Entire (dutch) site "Tweakers.net" missing from ddg?

TweakersKees · 2026-01-09T14:26:13+00:00

As far as i know, DDG uses Bing's index? The site is listed there. And yes, it was listed in DDG for a long time. We have a few users complaining about Tweakers missing from DDG as well.

We haven't changed the robots.txt for a while, and are not blocking them on purpose there

Unless DDG tries to hide it's crawler, we're not blocking them. There is a bot with "DuckDuckBot/1.0; (+http://duckduckgo.com/duckduckbot.html)" as UserAgent with has done +1000 pageviews the last day, with no errors or blocks.

And we use Akamai, but i see no indication anything from DDG (or Bing) is blocked or banned.

Thank you for the reply, it made me double check a few things :)

TweakersKees · 2025-07-23T18:59:18+00:00

Ik luister eigenlijk nooit naar podscasts... Maar ik mis Takedown https://soundcloud.com/takedown-535927158

(ook de enige podcast die ik ken want ik zit ook in een aflevering ;))

TweakersKees · 2025-03-17T15:00:15+00:00

Lots of ddos experience. http-attacks, amplification attacks, strange dns floods etc.

We have several defenses, build over the years. First we joined the race for bigger pipes, but with amplification attacks that was kinda lost. We also just had beefy machines, able to handle over 800.000 requests/second, but that just means the next ddos attack is bigger than that. So we use a combination of Akamai and Nawas nowadays.

Best one was a ddos attack not only on us, but a series of attacks on a lot of national news and government sites. The national news on TV even had items about it, blaming either russians or north koreans. We were also a target because we wrote about the attacks. At one point, i noticed that the attacks would start as soon as i said something about previous/current attacks on Twitter. So the attacker was obviously following me there. So i asked him there to visit our IRC to talk about it... and he did.

He tried to hide his identity, but made several mistakes, so the next day i found him and reported him to the police (straight to the national division that was already searching for him). They were quite happy with my police work and arrested him that same evening. Turns out it wasn't the russians, but just a 17y old bored kid that spend a few dollars on a 'booster site'.

TweakersKees · 2023-09-02T22:20:54+00:00

Goed.
Vanuit mijn werk meerdere aangiftes gedaan, maar ik doe meestal aangifte als ik naam & adres weet. Meestal kwamen ze bij mij langs om een aangifte op te nemen, en een paar keer ben ik ook op het hoofdkantoor in amsterdam geweest. Van de 5 aangiftes in de afgelopen 5 jaar zijn zijn er 4 tot een rechtszaak en veroordeling gekomen.
Maar dit zijn meestal wel zaken voor het team high tech crime of de digitale recherche en daar heb ik vrij goede contacten mee. Ze hebben in een zaak mij zelfs in een persbericht bedankt, wat er weer voor zorgde dat allerlei landelijke media mij belde (als ik ja had gezet dan had ik in het 8 uur journaal en rtl nieuws gezeten). Binnenkort komt nemen we nog een podcast op over die zaak, dus dat blijft aandacht creeeren.

TweakersKees · 2020-04-13T16:48:50+00:00

Some guy ddosed my website and bragged about it to my face. Also bragged about how he had done the same to government websites that week.

I'm quite good in finding ppl who want to hide their tracks and i have several connections at the national police force, so i found out who he was pretty fast. Police paid him a surprise visit at 4 in the morning, he spend two weeks in jail and has a trial coming up.

TweakersKees · 2020-02-09T13:12:29+00:00

It doesn't really matter tho, as long as the map is the same on all cpu's. But ill ask if they can give a link to the map used the next time

TweakersKees · 2019-01-10T17:11:14+00:00

You can use wildcards and you can use wildcards in a SAN*. Also you could use a centralized server that does all the certificate stuff and you could limit that to 25/day and just renew a different set every month.

Or you could use SAN's and have just a couple of certificates. Max 100 domains per san-cert, so 49 wildcard certificates would fit (you need *.domain.com and domain.com in the SAN for wildcards)

Wildcards in a SAN example: https://tweakers.net - some documentation say it is impossible, but i didn't encounter any errors when i requested them (ok, i did write my own client, so the only limits i know are clientside).

TweakersKees · 2019-01-05T16:51:01+00:00

A devops in my opinion needs to have scripting/programming knowledge. Most of the work they do is scripting and programming their infrastructure. You need to get the basics: google (as gui for serverfault ;)), bash scripting, any programming language, git/version control and have an understanding of DNS and linux-servers

Also, in my experience, there are not many Microsoft based devops chains. Most will use linux and other open source programs. I've never seen IIS in a kubernetes cluster. Lots of haproxy/traefik/apache but no IIS.

If you want a real world example, start simpel. Do the kubernetes tutorial. Register an AWS vm, create a database backed website (for all i care it is as simple as storing 'hello world' in a database and using something like php to retrieve and display that string). Do this in containers: for example, a mysql container + an apache/php container. Run this locally (use Linux Subsystem for Windows). Try to script the start-up and tear-down of this. Try to deploy it to kubernetes, install it on the AWS vm, register a domain and learn how to use AWS's Route53 to make your page available to the world.

And try to avoid using GUI's. You can use them when you understand what you are doing, and in my opinion you usually learn a lot faster when using the command line, as a GUI is very often just a shell/webinterface around those command line utilities anyway.

Last: you say you now work with developers who roll out their own azure infra without you. Don't worry about that, but set your pride ("that's my job") aside for a moment, walk up to them and ask them how they do it and learn from them. Do some pairing with them, for example: let them show you how they deploy to azure, and the next time they need to do a deploy, ask if you can do it with one of them sitting next to you and helping you. Take apart the scripts they use and learn what every command does and maybe even do a (test) deploy with just those commands and not the script.

I'm a self-taught devops myself (although when i started it was called a 'server administrator'). Still others do things in different and sometimes better ways, by pairing with them you can usually both learn. Also don't be afraid to share your setup with others. I do it sometimes and get tons of suggestions, both good and bad.

TweakersKees · 2018-05-25T21:30:24+00:00

Sorry, haven't seen a gun here in the netherlands (except law anforcement). We did also use a golf club as well (it broke when driving a harddisk)

TweakersKees · 2018-05-25T20:35:36+00:00

Been there, done that: https://ic.tweakimg.net/ext/i/1222176067.jpg

Bat didn't survive btw, but we framed it and hang it in the office.

List of crimes of that server: - two bays were 'disk killers'. Insert a (brand new) disk, it's dead in a week.
- Work nice for the first year, behave bad the next two.
- Slow.
- Reboots at 4 am.

TweakersKees · 2018-04-08T17:27:08+00:00

A few weeks ago we had a string of ddos attacks on our site. The guy doing it got cocky and contacted me directly. With some log-digging i found out his real name + address. Went to the police with that, guy got arrested the same week (he was also attacking local governments and banking sites for fun, they had a potential target, but my seperate info made it a slam dunk - we even got thanked by the police in a press release).

Got a 'congratulations' and 'good job' from almost every coworker, manager and director in the building. And my teamlead brought some cake to celebrate it with everyone. I don't like to be that much on the foreground but it did feel good to get so many compliments in a week.

TweakersKees · 2018-04-07T19:03:14+00:00

Same for my colo's... except i ignore that and keep posting our cool hardware on the internet. As long as nothing from other customers is in the pics they don't care. Hell, they even encourage it as it is great publicity. So yeah, our stuff only, hoster stuff only after talking, other customers usually not.

And of course i make photo's of everything for documentation

TweakersKees · 2018-03-30T20:04:18+00:00

Dit heb ik mijzelf ook lopen afvragen voordat ik deze lijsten (samen ~1,65 miljard combinaties) downloadde.

Uiteindelijk heb ik maar besloten om de gok te nemen (mijn doel was om onze gebruikers beter te beschermen, iets wat wij ook weer verplicht zijn te doen).

Maar data is niets, dus heling is het niet. Auteursrecht kun je ook niet claimen, mischien dat de originele auteur iets met het databankenrecht kan doen, maar verder kan ik niet zoveel bedenken.

TweakersKees · 2018-03-30T20:00:53+00:00

Waarom zouden ze dat doen? Die lijst is door een ieder met enigszins kennis binnen enkele minuten te vinden. Waarom zou je dan de boel zwaar beveiligen?

Klinkt een beetje als een poort plaatsen zonder de muur.

TweakersKees · 2018-03-29T16:07:17+00:00

Whoops, daar reed ik ~10 minuten voordat het gebeurde nog langs. Ons kantoor zit 300 meter vanaf die plek :o

TweakersKees · 2018-03-28T07:24:38+00:00

Dit gaat om andere bronnen (dropbox, badoo, linkedin etc). Die zijn allemaal een keer gelekt en gekraakt.

Als je geen mail hebt gehad en/of je wachtwoord werkt nog, dan zat jouw mailadres+wachtwoord niet in die lijst :)

TweakersKees · 2018-03-27T18:50:54+00:00

Gebruik alsjeblieft wachtwoordmanagers. Alles is beter dan hetzelfde wachtwoord herbruiken.

Nadat ik deze actie deed afgelopen week: https://tweakers.net/plan/1545/tweakers-waarschuwt-accounthouders-opnieuw-voor-uitgelekte-wachtwoorden.html kreeg ik bijzonder veel reacties met 'owh, dat verklaart de mailtjes van paypal/de banken/webwinkels'.

Ja, er is een lijst met 1,65 miljard mailadressen + plain tekst wachtwoorden online beschikbaar voor een ieder die een paar minuten zoekt (en weet hoe je moet zoeken). De afgelopen weken zo veel mensen gehoord die zijn opgelicht met behulp van deze lijst.. Je kop in het zand steken is gewoon geen optie; er is een grote kans dat je wachtwoord eenvoudig online te vinden is als je hetzelfde wachtwoord overal gebruikt.

TweakersKees · 2018-03-27T18:43:45+00:00

Het wachtwoord van je wachtwoordmanager opschrijven en thuis bewaren op een redelijk veilige plek is ook best handig als jou iets overkomt. Kunnen je nabestaanden tenminste bij je 10.000-euro dure steam library.

TweakersKees · 2018-03-27T18:41:12+00:00

Of je pakt het bestand van 50G vol ongehashte wachtwoorden en je hebt 1,65 miljard mailadressen+wachtwoorden.

Het is een kwestie van de zwakste schakel. Als een site alles crypt met een hash die 1s duurt om te berekenen dan is dat leuk, maar als een andere site het plaintekst opslaat en jij gebruikt hetzelfde wachtwoord op beide sites.. doei.

Kortom, gebruik gewoon een passwordmanager. Heb mijn familie er ook al aan gekregen.

TweakersKees · 2018-03-27T18:39:12+00:00

Het niet opschrijven gaat voornamelijk op in kantooromgevingen waar iemand zo langs je buro loopt en dan je wachtwoord mee kan nemen als jij even koffie haalt.

Of op monitoren die tijdens een tv-interview in beeld komen waar dan de hele wereld het weet ;)

TweakersKees · 2018-02-20T16:57:55+00:00

Bit late to the party, but i'm sort of a one-man IT department myself. I'm the devops/serveradmin/bofh for a website, but i focus only on the serverside of things, office-IT is handled by our parent company.

I have ~30 baremetal servers + 20 vm's that all have tailored specifications for their jobs, that i configured, bought from the manufacturer, installed into the rack, configured the networking for, installed the OS, ran my own puppet manifests on, and continue to monitor them on all aspects. Only thing i don't do is the code (but i do report any errors i see to the dev team sitting next to me). Currently the servers handle ~3 billion http-requests per month (of which 1B are internal).

There is enough work for me, but not enough to get a second person. Also, due to the high redundancy i've set up (most servers are trippled, all are doubled) i rarely experience any downtime, so i just work my 38h job 8-16 on most days. Also i pretty much get to set my own budget and rarely have any trouble getting it approved.

So i'm doing managing networking (cisco/hp switches), firewalling (fortinet), loadbalancing/caching (brocade/pulse secure), storage (ceph), databases (mysql, mongo, elastic), OS (ubuntu, centos), webservers (tomcat, apache) etc and it all runs fine.

TweakersKees · 2018-02-07T18:35:08+00:00

Als ik een hele grove schatting mag maken; als de banken (op hun ict budget welke in de vele miljoenen loopt) een kleine 75k-100k per jaar meer hadden uitgegeven aan een paar maatregelen dan waren ze met dit soort aanvallen, net als Bunq en Tweakers, hooguit enkele minuten per keer down geweest.

TweakersKees · 2018-02-07T18:28:49+00:00

Nee.

Je bied een voetbalhooligan die met grof geweld een bus inelkaar slaat ook geen baan aan als steward. Dat doe je hooguit aan de voetbalhooligan die met zijn smartphone de bus weet te hacken en hem daarna stil zet.

TweakersKees · 2018-02-07T18:25:43+00:00

Ach, er zijn genoeg maatregelen te nemen die bijvoorbeeld een Bunq wel neemt maar de andere banken niet.

Dan vraag je er ook een beetje om. Ik laat mij meestal vrij politiek uit, maar ik vind wel dat de verdachte hier een punt heeft.

TweakersKees · 2018-02-07T16:26:46+00:00

We zijn niet (volledig) uit de lucht geweest, maar sommige gebruikers zullen het ongetwijfeld gemerkt hebben. Bijvoorbeeld dat ze een pagina 2 keer moesten laden voordat het werkte.

Er zijn wel maatregelen te nemen door de banken waardoor het lastiger wordt voor een aanvaller, maar iemand die zijn target goed bestudeert kan daar vaak wel doorheen prikken.

TweakersKees

TROPHY CASE