ISPAM

Botnet aangestuurd vanuit LeaseWeb netwerk

Arnout Veenman op 25 januari 2010 08:03 in Illegaal
Tags: , , ,
ISP's (beta): LeaseWeb

Vanuit het netwerk van het Nederlandse LeaseWeb en vier Amerikaanse providers werd het Pusdo-botnet aangestuurd. Atif Mushtaq van FireEye Malware Intelligence Lab wist het botnet te infiltreren. Een maand lang heeft Mushtaq bestudeert hoe het botnet onder de motorkap werkt. Daarbij ontdekte hij dat de Command & Control servers bij vijf verschillende providers waren ondergebracht.

Mushtaq kreeg op zijn verzoek van één van de vijf providers (SoftLayer), de mogelijkheid om gedurende korte tijd  – voor dat alle C&C-servers uit de lucht werden gehaald – toegang tot zo’n server. In het artikel dat Mushtaq op zijn blog schreef over de kwestie, meldt hij dat door alle vier de Amerikaanse providers de C&C-servers op 18 januari uit de lucht waren gehaald. Alleen twee IP-adressen binnen het LeaseWeb netwerk waren op 22 januari nog niet uit de lucht. Kort na publicatie gebeurde dat alsnog.

Op Security.nl reageren verschillende bezoekers weinig verbaasd op het feit dat LeaseWeb als laatste de C&C-servers offline haalt. Een anonieme reageerder stelt: “Leaseweb is al veel vaker geattendeerd op het feit dat er ook menig Zeus server gehost werd. Na diverse meldingen werd er contact opgenomen en vervolgens werd er niets met de aangeleverde informatie gedaan. Een ‘dankjewel’ was teveel moeite.”. LeaseWeb security officer Alex de Joode laat in een reactie op Security.nl weten dat verschillende melders klagen over het feit dat er geen terugkoppeling wordt gegeven op klachten. Daar wordt volgens hem aan gewerkt.

Print This Post



Gerelateerde atikelen (automatisch geselecteerd)


Abonneer op de ISPam.nl RSS Feed

3 Reacties op “Botnet aangestuurd vanuit LeaseWeb netwerk”

Eric op 25 januari 2010 om 09:44

Met het aantal servers dat LeaseWeb host stijgt ook de kans op rotzooi in je netwerk, dat kan je hen moeilijk aanrekenen.

Lange reactietijd bij een takedown notice en geen terugkoppeling is dan wel weer slordig.

Alex de Joode op 25 januari 2010 om 12:04

Over deze sites zijn nimmer abuse klachten binnen gekomen, LeaseWeb heeft de servers binnen 30 minuten, nadat we van dit ‘gebruik’ op de hoogte zijn gebracht, offline gehaald.

Natuurlijk hebben we FireEye gevraagd waarom ze bij ons geen abuse melding hebben aangemaakt, hun reactie:

“As we stated in the post, we have not notified any service provider; and we do not do that in general. We only notified SoftLayer (due to partner relations with them); and primarily to move on our research objective of obtaining access to the C&C server.”

Jeeves_ op 25 januari 2010 om 13:40

@Eric: Das natuurlijk onzin. Je blijft altijd verantwoorlijk voor wat er in je netwerk gebeurt. Als je groeit, moet je abuse-afdeling meegroeien. Kies je ervoor dat niet te laten gebeuren, dan trek je automatisch troep aan. Dat heeft Leaseweb in het verleden gedaan en zijn ze dus zelf verantwoordelijk voor.

Gelukkig is Leaseweb een heel eind de goeie kant op aan het gaan, nu de afhandelingssnelheid nog even.



Iets te melden? Reageer!
Uw naam *
 E-mail adres *
 Uw website
 Uw reactie *
Foutje in het artikel geslopen? Stuur een e-mail naar redactie@ispam.nl


Reageren op ISPam.nl is leuk en dat moet het ook blijven. Reageer daarom enkel op het onderwerp dat besproken wordt en niet op het artikel zelf of de auteur. Spelfouten, klachten en andere zaken die niet over het onderwerp van het artikel gaan kunnen gemeld worden via redactie@ispam.nl. Let zelf ook op de stijl en spelling van je reactie. Hou het netjes, gebruik geen schuttingtaal, speel niet onnodig op de man en hou het gezellig. Reacties die hier niet aan voldoen worden zonder pardon verwijderd en leveren in het ergste geval een IP-ban op!
advertenties

Ontvang ISPam.nl per e-mail

Vul je e-mail adres in:


of abonneer op de ISPam.nl RSS Feed