. Zodra er een code wordt uitgevoerd die een trojan op je PC kan installeren, kan de hacker zelf kiezen wat hij erop zet.
14 maart 2012 om 18:42 |
Aanvulling: bij de meeste mensen is er echter melding van het W32/Sinowal virus, wat keyloggers en rootkits installeert.
Dit lijkt me toch een ernstiger probleem die 3 virussen samen dan ‘slechts’ het verliezen van een account, aangezien ik niet zie waarom een hacker een mail-gebaseerd virus op jullie server zou plaatsen terwijl met Sinowal toch al keyloggers en rootkits meekomen die toch al de toetsaanslagen voor oa wachtwoorden en mailadressen registeren.
14 maart 2012 om 18:51 |
*Jpigframe.A moet Jpgiframe.A zijn, foutje
14 maart 2012 om 18:58 |
Zijn er ook gevolgen voor de mobiele gebruikers van de applicatie?
14 maart 2012 om 20:40 |
De trojan is gericht op PC gebruikers, mobiele gebruikers hebben een minimale kans op gevolgen.
Zowieso weer even een anti-virus app downloaden en even scannen!
14 maart 2012 om 20:10 |
[…] de hackers is bekend dat ze aanvallers gebruik maakten van servers in India, meldt NU.nl. Ze zouden op die servers een zogeheten ‘exploit-kit’ hebben geplaatst, waardoor het […]
14 maart 2012 om 20:33 |
[…] de hackers is bekend dat ze aanvallers gebruik maakten van servers in India, meldt NU.nl. Ze zouden op die servers een zogeheten ‘exploit-kit’ hebben geplaatst, waardoor het […]
14 maart 2012 om 20:40 |
[…] probeerde bezoekers van NU.nl te besmetten met een trojan. Direct na de eerste melding zijn maatregelen genomen, zijn de aanpassingen gecorrigeerd en is het CMS […]
14 maart 2012 om 21:12 |
misschien een domme vraag, maar wat als je een mac hebt?
15 maart 2012 om 12:53 |
Ook met een MAC kun je een virusscanner laten draaien. Je hebt gratis software zoals AVAST! antivirus, maar ook betaalde software zoals NOD32 Antivirus, Norton en McAfee.
15 maart 2012 om 00:01 |
Naar aanleiding van de hack op nu.nl heb ik een infectietest ontwikkeld, zodat je kan controleren of je door nu.nl een virus gekregen hebt.
Laat je computer nu testen door op het onderstaande adres te klikken:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
15 maart 2012 om 04:30 |
[…] 16:10: Nu.nl meldt inmiddels dat een account voor het content management systeem woensdag ‘in verkeerde handen […]
15 maart 2012 om 10:05 |
Ik vind de (re)actie van NU.nl toch wel redelijk traag. Ik heb dinsdag om 13:29 al een mail aan de redactie gezonden waarin ik aangaf dat er mogelijk malware verspreid wordt via NU.nl.
Via allerlei scripts werd geprobeer rare dingen op mijn PC te doen en te downloaden.
Geen enkele reactie gekregen…
15 maart 2012 om 13:09 |
Ik kom tot de ontdekking dat er censuur wordt gepleegd op de reacties hier, want een aantal opmerkingen van mij zijn niet geplaatst. Ik reageerde in deze reacties alleen op een aantal mensen die het na 16:30 opnamen voor de redactie omdat er wel degelijk een nieuwsitem op nu.nl stond. Maar als je dat pas om 16:18 doet, dan is dat gewoon te laat! Andere media kwam er vele malen sneller mee.
15 maart 2012 om 13:11 |
[…] de stand van zaken: Over de oorzaak van de virusaanval kunnen we nog niet heel veel meer vertellen dan gisteren. Er wordt nog steeds met man en macht gewerkt aan een manier om een nieuwe aanval te voorkomen. […]
15 maart 2012 om 14:38 |
[…] probeerde bezoekers van NU.nl te besmetten met een trojan. Direct na de eerste melding zijn maatregelen genomen, zijn de aanpassingen gecorrigeerd en is het CMS afgeschermd. […]
16 maart 2012 om 04:47 |
Ook opvallend dat de gehele berichtgeving omtrent dit punt NU al niet meer terug te vinden is op nu.nl
Kom op jongens, openheid en eerlijkheid is geboden in deze! Diginotar is een goed voorbeeld voor jullie hoe het niet moet, jullie kunnen beter!
16 maart 2012 om 05:04 |
Overigens klopt de klok hier niet met de werkelijkheid, zit een uur verschil tussen… (virusje?)
16 maart 2012 om 09:24 |
Als ik op mijn telefoon nu.nl heb geopend, dus niet de app, maar de site. Kan mijn mobiel dan geïnfecteerd zijn?
24 februari 2013 om 20:21 |
Hello, I just dropped by to learn about this website. It appears
really cool and I liked reading it, thanks for the helpful writing!
16 januari 2015 om 15:45 |
[…] nieuwssite NU.nl is in het verleden al wel een keer getroffen door een cyberaanval. Volgens redacteur Wilma Haan is de site mede daardoor al behoorlijk goed beveiligd. “Er zijn […]
3 februari 2017 om 00:15 |
[…] is gehackt, zo schrijft hun weblog vandaag, waarbij mogelijk 100.000 computers zijn besmet met kwaadaardige code. Ik was benieuwd naar […]
27 februari 2021 om 17:46 |
elle
NU.nl weer veilig te bezoeken | NUblog