Ehhb.nl is verhuisd en gehackt

[Administrator]

Sta in dubio of de kopregel "Ehhb.nl is verhuisd en gehackt" of "Ehhb.nl is gehackt en verhuisd" moet zijn.
Ga voor de eerste optie omdat dit chronologisch beter uit te leggen is.

Verhuisd
Waarom een website verhuizen als het voornemen is het aflopende contract op 6 april 2026 niet te verlengen?
Nou, realiseerde mij dat ik naast dit contract in 2025 een contract afgesloten heb bij een andere host provider die gebruikt wordt als back-up van deze website. Kwam hiertoe omdat ehhb.nl bij Mangelot Hosting enige keren (onaangekondigd) onbereikbaar was, lees Ehhb.nl even onbereikbaar.
Na de eerste storing op internet gezocht naar een acceptabel alternatief. Tien hosting providers gewogen en Site.nl kwam hierbij als beste uit de bus.¹
¹ De tien onderzochte hosting providers: Junda, Mijn.host, Strato, Cloud86, Site.nl, Hostinger, TransIP, Yourhosting, SiteGround en Hosting.nl.

Op 10 juli 2025 weer een (onaangekondigde) storing. Tijd om in actie te komen en als voorzorgsmaatregel een contract afgesloten bij Site.nl.
Sinds die dag draait daar een back-up van ehhb.nl.

Eigenlijk is het de bedoeling om op 6 april 2026, als het Mangelot Hosting contract afloopt, ehhb.nl te sluiten en op 10 juli 2026 de back-up website.
Tot ik mij realiseerde dat het nutteloos is een back-up website te onderhouden als de bron verdwenen is.
Wacht, als ik de website verhuis naar het alternatief wordt de einddatum verlegd naar 10 juli. Zo gezegd, zo gedaan.

Perikelen
Voor alle duidelijkheid, de ervaringen met Site.nl waren zeer goed.
Contract afgesloten, je krijgt schijfruimte en een uniek IP-adres waarmee je aan de gang kunt.
phpBB geïnstalleerd, back-up gemaakt van de ehhb.nl website en hier opgeslagen. Draait als een zonnetje.

Tot ik op 6 januari 2026 daadwerkelijk de migratie in gang zette.
Toegegeven, een deel van de problemen komen op mijn conto. Neem hiervoor verantwoordelijkheid. Maar mainframe, DOS- en Windows kennis is blijkbaar onvoldoende om een website te migreren.
In mijn voordeel pleit dat ik privé een Windows server heb draaien met diverse (tijdsmomenten) ehhb.nl websites. Vlekkeloos.



Zie je het verschil? Het enige onderscheid is de adresbalk waar localhost/ehhb... staat.

Voortgang:

• Het eerste misverstand ontstaat bij het overzetten van de domeinnaam ehhb.nl van Mangelot Hosting naar Site.nl.
  Van alle mogelijkheden kies ik voor directe betaling van Rabobank naar ING. Vond dit de makkelijkste manier. Zag wel 3 dagen verwerkingstijd staan, maar dat was in het verleden. Een betalingsopdracht gebeurt tegenwoordig binnen één seconde.
  Hier ontstond het misverstand: Geef door dat ik betaald heb en zag al mensen rennen om de wijziging door te voeren.
  De praktijk is dat Site.nl 3 dagen wacht voordat ze beginnen...
• De tweede misser komt op mijn conto.
  Een back-up kun je op elk willekeurig moment maken. Maar bij een back-up met de intentie een website te verplaatsen moet je wel zorgen dat er vervolgens geen wijzigingen meer kunnen plaatsvinden. Omdat dit forum wel lezers heeft, maar zelden iets geplaatst wordt, besloot ik het forum open te laten...
  Prompt meldden zich, na het maken van de back-up, twee nieuwe forumgebruikers aan.
• Vervolgens bega ik een blunder. (Van misverstand naar misser en vervolgens blunder − Murphy's Law?)
  Na het plaatsen van de back-up op de nieuwe server bedacht ik dat er nu op twee websites de extensie Anti-Spam² draait terwijl ik een licentie heb voor één server. Wat te doen? Omdat ik niet weet hoe je de 'oude' website kunt benaderen als de domeinnaam gewijzigd is, besloot ik Anti-Spam op de actieve server uit te schakelen. Onwetend van het feit dat die dag al twee hackpogingen gepleegd zijn:
   
  ² Lees CleanTalk* — Cloud Services for Websites
• Hoe nu verder?
  Vanaf dit moment is veel onduidelijk − en van de voortgang heb ik weinig aantekeningen gemaakt.
  Eerst stuurt de SIDN (Stichting Internet Domeinregistratie Nederland) drie e-mails. Denk dat ik enige tijd nodig heb om ze te begrijpen:
  1. Je krijgt deze mail omdat je de administratieve contactpersoon bent van een domeinnaam.
  2. Je bent houder geweest van een domeinnaam.
  3. Je krijgt deze mail omdat je de administratieve contactpersoon bent van een domeinnaam.
  Tegelijk zendt Site.nl een e-mail:
  "Bedankt voor het aanvragen van de verhuizing van ehhb.nl bij ons. Wij hebben de verhuizing succesvol opgestart."
  
  Blijf de oude website zien, blijf de oude website zien, blijf... blijft niets meer over.
  
  Je wilt eigenlijk dat de domeinnaam naar de plek wijst waar de back-up geplaatst is. Blijkbaar niet.
  Mail naar Site.nl gestuurd en zelf aan het experimenteren geslagen. De map ehhb.nl aangemaakt en de back-up ook hier geplaatst.
  Op een gegeven moment is de nieuwe website zichtbaar, maar de verbinding is onveilig (http i.p.v. https).
  Omdat het al laat is forum gesloten (ja, ik kan het wel) en van mijn nachtrust gaan genieten.
  Fris in de morgen (het maakt echt verschil) vind ik de benodigde informatie: SSL activeren voor je website met DirectAdmin webhosting.

Welkom op het vertrouwde forum, maar op een nieuwe plaats.

Gehackt
Hierboven al aangegeven dat ik de Anti-Spam extensie uitschakelde waardoor de eerste de beste hacker de website onklaar maakte.
Vervolgens CleanTalk gevraagd wat hun policy is. (Ja, de volgende keer doe ik het andersom.)

We do not have any restrictions related to transferring your website to another host. In this case, it is only advisable to reinstall the plugin to avoid any errors in its operation.
You can use one access key on two websites. Your logs will contain requests from both. However, all entries will display the website name specified in your CleanTalk dashboard.

Opmerkelijk: Toen ik de tekst naar het klembord kopieerde zag ik toevallig dat deze hagelnieuwe website al aangevallen wordt door een Russische hacker:
 

Advies: Nooit een phpBB website online plaatsen zonder een Anti-Spam extensie.

Heb geen idee wat een hacker uitricht waardoor je forum nutteloos wordt. Zal het waarschijnlijk nooit te weten komen.
Omdat ik net voor de hack een back-up gemaakt heb, nogmaals een back-up gemaakt en vergeleken door middel van mijn favoriete programma Beyond Compare. Geen verschil te ontdekken. Sterker nog, deze laatste back-up is gebruikt om deze website op te tuigen.
Blijkbaar wordt er ergens anders (???) iets aangepast.

Resultaat van de hack
Heb de instelling zo gezet dat ik automatisch ingelogd wordt. Maar ben nu uitgelogd:


Oké. Dan log ik in. Resultaat: Inlog wordt geweigerd! Gebruikersnaam en Wachtwoord zijn 100% accuraat:

Je kunt "Ik ben mijn wachtwoord vergeten" aanklikken, maar vervolgens gebeurt er niets.

Dan melden we ons aan als nieuw forumlid:

Klik op "Ik ga akkoord met deze voorwaarden" en het volgende scherm verschijnt:


Met andere woorden: De website is onbruikbaar geworden.

[Administrator]

Onderzoek
Nogmaals in de logfiles gedoken om te onderzoeken of er aanknopingspunten te vinden zijn waarom er op het forum niet meer ingelogd kon worden. Niet dus. Maar in alle onduidelijkheid raak ik er meer en meer van overtuigd dat de website niet gehackt was, maar zich een ander probleem voorgedaan heeft.
De vinger hierachter krijgen is bijna onmogelijk, de betrokken website is niet meer online. En de exacte situatie op het bewuste moment is niet meer te reconstrueren.

Vermoed dat op de bewuste woensdagavond de eerste acties ondernomen werden om de domeinnaam (www.ehhb.nl) te verhuizen van de oude naar de nieuwe server. Dit valt echter niet meer te controleren.

Back-up
Het laatste wat je moet doen is een back-up maken van een besmet systeem. Als je deze op een ander systeem terugzet is ook deze direct besmet.
Maar dit forum is ingericht met de laatste aangemaakte back-up, dus nadat je niet meer kon inloggen. Dit versterkt mijn gedachte dat er iets anders aan de hand geweest moet zijn.

Tijdlijn
Opvallend is dat er een zeer korte tijdlijn is.
Om 21:31 heeft iemand zich nog aangemeld als nieuw forumlid.
Om 21:47 kon ik al niet meer inloggen, een kwartiertje later.
De logfiles bevatten geen enkele melding.

De eerste foutmeldingen opgeslagen in de logfile treden op om 23:28. Niet zomaar een gebruiker maar Amazon Data Services in Singapore. Ja, ook zij zijn van harte welkom.
De melding komt van startup.php, te vinden in ./includes. De melding is "failed to open stream: No such file or directory".
De verwijzing is van public_html/common.php. Specifiek naar regel 23 waar staat "require($phpbb_root_path . 'includes/startup.' . $phpEx)".
De relatieve root path ($phpbb_root_path) verwijst wellicht naar de nieuwe server waar het bestand startup..php (nog) niet te vinden is???

Aangezien nu alles picobello werkt sluiten we dit hoofdstuk af.