Klanten van verschillende hostingproviders zijn de afgelopen maanden gehackt omdat de providers de NFS-permissies van hun shared hostingomgeving niet goed hadden ingesteld. Het gaat om de providers Hostway, Momentous, Paragon en MelbourneIT, alsmede andere merken van de bedrijven.

Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld. In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" en alle klantbestanden "world-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden.

Deze condities zorgden ervoor dat zodra een hacker één website op de server had gehackt, hij eenvoudig toegang tot de bestanden van andere websites kon krijgen. Vervolgens maakten de aanvallers nieuwe beheerderaccounts voor deze websites aan en zorgden dat de bestaande beheerders geen toegang meer hadden. Hierna werden malware en spam aan de websites toegevoegd of werden ze gedefacet. Securitybedrijf Wordfence ontdekte de verkeerd ingestelde NFS-permissies en waarschuwde de providers, die vervolgens het probleem verhielpen.