Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 18, views: 34.621 •
Submitter: Punked24

Onbekende aanvallers hebben ingebroken op de supportservers van cPanel, software die door hostingproviders wordt gebruikt om meerdere websites op dezelfde server te hosten. Wie is geholpen door de supportafdeling, dient zijn wachtwoord te wijzigen.

cPanelCPanel heeft nog geen verklaring uitgegeven over de aanval; het bedrijf brengt de aanval aan het licht in een mail aan klanten die de afgelopen zes maanden contact hebben opgenomen met de supportafdeling en die is ontvangen door tweaker Punked24. In de mail schrijft cPanel dat een van de servers op de supportafdeling is gekraakt. Een medewerker van cPanel bevestigt de legitimiteit van de mail op het officiële supportforum.

De precieze omvang van de aanval is niet duidelijk, maar het bedrijf raadt gebruikers aan om hun rootwachtwoorden te wijzigen als die zijn gebruikt door de supportafdeling. "We weten nog niet alles van de aanval, dus vragen we onze klanten om direct actie te ondernemen", schrijft het beveiligingsteam van cPanel. Gebruikers die in plaats van wachtwoorden cryptografische sleutels gebruiken om in te loggen op ssh, hoeven geen actie te ondernemen.

Het nieuws komt op het moment dat een rootkit de ronde doet die zich richt op Cent OS- en Cloud Linux-systemen waar cPanel op geïnstalleerd is. Of het een iets met het ander te maken heeft, is onbekend. CPanel is software die wordt gebruikt door hostingproviders om meerdere websites op dezelfde server te hosten. Vergelijkbare softwarepakketten zijn Plesk, DirectAdmin en Ensim.

Reacties (18)

Wie is geholpen door de supportafdeling, dient zijn wachtwoord te wijzigen.
Dat krijg je als een bedrijf om je wachtwoord vraagt. Wanneer er op basis van public/private certificaten was gewerkt, was dit nooit gebeurd. Dan kun je bij een supportaanvraag gedurende korte tijd toestaan dat cPanel met hun certificaat in kan loggen, en hoef je helemaal geen wachtwoorden af te staan. Schijnbaar gebeurde dit wel:
Gebruikers die in plaats van wachtwoorden cryptografische sleutels gebruiken om in te loggen op ssh, hoeven geen actie te ondernemen.
Maar dit had gewoon standaard moeten zijn.
Normaliter wel, maar dan alleen als je direct de Key van cPanel eraf had gegooit. Van wat er nu bekend is is de exploit dusdanig dat hij de volledige keypair doorgaf (exploit draaide immmers al aan de kant van de private key, de public kon zo van de server worden gewipt)
Onzin? Ik zou mezelf even beter informeren voordat je deze conclusie trekt.

In principe is je private key veilig. Totdat je eigen workstation dus mbv een exploit deze deelt. En de public key staat op de server .. dan kan je er toch in?

Wat je bij B meldt is niet het geval. Wanneer je aan cPanel hun public key opvraagt kan je die via de cPanel software op je eigen server/vps heel gemakkelijk toevoegen (en weer verwijderen). Het aanpassen van een wachtwoord zodra er een derde er klaar mee is lijkt me per definitie een goed idee. In dit geval zou alleen de infectie op de achergrond al kunnen hebben plaatsgevonden, aangezien deze geautomatiseerd lijkt.

Verder wat je meldt bij punt C is nl niet het geval: er is geen databreach waarbij ze een hele lijst gegevens op hebben gepakt, de exploit geeft realtime tijdens het gebruik van een password of key deze realtime door.

En ik lees nu pas je punt D .. .volgens mij ben je gewoon aan het trollen.. nevermind .
Kan je aanraden om de WHT thread te lezen. Het heeft nl lang niet zoveel met cPanel te maken als jij nu doet voorkomen.

Er is OOK een cPanel workstation met die exploit gŰinfecteerd geraakt. OOK. En over die workstation gaan relatief veel key/passwords heen aangezien ze vanaf daar cPanel/server klanten helpen.

Er zijn echter ook servers van heren/dames ge´nfecteerd die niet door cPanel zijn geholpen de afgelopen 6 maanden, en waar uiteindelijk bleek dat ze ZELF ge´nfecteerd waren met de exploit.

WB je reactie op D dan: ik ging ervanuit dat dat op iets zou moeten zijn geweest dat ik getikt had, en ik kon er geen gehakt van maken ... nu blijkt waarom . .excuus voor de aantijging...

EDIT: ik lees net mn reactie.. voor de duidelijkheid dit is de flow van infectie:
1 - een werkstation/computer wordt geinfeceerd met een exploit
2 - die vangt alle l/p+keys af voor servers
3 - op die servers wordt vervolgens een hele vervelende SSHD exploit gezet
4 - die vervolgens alle l/p+key inlogpogingen op die server weer doorstuurt

Bij cPanel was 1 van toepassing . .maar dat gebeurde ook bij andere personen die servers beheren.

[Reactie gewijzigd door DonLexos op 22 februari 2013 16:25]

Hebben ze bij de supportafdeling de wachtwoorden dan? Klinkt niet erg veilig, iemand die weet hoe dat zit?
Nee dat zeker niet, maar als je een probleem hebt waarbij ze dieper moeten kijken dan een user account dan kan je die beveiligd doorgeven. Probleem is dat een werkstation van een medewerker de key/login/pass dus kennelijk weer doorgaf aan een derde ..

Merk op dat in de thread op WebHostingTalk ook verbanden werden gelegd met Facebook, Apple en andere die allemaal deze week interne hacks meldden. .. niet zozeer mbt het stelen van wachtwoorden, wel met het feit dat zelfs in dichtgetimmerde netwerken workstations alsnog (Java/Flash exploit?) kunnen worden geinfecteerd..

Lastig tegen te wapenen lijkt het
Ja, dat staat er toch:

maar het bedrijf raadt gebruikers aan om hun rootwachtwoorden te wijzigen als die zijn gebruikt door de supportafdeling.
Helemaal mee eens. Lijkt me dat ze dat uberhaupt altijd al roepen, dit lijkt meer damage control; er was ÚÚn systeem (voor zover bekend) ge´nfecteerd, en ik vermoed dat ze er meer hebben.

Derhalve is niet iedereen die door cPanel is geholpen direct mogelijk gehacked... maar er zit dus nergens een gat, als de SSHD exploit op je server terecht is gekomen doen ze dat mbv een eerder afgeluisterd login/wachtwoord. Derhalve kan het alsnog zin hebben om dat wachtwoord aan te passen.
Ik vold de thread op WebHostingTalk al dagen en het lijkt erop dat de hackers initieel servers binnen komen mbv passwords/keys die ze met de exploit bemachtigen. .Daarna gaat het snel verkeerd, er wordt vanalles geinstalleerd (waaronder tools die weer van alle inlogs op de server l/p doorgeven)..

Naar nu blijkt is 1 van de support pc's bij cPanel zelf ge´nfecteerd geweest, en die is gebruikt om voor klanten problemen op hun pc's op te lossen, kan dus om veel systemen gaan.

In eerste instantie werd gedacht aan een gat in openSSH, maar al snel leek het er toch op dat de eerste toegang tot de server mbv een desktop hack/exploit tot stand kwam.

Als je een dag niets te doen hebt, op dit moment 85 pagina's lang:
http://www.webhostingtalk.com/showthread.php?t=1235797

Voor zover nu bekend is dit de exploit die wordt geinstalleerd:
http://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229

Grootste nadeel is dat de servers waarop de exploit terecht is gekomen vanaf 0 opnieuw moeten worden opgebouwd omdat nog onbekend is wat er allemaal door de exploit wordt aangepast.
Ik heb een VPS bij Corgi Tech, Ik heb van hun een mail gehad met een link in naar het zelfde topic. Corgi Tech raad aan om met behulp van ip tables enkel de IP's toe te laten die je vertrouwt.

Het is dus geen lek in cPanel?

EDIT: Voor de ge´nteresseerde ik gebruik als firewall Shorewall (op Debian) dat is een cover over iptables. Is heel makkelijk in te stellen.

[Reactie gewijzigd door LEDfan op 22 februari 2013 15:36]

Het is inderdaad geen lek in cPanel.

Sowieso is werken met keypairs veiliger dan via password, en als je inderdaad een VPN hebt of statisch IP kan je overwegen om bepaalde zaken maar beperkt beschikbaar te maken.

Als je een cPanel (VPS) draait kan ik je de (gratis) firewall van ConfigServer zeker aanraden!:
http://www.configserver.com/cp/csf.html
Zoals ik lees is dit alleen voor RPM based linux distro's.
Eigenlijk meer over de CentOS/Redhat familie, zover ik lees. Niet alle RPM based distro's zijn familie van CentOS/Redhat.

[Reactie gewijzigd door d1ng op 22 februari 2013 15:59]

Er zjin gevallen van de exploit bekend op Debain, CentOS/RedHat & CloudLinux.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014