Beveiligingsonderzoeker Denis Sinegubko ontdekte dat hackers maandenlang IP-adressen van LeaseWeb gebruikten voor het verspreiden van malware, maar de Nederlandse hostingprovider heeft eindelijk maatregelen genomen. Vorige week ontdekte Sinegubko een kwaadaardig script dat op allerlei gehackte websites wordt geplaatst. Het script gebruikt onder andere poort 8080, regelmatig wisselende .ru domeinen en vijf IP-adressen. IP-adressen van gehackte, legitieme servers. Tot verrassing van de onderzoeker bleken de IP-adressen allemaal te wijzen naar de Nederlandse hostingprovider LeaseWeb en het Franse OVH.com. "Is het toeval of is er iets waardoor LeaseWeb en OVH hackers aantrekken?"

Op de gehackte sites installeren de aanvallers ook een nginx server op poort 8080. Deze servers zijn in werkelijkheid reverse proxies die de centrale server met al de exploits verbergen. Bij de laatste iframe aanval bleek deze server zich achter het domein mdvhost.com te verschuilen. "Het zal geen verrassing zijn dat deze site zich ook in het LeaseWeb netwerk bevindt." De hostingprovider was al in september door Stopbadware.org gewaarschuwd, maar er volgde geen enkele reactie. "Is het een teken dat het ze niets kan schelen dat ze een server hosten die miljoenen computers en honderdduizenden websites heeft besmet?"

Drie maanden
De noodkreet van Sinegubko kwam uiteindelijk aan bij LeaseWeb security officer Alex de Joode. Die laat weten dat mensen die een abuse melding doen geen antwoord krijgen. "Dit is dus geen indicatie dat LeaseWeb de melding niet heeft ontvangen of geen actie onderneemt." Daarnaast is het mdvhost.com domein na tenminste drie maanden eindelijk gesloten. De aanval gaat inmiddels via een ander domein en IP-adressen van OVH verder, maar de onderzoeker is blij met de actie van de Nederlandse hostingprovider. "Gelukkig kunnen zulke berichten soms het verschil maken."