Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Botnet aangestuurd vanuit LeaseWeb netwerk

  • Door
  • Veenman
  • geplaatst op
  • 25 januari 2010 08:03 uur

Vanuit het netwerk van het Nederlandse LeaseWeb en vier Amerikaanse providers werd het Pusdo-botnet aangestuurd. Atif Mushtaq van FireEye Malware Intelligence Lab wist het botnet te infiltreren. Een maand lang heeft Mushtaq bestudeert hoe het botnet onder de motorkap werkt. Daarbij ontdekte hij dat de Command & Control servers bij vijf verschillende providers waren ondergebracht.

Mushtaq kreeg op zijn verzoek van één van de vijf providers (SoftLayer), de mogelijkheid om gedurende korte tijd  – voor dat alle C&C-servers uit de lucht werden gehaald – toegang tot zo’n server. In het artikel dat Mushtaq op zijn blog schreef over de kwestie, meldt hij dat door alle vier de Amerikaanse providers de C&C-servers op 18 januari uit de lucht waren gehaald. Alleen twee IP-adressen binnen het LeaseWeb netwerk waren op 22 januari nog niet uit de lucht. Kort na publicatie gebeurde dat alsnog.

Op Security.nl reageren verschillende bezoekers weinig verbaasd op het feit dat LeaseWeb als laatste de C&C-servers offline haalt. Een anonieme reageerder stelt: “Leaseweb is al veel vaker geattendeerd op het feit dat er ook menig Zeus server gehost werd. Na diverse meldingen werd er contact opgenomen en vervolgens werd er niets met de aangeleverde informatie gedaan. Een ‘dankjewel’ was teveel moeite.”. LeaseWeb security officer Alex de Joode laat in een reactie op Security.nl weten dat verschillende melders klagen over het feit dat er geen terugkoppeling wordt gegeven op klachten. Daar wordt volgens hem aan gewerkt.

Eric, 25 januari 2010 9:44 am

Met het aantal servers dat LeaseWeb host stijgt ook de kans op rotzooi in je netwerk, dat kan je hen moeilijk aanrekenen.

Lange reactietijd bij een takedown notice en geen terugkoppeling is dan wel weer slordig.

Alex de Joode, 25 januari 2010 12:04 pm

Over deze sites zijn nimmer abuse klachten binnen gekomen, LeaseWeb heeft de servers binnen 30 minuten, nadat we van dit 'gebruik' op de hoogte zijn gebracht, offline gehaald.

Natuurlijk hebben we FireEye gevraagd waarom ze bij ons geen abuse melding hebben aangemaakt, hun reactie:

"As we stated in the post, we have not notified any service provider; and we do not do that in general. We only notified SoftLayer (due to partner relations with them); and primarily to move on our research objective of obtaining access to the C&C server."

Jeeves_, 25 januari 2010 1:40 pm

@Eric: Das natuurlijk onzin. Je blijft altijd verantwoorlijk voor wat er in je netwerk gebeurt. Als je groeit, moet je abuse-afdeling meegroeien. Kies je ervoor dat niet te laten gebeuren, dan trek je automatisch troep aan. Dat heeft Leaseweb in het verleden gedaan en zijn ze dus zelf verantwoordelijk voor.

Gelukkig is Leaseweb een heel eind de goeie kant op aan het gaan, nu de afhandelingssnelheid nog even.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.