Nieuws
image

LeaseWeb sluit eindelijk berucht malware domein

vrijdag 1 januari 2010, 13:24 door Redactie, 6 reacties

Beveiligingsonderzoeker Denis Sinegubko ontdekte dat hackers maandenlang IP-adressen van LeaseWeb gebruikten voor het verspreiden van malware, maar de Nederlandse hostingprovider heeft eindelijk maatregelen genomen. Vorige week ontdekte Sinegubko een kwaadaardig script dat op allerlei gehackte websites wordt geplaatst. Het script gebruikt onder andere poort 8080, regelmatig wisselende .ru domeinen en vijf IP-adressen. IP-adressen van gehackte, legitieme servers. Tot verrassing van de onderzoeker bleken de IP-adressen allemaal te wijzen naar de Nederlandse hostingprovider LeaseWeb en het Franse OVH.com. "Is het toeval of is er iets waardoor LeaseWeb en OVH hackers aantrekken?"

Op de gehackte sites installeren de aanvallers ook een nginx server op poort 8080. Deze servers zijn in werkelijkheid reverse proxies die de centrale server met al de exploits verbergen. Bij de laatste iframe aanval bleek deze server zich achter het domein mdvhost.com te verschuilen. "Het zal geen verrassing zijn dat deze site zich ook in het LeaseWeb netwerk bevindt." De hostingprovider was al in september door Stopbadware.org gewaarschuwd, maar er volgde geen enkele reactie. "Is het een teken dat het ze niets kan schelen dat ze een server hosten die miljoenen computers en honderdduizenden websites heeft besmet?"

Drie maanden
De noodkreet van Sinegubko kwam uiteindelijk aan bij LeaseWeb security officer Alex de Joode. Die laat weten dat mensen die een abuse melding doen geen antwoord krijgen. "Dit is dus geen indicatie dat LeaseWeb de melding niet heeft ontvangen of geen actie onderneemt." Daarnaast is het mdvhost.com domein na tenminste drie maanden eindelijk gesloten. De aanval gaat inmiddels via een ander domein en IP-adressen van OVH verder, maar de onderzoeker is blij met de actie van de Nederlandse hostingprovider. "Gelukkig kunnen zulke berichten soms het verschil maken."

Reacties (6)
01-01-2010, 15:50 door Anoniem
Ik had laatst ook een website die gehackt was en malware op gegooid was, toen had ik ook contact opgenomen met Alex de Joode en na 1 maand heb ik het opgegeven, het kwam weg bij een klant die eerst moest reageren op de email van Alex voordat die afgesloten kon worden, het afsluiten is nooit gebeurd en door de tijd heen heb ik het opgegeven.
01-01-2010, 20:16 door Anoniem
Welk domein is het ? (kun je me een ticktnummer mailen ?) ( a.dejoode-at-leaseweb.com )

LeaseWeb heeft een volledige URL nodig, als wij verifieren dat er malware opstaat krijgt de klant een korte tijd om e.e.a. te fixen,
bij uitblijven van een response null-routen we. Als we geen volledige URL krijgen dan vragen we de melder de informatie aan te vullen, lukt dat niet van vragen we de klant e.e.a. te onderzoeken.

Alex de Joode
Security Officer
LeaseWeb BV
01-01-2010, 22:02 door spatieman
soo, die gasten bij leaseweb zijn snel !
sneller als stront door een rietje schijnbaar dat ze 3 maanden nodig hadden..
02-01-2010, 10:04 door Syzygy
Doornroosje is wakker geworden lees ik net ;-)
02-01-2010, 17:15 door Anoniem
[Verwijderd door moderator]
02-01-2010, 17:47 door Anoniem
Leaseweb is net zo snel als dikke stront en doen geen ene reet aan dit soort zaken.
Ik heb een maand of twee geleden wat sites gemeld toen ik voor de zoveelste keer "Hey ben jij dit op deze foto?" email kreeg en vervolgens op een nep MSN site moest klikken wat ik uiteraard niet heb gedaan.

Netjes de WHOIS gecheckt en dit gemeldt aan Leaseweb.
Kreeg vervolgens een week of twee geen reactie dus netjes een klacht ingedient bij de OPTA en tevens vermeld dat Leaseweb te lui is om er iets aan te doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search