Botnet vindt schuilplaats bij LeaseWeb
De Nederlandse hostingprovider LeaseWeb blijkt een betrouwbaar onderkomen voor een groot botnet. Onderzoeker Atif Mushtaq van beveiligingsbedrijf FireEye kreeg de bijzondere gelegenheid om de werking van een botnet Command en Control (C&C) server te bekijken. "Gedetailleerd inzicht in de botnetserver of command onderdeel kan ons waardevolle informatie over de motieven van het botnet en mogelijk de criminelen erachter geven." Dankzij een Amerikaanse provider kreeg Mushtaq toegang tot een C&C-server van het Pusdo-botnet. De onderzoeker ontdekte dat er verschillende C&C-servers waren, ondergebracht bij vijf verschillende hostingproviders. Vier van deze partijen zaten in de Verenigde Staten, het Nederlandse LeaseWeb was de vijfde partij.
Mushtaq kreeg van het Amerikaanse SoftLayer korte tijd toegang tot één van de servers, voordat de hostingprovider die offline haalde. Opmerkelijk genoeg waren ook alle andere C&C-servers de volgende dag onbereikbaar. "Dit is waarschijnlijk een combinatie van de providers die ze offline haalde of de criminelen die hun servers verlieten." Inmiddels zijn alle C&C-servers bij de Amerikaanse hostingproviders verdwenen. Alleen twee servers bij LeaseWeb draaien nog ongestoord door. Wat Mushtaq binnen het Pushdo-botnet ontdekte zal hij binnenkort openbaren.
Tijd dat LeaseWeb haar 'maatschappelijke verantwoordelijkheid' gaat nemen en bij gaat dragen aan een veiliger internet.
Tijd dat LeaseWeb haar 'maatschappelijke verantwoordelijkheid' gaat nemen en bij gaat dragen aan een veiliger internet.
ieder kent zijn eigen verantwoordelijkheden, zij faciliteren de ruimte en de verbinding dat wil nog niet zeggen dat zij er op toe moeten zien dat alles wat er gebeurt op de door hun gefaciliteerde systeem legaal is. Daar zijn andere instanties voor bedoeld. Tevens ben je als gebruiker verplicht op te hoogte te zijn van de regelgeving die van toepassing zijn, ben je dat niet dan heb je dus kan dat je je voor de rechter zult moeten verantwoorden.
het lijkt mij trouwens ook een ondoenlijke zaak om alles wat draait op de gefaciliteerde ruimte te toetsen aan de regelgeving.
Klein-rusland is dan ook een vergelijking die bij lange na niet toepassing is. Daarnaast is het niet aan de security officer om daarop in te springen, de security officer moet zorg dragen voor de beveiliging van "het bedrijf Leaseweb" zodat hun werk, hun data en die van de klanten bescherm wordt en blijft.
Ik heb een maand of twee geleden wat sites gemeld toen ik voor de zoveelste keer "Hey ben jij dit op deze foto?" email kreeg en vervolgens op een nep MSN site moest klikken wat ik uiteraard niet heb gedaan.
Netjes de WHOIS gecheckt en dit gemeldt aan Leaseweb.
Kreeg vervolgens een week of twee geen reactie dus netjes een klacht ingedient bij de OPTA en tevens vermeld dat Leaseweb te lui is om er iets aan te doen.
http://www.security.nl/artikel/31967/LeaseWeb_sluit_eindelijk_berucht_malware_domein.html
Kortom, Leaseweb maakt er een zooi van....
LeaseWeb is een grote hoster, 22.000+ servers en 500+Gbps peak traffic.
soort dienst:
LeaseWeb is een infrastructuur provider, maw. we leveren de bouwstenen waar resellers en enterprise customers value added services aan toe kunnen voegen (oneerbeidig gezegd, doen we unmanaged hosting). In totaal hebben we meer dan 2 miljoen websites draaien in ons netwerk.
onze 'maatschappelijke verantwoordelijkheid':
We hebben een goede relatie met de KLPD, zowel THTC als de Unit KP we werken op een professionele manier samen. We zijn ook bezig met 'community outreach' waarbij we met derden kijken opwelke wijze we onze informatiepositie mbt 'badness' in ons netwerk kunnen verbeteren. Tevens werken we al erg hard om ons netwerk schoon te houden, we hebben een speciaal team dat de abuse klachten verwerkt, en we zijn aan het onderzoeken hoe we op een meer proactieve wijze abuse kunnen onderkennen en sneller kunnen afhandelen. Iedereen zal kunnen begrijpen dat een netwerk dat +500Gbps doet, een andere moeilijkheidsgraad heeft dan een netwerk van de gemiddelde hoster dat 500Mbps doet. We nemen onze maatschappelijke verantwoordelijkheid serieus, en in Q1/Q2 van 2010 zul je daar ook berichten over lezen!
terugkoppeling mbt klachten:
Dat blijft een veel gehoorde klacht van melders en daar gaan we dit jaar wat aan doen. Op welke wijze we dat precies gaan doen weet ik nog niet, suggestie zijn welkom!
Alex de Joode
Security Officer
LeaseWeb BV
Wat dacht je ervan om eens wat meer te investeren in een goede klachtenservice/klantenservice en klachten ook daadwerkelijk direct serieus te nemen als iemand serieus melding doet van een malware domein dat gehost en tevens gespamt word door een Leaseweb server?!
Wanneer iemand er melding van maakt, direct er naar kijken en meteen "account suspended" bij zulke dingen wanneer de constatering juist is.
Dat voorkomt ten eerste een zorg voor jullie, namelijk een slechte naam ("Leaseweb steunt criminelen en doet er niets aan") , en bovendien voorkomt het slachtoffers van identiteitsdiefstal (username+pw).
Ik begrijp dat het erg lastig is om bij een dergelijke omvang je netwerk in de gaten te houden, je kan niet alles tegelijk, maar wanneer er mensen aan de bel trekken omdat er iets niet klopt en er vervolgens helemaal niets mee doen (ja, reageren na twee weken) kan en mag gewoon niet.
Just my 2 cents....
Leaseweb is een prijs stunter. Ik denk dat dat voor een deel er voor zorgt dat je een hoop ongewenste rommel aantrekt. Maar tevens betekent het dat Leaseweb daardoor wellicht extra probeert te besparen op allerlei kosten. Misschien is de abuse desk daar 1 van.
@Alex de Joode: Ik begrijp dus niet dat een netwerk van 500+ Gbps een andere moeilijkheidsgraad is dan een netwerk dat 500 Mbps doet. Abuse klachten gaat over het algemeen over 1 server of 1 site of in het ergste geval 1 klant. Het aantal servers of sites is dan voor het oplossen niet relevant. Het betekent alleen dat je meer personeel nodig hebt als je 22.000 servers host dan een club die er 5000 host. Het is onzin dat de complexiteit van het netwerk het oplossen van abuse meldingen ineens lastig maakt.
Voorlopig is dit domein nog steeds online AFAIK
Op twee server servers, een bij Leaseweb runnen webcrawlers die elk vele miljoenen webpagina's per dag bezoeken.
Van de vier grote providers kregen we van twee vorige providers nooit abuse mailtjes. Van Leaseweb en de andere provider komen regelmatig abuse mailtjes binnen van webmasters die denken dat hun infrastructuur of website aangevallen wordt door b.v. een Trojan. 95% van deze klachten zijn totale onzin en komen meestal van webmasters die niet goed in hun log files van firewall of website hebben gekeken. De andere 5% waren ook geen aanval maar aanroepen van b.v. pagina's die niet bestaan door een fout in de HTML/URL parser meestal door fouten in de HTML code of een aanroep van een pagina die niet bezocht mag worden door een fout in de robots.txt parser meestal door een fout in de robots.txt syntax.
Leaseweb laat de server aanstaan en forward de klacht de andere provider zet meestal eerst de server uit en gaat dan een mail sturen waar ze er vanuit gaan dat je server geinfecteerd is.
Leaseweb heeft dus een nette afhandeling van klachten en gezien de hoeveelheid onzin klachten kan ik ook begrijpen dat twee van de vier providers er niets mee deden naar hun klanten toe.
het lijkt mij trouwens ook een ondoenlijke zaak om alles wat draait op de gefaciliteerde ruimte te toetsen aan de regelgeving.
Klein-rusland is dan ook een vergelijking die bij lange na niet toepassing is. Daarnaast is het niet aan de security officer om daarop in te springen, de security officer moet zorg dragen voor de beveiliging van "het bedrijf Leaseweb" zodat hun werk, hun data en die van de klanten bescherm wordt en blijft.
Eens, zij zijn niet verantwoordelijk voor de controle van de content op de server. Echter als er klachten binnen komen dat er illegale praktijken plaatsvinden via hun verbindingen en/of servers dan is het wel degelijk aan hen om daar actie op te ondernemen.
De security officer bij LeaseWeb is volgens de persberichten aangenomen om ook dit soort praktijken tegen te gaan, dus vandaar dat ik deze titel aanhaalde.
Leaseweb laat de server aanstaan en forward de klacht de andere provider zet meestal eerst de server uit en gaat dan een mail sturen waar ze er vanuit gaan dat je server geinfecteerd is.
Leaseweb heeft dus een nette afhandeling van klachten en gezien de hoeveelheid onzin klachten kan ik ook begrijpen dat twee van de vier providers er niets mee deden naar hun klanten toe.
Ik snap niet hoe er 95% false meldingen kunnen optreden. Ik doe security voor een provider van vergelijkbare grote als Leaseweb (in verkeer). Ik zie ongeveer 250 meldingen per dag langskomen en die worden door 1 persoon (in deeltijd) gecontroleerd en afgehandeld. Er gaat dan 1 mailtje naar de verantwoordelijke persoon (voor de aansluiting) en die ruimt de rommel op en meldt dat terug. Ik geloof dat ik eerder op 0,95% valse meldingen komt dan 95%. Oja, dan tel ik de copyright meldingen niet mee, want die zorgen in hun eentje voor meer false meldingen dan scans, botnets e.d.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.