image

Botnet vindt schuilplaats bij LeaseWeb

vrijdag 22 januari 2010, 11:15 door Redactie, 13 reacties

De Nederlandse hostingprovider LeaseWeb blijkt een betrouwbaar onderkomen voor een groot botnet. Onderzoeker Atif Mushtaq van beveiligingsbedrijf FireEye kreeg de bijzondere gelegenheid om de werking van een botnet Command en Control (C&C) server te bekijken. "Gedetailleerd inzicht in de botnetserver of command onderdeel kan ons waardevolle informatie over de motieven van het botnet en mogelijk de criminelen erachter geven." Dankzij een Amerikaanse provider kreeg Mushtaq toegang tot een C&C-server van het Pusdo-botnet. De onderzoeker ontdekte dat er verschillende C&C-servers waren, ondergebracht bij vijf verschillende hostingproviders. Vier van deze partijen zaten in de Verenigde Staten, het Nederlandse LeaseWeb was de vijfde partij.

Mushtaq kreeg van het Amerikaanse SoftLayer korte tijd toegang tot één van de servers, voordat de hostingprovider die offline haalde. Opmerkelijk genoeg waren ook alle andere C&C-servers de volgende dag onbereikbaar. "Dit is waarschijnlijk een combinatie van de providers die ze offline haalde of de criminelen die hun servers verlieten." Inmiddels zijn alle C&C-servers bij de Amerikaanse hostingproviders verdwenen. Alleen twee servers bij LeaseWeb draaien nog ongestoord door. Wat Mushtaq binnen het Pushdo-botnet ontdekte zal hij binnenkort openbaren.

Reacties (13)
22-01-2010, 11:37 door Anoniem
Is LeaseWeb zo groot dat ze vaak gebruikt worden voor smerige dingen, of is het zo'n immoreel bedrijf? Ik ken hun naam alleen van zulk soort berichten: spam, hosting van vieze dingen, enz.
22-01-2010, 11:48 door Anoniem
Leaseweb is al veel vaker geattendeerd op het feit dat er ook menig Zeus server gehost werd. Na diverse meldingen werd er contact opgenomen en vervolgens werd er niets met de aangeleverde informatie gedaan. Een 'dankjewel' was teveel moeite.
22-01-2010, 12:11 door Anoniem
LeaseWeb is net klein Rusland. Een hoop illegale praktijken kunnen daar ongestoord plaatsvinden en hun security officer lijkt er niks mee te zitten. De KLPD (High-tech Crime Unit) claimt wel een samenwerking te hebben met LeaseWeb, maar dat gaat dan weer enkel om de kinderporno zaken.

Tijd dat LeaseWeb haar 'maatschappelijke verantwoordelijkheid' gaat nemen en bij gaat dragen aan een veiliger internet.
22-01-2010, 13:03 door Fred Leeflang
Oh, Zeus... geen probleem toch als er niets aan gedaan word? http://intevydis.blogspot.com/2010/01/zeus-web-server-ssl2clienthello.html
22-01-2010, 13:21 door Preddie
Door Anoniem: LeaseWeb is net klein Rusland. Een hoop illegale praktijken kunnen daar ongestoord plaatsvinden en hun security officer lijkt er niks mee te zitten. De KLPD (High-tech Crime Unit) claimt wel een samenwerking te hebben met LeaseWeb, maar dat gaat dan weer enkel om de kinderporno zaken.

Tijd dat LeaseWeb haar 'maatschappelijke verantwoordelijkheid' gaat nemen en bij gaat dragen aan een veiliger internet.

ieder kent zijn eigen verantwoordelijkheden, zij faciliteren de ruimte en de verbinding dat wil nog niet zeggen dat zij er op toe moeten zien dat alles wat er gebeurt op de door hun gefaciliteerde systeem legaal is. Daar zijn andere instanties voor bedoeld. Tevens ben je als gebruiker verplicht op te hoogte te zijn van de regelgeving die van toepassing zijn, ben je dat niet dan heb je dus kan dat je je voor de rechter zult moeten verantwoorden.

het lijkt mij trouwens ook een ondoenlijke zaak om alles wat draait op de gefaciliteerde ruimte te toetsen aan de regelgeving.

Klein-rusland is dan ook een vergelijking die bij lange na niet toepassing is. Daarnaast is het niet aan de security officer om daarop in te springen, de security officer moet zorg dragen voor de beveiliging van "het bedrijf Leaseweb" zodat hun werk, hun data en die van de klanten bescherm wordt en blijft.
22-01-2010, 13:32 door Anoniem
Ik quote een van mijn vorige reacties nog maar eens een keer:

Leaseweb is net zo snel als dikke stront en doen geen ene reet aan dit soort zaken.
Ik heb een maand of twee geleden wat sites gemeld toen ik voor de zoveelste keer "Hey ben jij dit op deze foto?" email kreeg en vervolgens op een nep MSN site moest klikken wat ik uiteraard niet heb gedaan.

Netjes de WHOIS gecheckt en dit gemeldt aan Leaseweb.
Kreeg vervolgens een week of twee geen reactie dus netjes een klacht ingedient bij de OPTA en tevens vermeld dat Leaseweb te lui is om er iets aan te doen.

http://www.security.nl/artikel/31967/LeaseWeb_sluit_eindelijk_berucht_malware_domein.html

Kortom, Leaseweb maakt er een zooi van....
22-01-2010, 14:20 door Anoniem
omvang:
LeaseWeb is een grote hoster, 22.000+ servers en 500+Gbps peak traffic.

soort dienst:
LeaseWeb is een infrastructuur provider, maw. we leveren de bouwstenen waar resellers en enterprise customers value added services aan toe kunnen voegen (oneerbeidig gezegd, doen we unmanaged hosting). In totaal hebben we meer dan 2 miljoen websites draaien in ons netwerk.

onze 'maatschappelijke verantwoordelijkheid':
We hebben een goede relatie met de KLPD, zowel THTC als de Unit KP we werken op een professionele manier samen. We zijn ook bezig met 'community outreach' waarbij we met derden kijken opwelke wijze we onze informatiepositie mbt 'badness' in ons netwerk kunnen verbeteren. Tevens werken we al erg hard om ons netwerk schoon te houden, we hebben een speciaal team dat de abuse klachten verwerkt, en we zijn aan het onderzoeken hoe we op een meer proactieve wijze abuse kunnen onderkennen en sneller kunnen afhandelen. Iedereen zal kunnen begrijpen dat een netwerk dat +500Gbps doet, een andere moeilijkheidsgraad heeft dan een netwerk van de gemiddelde hoster dat 500Mbps doet. We nemen onze maatschappelijke verantwoordelijkheid serieus, en in Q1/Q2 van 2010 zul je daar ook berichten over lezen!

terugkoppeling mbt klachten:
Dat blijft een veel gehoorde klacht van melders en daar gaan we dit jaar wat aan doen. Op welke wijze we dat precies gaan doen weet ik nog niet, suggestie zijn welkom!

Alex de Joode
Security Officer
LeaseWeb BV
22-01-2010, 15:15 door Anoniem
@ Alex de Joode

Wat dacht je ervan om eens wat meer te investeren in een goede klachtenservice/klantenservice en klachten ook daadwerkelijk direct serieus te nemen als iemand serieus melding doet van een malware domein dat gehost en tevens gespamt word door een Leaseweb server?!

Wanneer iemand er melding van maakt, direct er naar kijken en meteen "account suspended" bij zulke dingen wanneer de constatering juist is.
Dat voorkomt ten eerste een zorg voor jullie, namelijk een slechte naam ("Leaseweb steunt criminelen en doet er niets aan") , en bovendien voorkomt het slachtoffers van identiteitsdiefstal (username+pw).

Ik begrijp dat het erg lastig is om bij een dergelijke omvang je netwerk in de gaten te houden, je kan niet alles tegelijk, maar wanneer er mensen aan de bel trekken omdat er iets niet klopt en er vervolgens helemaal niets mee doen (ja, reageren na twee weken) kan en mag gewoon niet.

Just my 2 cents....
22-01-2010, 17:42 door Anoniem
Het is geen valide reden om maar niet op abuse te reageren omdat Leaseweb een grote partij is. Als zij zo groot zijn dat ze de toestroom van abuse klachten niet meer adequaat kunnen afhandelen, dan moeten ze meer personeel op hun abuse desk zetten.

Leaseweb is een prijs stunter. Ik denk dat dat voor een deel er voor zorgt dat je een hoop ongewenste rommel aantrekt. Maar tevens betekent het dat Leaseweb daardoor wellicht extra probeert te besparen op allerlei kosten. Misschien is de abuse desk daar 1 van.

@Alex de Joode: Ik begrijp dus niet dat een netwerk van 500+ Gbps een andere moeilijkheidsgraad is dan een netwerk dat 500 Mbps doet. Abuse klachten gaat over het algemeen over 1 server of 1 site of in het ergste geval 1 klant. Het aantal servers of sites is dan voor het oplossen niet relevant. Het betekent alleen dat je meer personeel nodig hebt als je 22.000 servers host dan een club die er 5000 host. Het is onzin dat de complexiteit van het netwerk het oplossen van abuse meldingen ineens lastig maakt.
22-01-2010, 18:47 door Anoniem
http://www.security.nl/artikel/31967/LeaseWeb_sluit_eindelijk_berucht_malware_domein.html

Voorlopig is dit domein nog steeds online AFAIK
22-01-2010, 23:34 door Anoniem
Wij hosten een aantal jaar bij Leaseweb en daarvoor bij twee andere grote providers en we hosten ook nog bij een andere partij.
Op twee server servers, een bij Leaseweb runnen webcrawlers die elk vele miljoenen webpagina's per dag bezoeken.

Van de vier grote providers kregen we van twee vorige providers nooit abuse mailtjes. Van Leaseweb en de andere provider komen regelmatig abuse mailtjes binnen van webmasters die denken dat hun infrastructuur of website aangevallen wordt door b.v. een Trojan. 95% van deze klachten zijn totale onzin en komen meestal van webmasters die niet goed in hun log files van firewall of website hebben gekeken. De andere 5% waren ook geen aanval maar aanroepen van b.v. pagina's die niet bestaan door een fout in de HTML/URL parser meestal door fouten in de HTML code of een aanroep van een pagina die niet bezocht mag worden door een fout in de robots.txt parser meestal door een fout in de robots.txt syntax.

Leaseweb laat de server aanstaan en forward de klacht de andere provider zet meestal eerst de server uit en gaat dan een mail sturen waar ze er vanuit gaan dat je server geinfecteerd is.

Leaseweb heeft dus een nette afhandeling van klachten en gezien de hoeveelheid onzin klachten kan ik ook begrijpen dat twee van de vier providers er niets mee deden naar hun klanten toe.
25-01-2010, 09:51 door Anoniem
Door Predjuh: ieder kent zijn eigen verantwoordelijkheden, zij faciliteren de ruimte en de verbinding dat wil nog niet zeggen dat zij er op toe moeten zien dat alles wat er gebeurt op de door hun gefaciliteerde systeem legaal is. Daar zijn andere instanties voor bedoeld. Tevens ben je als gebruiker verplicht op te hoogte te zijn van de regelgeving die van toepassing zijn, ben je dat niet dan heb je dus kan dat je je voor de rechter zult moeten verantwoorden.

het lijkt mij trouwens ook een ondoenlijke zaak om alles wat draait op de gefaciliteerde ruimte te toetsen aan de regelgeving.

Klein-rusland is dan ook een vergelijking die bij lange na niet toepassing is. Daarnaast is het niet aan de security officer om daarop in te springen, de security officer moet zorg dragen voor de beveiliging van "het bedrijf Leaseweb" zodat hun werk, hun data en die van de klanten bescherm wordt en blijft.

Eens, zij zijn niet verantwoordelijk voor de controle van de content op de server. Echter als er klachten binnen komen dat er illegale praktijken plaatsvinden via hun verbindingen en/of servers dan is het wel degelijk aan hen om daar actie op te ondernemen.
De security officer bij LeaseWeb is volgens de persberichten aangenomen om ook dit soort praktijken tegen te gaan, dus vandaar dat ik deze titel aanhaalde.
25-01-2010, 20:48 door Anoniem
Door Anoniem: Van de vier grote providers kregen we van twee vorige providers nooit abuse mailtjes. Van Leaseweb en de andere provider komen regelmatig abuse mailtjes binnen van webmasters die denken dat hun infrastructuur of website aangevallen wordt door b.v. een Trojan. 95% van deze klachten zijn totale onzin en komen meestal van webmasters die niet goed in hun log files van firewall of website hebben gekeken. De andere 5% waren ook geen aanval maar aanroepen van b.v. pagina's die niet bestaan door een fout in de HTML/URL parser meestal door fouten in de HTML code of een aanroep van een pagina die niet bezocht mag worden door een fout in de robots.txt parser meestal door een fout in de robots.txt syntax.

Leaseweb laat de server aanstaan en forward de klacht de andere provider zet meestal eerst de server uit en gaat dan een mail sturen waar ze er vanuit gaan dat je server geinfecteerd is.

Leaseweb heeft dus een nette afhandeling van klachten en gezien de hoeveelheid onzin klachten kan ik ook begrijpen dat twee van de vier providers er niets mee deden naar hun klanten toe.

Ik snap niet hoe er 95% false meldingen kunnen optreden. Ik doe security voor een provider van vergelijkbare grote als Leaseweb (in verkeer). Ik zie ongeveer 250 meldingen per dag langskomen en die worden door 1 persoon (in deeltijd) gecontroleerd en afgehandeld. Er gaat dan 1 mailtje naar de verantwoordelijke persoon (voor de aansluiting) en die ruimt de rommel op en meldt dat terug. Ik geloof dat ik eerder op 0,95% valse meldingen komt dan 95%. Oja, dan tel ik de copyright meldingen niet mee, want die zorgen in hun eentje voor meer false meldingen dan scans, botnets e.d.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.