Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Kwart webhosters heeft open recursive nameservers

  • Door
  • Veenman
  • geplaatst op
  • 23 november 2009 08:05 uur

DirectAdminUit onderzoek van ISPam.nl blijkt dat veel webhosters in de Benelux hun zaakjes technisch niet op orde hebben. De nameservers van een kwart van de webhosters zijn open recursive. Deze beantwoorden DNS-queries niet alleen van eigen domeinnamen, maar ook van willekeurige anderen. Open recursive nameservers kunnen worden misbruikt om DDoS-aanvallen te starten.

Het onderzoek is uitgevoerd op basis van de websites van de 953 webhosters die staan vermeldt in ISPGids.com. Via de éérste nameserver die de eigen website van de webhosters gebruiken is geprobeerd om het A-record van google.nl op te vragen. Van de 953 nameservers, kregen we 37 keer helemaal geen response, 699 keer wel reactie maar zonder het bijbehorende A-record en maar liefst 217 nameservers gaf keurig het A-record van google.nl terug en is dus open recursive.

Van de open recursive nameservers hebben we gekeken welke controle paneel er wordt gebruikt. Hiervoor is gekeken de van de verschillende controle panelen bekende poorten op de bewuste servers open staan. We hebben hierbij gecontroleerd op 4 populaire controle panelen: DirectAdmin, Cpanel, Plesk en Webmin. Totaal kon in 134 gevallen het controle paneel worden vastgesteld. Het meeste kwam DirectAdmin voor op 104 servers, daarna volgden Cpanel op 14 servers, Plesk op 13 servers en Webmin op 3 servers.

Het feit dat er tenminste helft van de open recursive nameservers sprake is van een standaard controle paneel. Doet vermoeden dat veel webhosters hun servers online zetten met een standaard controle paneel. Daarna wordt gedacht dat alles wel goed komt. Er is dus werk aan de winkel voor een groot aantal webhosters. Om precies te zijn 217 webhosters!

Google Chart

Google Chart

Victor, 23 november 2009 9:50 am

Namen en rugnummers aub. Ook van diegene die hun zaakjes wel erg goed op orde hebben. Op die manier zal kunnen wij zelf onze bedrijfstak ontdoen van prutsers!

Victor, 23 november 2009 9:51 am

Oja, en niet alleen van dit onderzoekje. Maar elke week een ander onderzoekje, zowel technisch als commercieel. Dan kom je vanzelf tot een schifting. :)

Sebastiaan Stok, 23 november 2009 10:22 am

Voor mensen die meer informatie willen hoe je Bind kan beveiligen:
http://www.cymru.com/Documents/secure-bind-template.html

En voor te testen (die geen andere server hebben):
http://www.kloth.net/services/dig.php

Daniel, 23 november 2009 11:18 am

En dan heb je nog de categorie die wel een A-record retourneren, maar (bewust) het verkeerde:

$ dig @ns0.transip.net www.google.com +short
80.69.67.32

$ dig -x 80.69.67.32 +short
this.domain.is.not.known.

*zucht*

Daniel, 23 november 2009 11:19 am

zonder http:// dus :P

Sebastiaan Stok, 23 november 2009 11:24 am

dig @rollerscapes.net www.google.com

Ga je gang ;)

Sebastiaan Stok, 23 november 2009 11:25 am

Wel alle :|

dig @rollerscapes.net www.google.com

Sebastiaan Stok, 23 november 2009 11:25 am

Oh dat komt door die UBB parser :p

jw, 23 november 2009 11:34 am

ahum, je bedrijfje op ispgids kan ook weleens anders uitpakken he..

Wido, 23 november 2009 12:05 pm

Tja, dit is natuurlijk gewoon wat er al lange tijd gebeurd (zijn we als hosters ook deels schuldig aan!), controle paneel er op en draaien maar.

Tegenwoordig is een dedi / VPS draaien zo makkelijk en goedkoop, we gooien er DA op en we zijn een "hoster"!

Als ISP's zijn we hier zelf schuldig aan door erg makkelijk controle panelen te leveren bij dedi's en VPS'en, we willen immers verkopen, dus het is commercie. Maar zo worden je eigen klanten wel concurrent van je.

Dit kende ik idd al langer, zo is DA out of the box een open relay, erg gevaarlijk.

Mark, 23 november 2009 2:33 pm

Wido: Daarom kun je ook standaard andere configs mee leveren om dit soort problemen te voorkomen.

Het is natuurlijk niet handig dat dit soort dingen out of the box niet veilig draaien.

Marco, 23 november 2009 6:37 pm

Voor registrars van SIDN is er natuurlijk de maandelijkse DNS rapportage die aangeeft welke nameservers open recursive resolvers zijn. Maak daar gebruik van, zou ik zeggen.

Arjan, 23 november 2009 9:56 pm

Voor de collega's welke het hard kunnen gebruiken, intodns.com is een ideale site om de DNS eens door te lichten. Zie je direct wat beter kan.

Wat overigens ook heel erg vaak voor komt is dat 1 server dienst doet voor het invullen van de shared hosting maar ook functioneert als zijnde de nameservers. Dit veelal zelfs in dezelfde C klasse maar in sommige gevallen worden hiervoor IP's uit verschillende ranges op 1 server ingesteld. Gevolg is dat als de shared hosting bak door een storing niet bereikbaar is, ook de DNS records niet meer bereikbaar zijn..... Ideaal voor bedrijven welke lokaal bijvoorbeeld nog een Exchange server draaien!!

Zoals Wido al aangeeft, tegenwoordig zijn er inderdaad erg veel partijen welke zich met 1 Colo, Dedi of VPS-server al een ISP/Hoster noemen. Iedereen zijn manier om geld bij te verdienen, wij merken echter regelmatig dat mensen hierdoor angstig worden om vervolgens nog met een (echte) ISP/Hoster zaken te doen.

Jeroen, 24 november 2009 11:09 am

En dit soort misbruik van mijn vermelding/gegevens in ISPgids.com is voor mij een reden om me daaruit te laten verwijderen.. what's next? Erg zorgelijk Arnout :(

Sebastiaan Stok, 24 november 2009 11:22 am

Kom op nou, er worden hier geen namen genoemd of iets en anders hadden ze die informatie wel ergens anders vandaan kunnen halen :p

Ik vind dit alleen maar goed, want het schut je goed wakker over wat er in de hosting branche allemaal fout zit/gaat.

Dave, 24 november 2009 4:04 pm

Jeroen, alsof jouw tent in het artikel genoemd wordt. Je wilt toch immers van je fouten leren? Ik als klant ga echt niet bij een tent mijn hosting neerzetten, welke alles gedoogd wilt houden.

Ik vind het juist erg goed en ik zie liefst een lijst met partijen. Bij partijen als die van Jeroen wordt ik in ieder geval nooit klant. Ik wil openheid, dan ben ik ook bereid behoorlijk te betalen.

En als partijen uit ISPgids.com zich laten verwijderen, des te beter. Weet ik ook exact waar ik vooral NIET zaken mee moet doen.

Transip, waar ik enkele domeinen heb geregistreerd, mag wel eens aan hun DNS servers sleutelen. Dat lijkt dus niet helemaal oke te zijn.

Dennis, 24 november 2009 7:09 pm

Wellicht over een maand deze test nogmaals uitvoeren? En dan bekijken hoeveel hosters hun config hebben aangepast:)

Arjan, 24 november 2009 10:22 pm

@Jeroen; Voel je jezelf aangevallen? Waarom zal Arnout geen onderzoek mogen doen onder de partijen welke op ISPGids.com staan?

Zie het positief: Indien je met dit probleem kampt, laat dit artikel dan de aanzet geven tot het aanpassen van je configuratie.

Jeroen, 25 november 2009 8:57 am

@Dave:
Voordat je ongefundeerde uitspraken doet: ik behoor tot de lijst die zijn zaakjes wel op orde heeft.

@Arjan:
Ik voel me niet aangevallen, maar ik heb me niet aangemeld op ISPgids.com om vervolgens uitgepluist te worden door een partij die enkel voor nieuwswaarde gaat. Wat is het volgende? Arnout die iedereen gaat bellen of ze hun colocatie/reseller pakket niet bij iemand anders willen afnemen?

Dave, 25 november 2009 3:43 pm

@Jeroen
Het gaat er even niet om of je wel of niet jouw zaakjes op orde hebt, maar om openheid omtrent dit soort cruciale zaken richting de buitenwereld. Over ongefundeerd gesproken: de tekst "ik behoor tot de lijst die zijn zaakjes wel op orde heeft" is ook vrij kansloos. Laat dan ook maar zien, dat je je zaakjes op orde hebt, want je bent echt niet de enige die het roept.

Blijkbaar heb je daar toch wel problemen mee, als iemand graag even uitzoekt of het wel goed zit. Maar neem maar van mij aan: met deze houding kom je niet ver.

Arnout Veenman, 25 november 2009 4:26 pm

@Jeroen, ISPGids.com is er juist opgericht om de kwaliteit van ISP's en webhosters inzichtelijk te maken. Daarom verzamelen we ook ervaringen van klanten. Dit soort onderzoeken passen precies binnen die doelstelling. Op dit moment ben ik bezig om nog een aantal andere onderzoeken te doen.

Wat betreft het noemen van namen en rugnummers. Ik heb er bewust voor gekozen om die (nog) niet te noemen. Het doel was in eerste instantie bewustwording. Ik heb zo'n vermoeden dat velen van de partijen die open recursive nameservers hebben zich daar (tot nu toe) helemaal niet van bewust waren. Dit is daarom bedoelt als wakeup-call. Ik sluit niet uit dat wanneer ik het onderzoek herhaal. Dat ik dan wel bekend ga maak om welke partijen het gaat.

@de rest, bedankt voor het bijvallen. :)

Jeroen, 26 november 2009 10:25 am

@Arnout:
Prima dat je de branche wilt wakker schudden, overigens ben ik van mening dat je niet eens hoort te "slapen" maar altijd bezig moet zijn met zaken als security etc.

Mijn excuses aan Arnout en zijn volgers aangezien ik blijkbaar de enige ben die er zo over denkt :)

  • Pingback: server updaten en direct admin updaten + tweaks/beveiligingslekken - Pagina 3 - webhostingtalk.nl

  • Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.