image

Interessante aanval van Nederlandse IP-adressen

maandag 19 oktober 2009, 12:25 door Redactie, 14 reacties

Een beveiligingsonderzoeker van Stopbadware heeft een interessante aanval ontdekt die afkomstig van Nederlandse IP-adressen is. Het gaat om de adressen van Leaseweb, Kabelfoon en Trueserver, waar Oliver Day tegen aanliep. Aanvallers plaatsen iframes op gehackte websites die slachtoffers naar verschillende Russische domeinen doorsturen. Deze domeinnamen werden weer via Nederlandse IP-adressen gehost. Het gaat om Leaseweb met 85.17.138.27 en 85.17.237.5, Kabelfoon met 217.23.4.76 en 217.23.5.27 en Trueserver met 87.233.139.100.

Een poortscan wees uit dat er veel services op elk IP-adres openstaan. De onderzoeker wist alleen van Leaseweb het abuse e-mailadres te vinden en waarschuwde de hostingprovider. Van Trueserver en Kabelfoon is hij nog naar het juiste adres op zoek. Stopbadware is een initiatief van de universiteiten van Oxford en Harvard en wordt gesteund door grote bedrijven als AOL, Google, Lenovo, PayPal, Trend Micro en VeriSign.

Reacties (14)
19-10-2009, 12:47 door Anoniem
Als een 'beveiligingsonderzoeker' nog niet eens de WHOIS informatie achter een IP adres weet te vinden, vraag je je wel af hoe de rest van zijn onderzoekskwaliteiten zijn...
In de WHOIS van zowel de Kabelfoon als Trueserver IP's zijn gewoon werkende emailadressen te vinden.
19-10-2009, 12:49 door Anoniem
kabelfoon is over naar : info@caiw.nl - abuse@caiway.nl
Trueserver : abuse@true.nl

waar zouden we zijn zonder google ?
19-10-2009, 13:28 door Bass
Door Anoniem: Als een 'beveiligingsonderzoeker' nog niet eens de WHOIS informatie achter een IP adres weet te vinden, vraag je je wel af hoe de rest van zijn onderzoekskwaliteiten zijn...
In de WHOIS van zowel de Kabelfoon als Trueserver IP's zijn gewoon werkende emailadressen te vinden.

Het zal dan toch zeer waarschijnlijk iets wat ingewikkelder zijn dan het lijkt.
19-10-2009, 13:33 door Anoniem
op http://85.17.138.27/ word de website Karaoke Plus beta gehost

met een contact email adres er bij : 1karaokeplus@gmail.com

lekker onderzoek
19-10-2009, 13:56 door U4iA
Door Anoniem: op http://85.17.138.27/ word de website Karaoke Plus beta gehost
Reported Web Forgery!
This web site at 85.17.138.27 has been reported as a web forgery and has been blocked based on your security preferences.
Web forgeries are designed to trick you into revealing personal or financial information by imitating sources you may trust.
Entering any information on this web page may result in identity theft or other fraud.

Phishing and Malware Protection
Firefox 3 or later contains built-in Phishing and Malware Protection to help keep you safe online. These features will warn you when a page you visit has been reported as a Web Forgery of a legitimate site (sometimes called phishing pages) or as an Attack Site designed to harm your computer (otherwise known as malware).
19-10-2009, 14:06 door Anoniem
"op http://85.17.138.27/ word de website Karaoke Plus beta gehost met een contact email adres er bij : 1karaokeplus@gmail.com
lekker onderzoek"

Het is vrij logisch dat de onderzoeker niet de eigenaar van de kwaadaardige website contacteert maar het abuse adres van de provider.
19-10-2009, 14:13 door Anoniem
Door Anoniem: kabelfoon is over naar : info@caiw.nl - abuse@caiway.nl
Trueserver : abuse@true.nl

waar zouden we zijn zonder google ?
Bij andere zoekmachines. Dan is de privacy ook beter gewaarborgd.
19-10-2009, 14:15 door Anoniem
waarom is deze aanval trouwens interessant..?
19-10-2009, 16:50 door Anoniem
Mag hij zomaar die portscan uitvoeren??
19-10-2009, 17:21 door spatieman
waarom niet?
iedereen doet dat toch...
je weet toch. hackers trekken zich van de wet toch ook niets aan....
19-10-2009, 17:40 door Syzygy
Héééé, is dat niet het IP adres van Eerde ?? ;-)
19-10-2009, 20:53 door [Account Verwijderd]
[Verwijderd]
20-10-2009, 01:18 door Anoniem
abuse.net zoekt het voor je op:

whois -h whois.abuse.net caiway.nl
abuse at caiw.nl (for caiway.nl)
postmaster at caiway.nl (for caiway.nl)

whois -h whois.abuse.net true.nl
abuse at true.nl (for true.nl)
postmaster at rue.nl (for true.nl)
20-10-2009, 19:07 door Anoniem
Hoi Allemaal,

laat ik maar met de deur in huis vallen ook het IP adress wat hier boven genoemd word is ook gehacked.
En word door de bewuste hackers gebruikt om via deze server een aanval in te zetten met nog eeen aantal ipadressen. Overigens niet alleen Nederlandse IP adressen zijn hier bij betrokken ook een aantal franse etc. Als je kijkt op robtex op de dns bio-a.ru zie je onderandere welke IP adressen er mee zijn gemoeid. Ik heb toen ik dit heb gezien direct een mailtje gestuurd naar leaseweb en dat is al een paar weken geleden en heb vandaag ook direct de website offline gezet hopende dat dit het probleem zal verhelpen want ik ben nog steeds opzoek waar ik het moet vinden. als ik de fix weet laat ik het hierbij weten.
Ik hoop jullie hier een stukje duidelijkheid heb verschaft maar de website karaokeplus is zeker niet bedoeld om dit te doen het zijn een stel muziek liefhebbers die gewoon zingen daar zonder verdere bijbedoelingen om ergens iets te hacken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.