Nieuws
image

HCCnet.nl op blacklist door gehackte gebruiker

zaterdag 4 september 2010, 13:47 door Redactie, 10 reacties

Door de acties van een gehackte gebruiker is de website home.hccnet.nl op zowel de blacklist van Norton als Firefox terechtgekomen. Op home.hccnet.nl draaien de persoonlijke websites van HCC-leden. Een HCC-lid liet Security.nl weten dat een deel van zijn website die op home.hccnet.nl stond, door Norton als onveilig werd aangemerkt. Het lid belde de helpdesk van HCC, waar hij kreeg te horen dat er een onveilig script op zijn website stond. Hetzelfde script gebruikte hij ook bij een andere provider en daar verscheen geen melding. De waarschuwing dook ook op bij de sites van andere HCC-gebruikers. "Dit bewijst dat het niets met mijn gegevens te maken heeft en het probleem primair bij HCC ligt", aldus het lid.

Wie via Norton Save Web op home.hccnet.nl zoekt krijgt inderdaad de waarschuwing dat er een drive-by download is aangetroffen. Het zou gaan om het bestand http://home.hccnet.nl/l.pfaff. In dit geval slaat ook Firefox alarm dat de website op 15 augustus een Trojaans paard bevatte.

"Denkend dat dit goede aanvullende informatie voor HCC zou zijn, belde ik vervolgens nogmaals hun helpdesk. Ik kreeg weer dezelfde persoon aan de lijn die in plaats van dankbaarheid voor mijn aanvullende informatie mij afscheepte met een verhaal over foute Norton meldingen. En dat het een heel omvangrijk systeem betreft wat heel veel tijd vergt om te onderzoeken", aldus het HCC-lid.

Phishing
Security.nl nam contact op met HCC, dat laat weten dat de melding door een geïnfecteerd bestand werd gegenereerd, dat op een persoonlijke website van één van de leden stond. "Dit bestand is donderdag door de beheerders van HCC!net preventief verwijderd", zegt Joris Hoogland, portalmanager bij de HCC. "HCC!net kent tienduizenden persoonlijke websites van leden, deze worden actief gescand op aanvallen van buitenaf en waar nodig wordt hier zo snel mogelijk op geanticipeerd. Het komt voor dat mensen in gaan op phishingmails, waardoor hackers toegang krijgen tot de persoonlijke webruimte van het betreffende lid. Helaas kunnen wij dit niet voorkomen, en alarmeert Norton in deze gevallen dat hccnet.nl in het algemeen onveilig is."

Volgens Hoogland is de melding die bij de helpdesk binnenkwam wel onderzocht. "Wellicht is hierover een misverstand geweest. Ik heb melding gemaakt over het feit dat dit misverstand is ontstaan en verzocht in het vervolg nog secuurder te zijn in de informatievoorziening naar onze leden."

Reacties (10)
04-09-2010, 14:44 door Anoniem
"Dit bestand is donderdag door de beheerders van HCC!net preventief verwijderd"

Deze uitspraak is onzin die een weerspiegeling is van een grote inschattingsfout. Als ergens malware wordt aangetroffen mag je ervan uitgaan dat er besmettingen hebben plaatsgevonden. Dat kun je in dit geval zien aan de logs van de web server. Er is van preventie geen sprake.

Een besmetting heeft ook een oorzaak. Als je niet de moeite neemt om die om te sporen en weg te nemen, dan heb je nog weinig gedaan en zeker niets aan de mogelijkheid van herhaling gedaan. Mogelijke oorzaken zijn: gestolen wachtwoord door keylogging op client of server, makkelijk te raden wachtwoord (de server beheerder dient maatregelen te treffen tegen dictionary attacks) of een inbraak op de server.

Er moet tevens een abuse email adres worden geregistreerd voor hccnet.nl bij abuse.net, zoals te doen gebruikelijk.
05-09-2010, 11:38 door Anoniem
Helpdesk medewerkers dienen goed geschoold te worden in communicatieve vaardigheden. Dat is welhaast nog belangrijker dan het hebben van veel technische kennis.
05-09-2010, 14:51 door Anoniem
mooi verhaal van HCCnet; een gebruiker heeft op zijn persoonlijk site een stukje malware en toch komt de melding van een bestand (schijnbaar) uit de webroot van de webfarm. Beetje dubieus, of niet?
06-09-2010, 08:44 door M_iky
Dit lijkt wel verdacht veel op volgend verhaal? [http://isc.sans.edu/diary.html?storyid=9499]. En verslaggever van dienst trekt toch een lichtjes andere conclusie?
06-09-2010, 12:22 door Anoniem
"Dit bestand is donderdag door de beheerders van HCC!net preventief verwijderd"
Er staat op dit moment wel degelijk een bestand met die naam. De inhoud is krakkemikkige HTML die reclame maakt voor internetdiensten van iemand die vooral goed lijkt te zijn in zichzelf aanprijzen. Ik zie zo op het oog niets schadelijks erin staan, maar hij bevat wel een link naar de website van die persoon (niet bij hccnet), die volgens Google Safe Browsing zelf weer verdacht is.

Schadelijk of niet, een file als deze zou je niet verwachten in de rootdirectory van home.hccnet.nl, dat is geen persoonlijke webruimte van een lid. Als ze hem, zoals ze zeggen, hebben verwijderd is hij even hard weer teruggeplaatst. Dit wekt niet de indruk dat de beveiliging van die server in orde is.
06-09-2010, 14:49 door grizzler
Door Anoniem: Schadelijk of niet, een file als deze zou je niet verwachten in de rootdirectory van home.hccnet.nl, dat is geen persoonlijke webruimte van een lid.
Maar dit bestand komt wel degelijk uit de persoonlijke webruimte van dat lid (ene l.pfaff). Het is gewoon zijn index.html. Die krijg je immers als je de opgegeven url gebruikt (al hoort er eigenlijk nog een / achter, maar elke fatsoenlijke webserver kan het weglaten daarvan aan).
06-09-2010, 15:23 door Anoniem
Ik begrijp de ophef niet helemaal. Een lid geeft zijn wachtwoord aan phishers (waarschijnlijk) en een spammer voegt aan zijn index.html op zijn persoonlijke homepage een scriptje toe in de geest van "include http:||rotzakjes.com/rotstreekje.js". En zo te horen is dat include statement afgelopen donderdag uit zijn homepage weggesneden. En ik hoop ook dat zijn account op slot is gezet opdat zijn homepage niet opnieuw 'verbeterd' kan worden door derden. Waar hebben we het dan over? Als je op dit moment zijn homepage controleert staat er niets 'scheefs' in die homepage. En kennelijk eerder wel. Dus laten we het daarom eens hebben over Norton Safeweb dat na vijf dagen nog moord en brand schreeuwt dat 'home.hccnet.nl' besmet is. Wat een prutsdienst is dat zeg. Waar dan?
06-09-2010, 15:25 door [Account Verwijderd]
[Verwijderd]
07-09-2010, 09:45 door Patio
@Hyper, kennelijk wel. Met de privacy hebben ze het nooit zo nauw genomen en ze weten het altijd zo te draaien dat de leden/klanten de schuld krijgen van "ongeregeldheden". Daarom ben ik al jaren geen lid meer.
13-04-2011, 07:30 door Anoniem
Wij hebben hetzelfde gekonstateerd. Het is nog steeds niet verwijderd door hcc. Van één bedrijf krijgen wij helemaal geen bericht meer. "Alles komt terug"zegt bedrijf.3GF
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure