Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties, 34.637 views •
Submitter: Punked24

Onbekende aanvallers hebben ingebroken op de supportservers van cPanel, software die door hostingproviders wordt gebruikt om meerdere websites op dezelfde server te hosten. Wie is geholpen door de supportafdeling, dient zijn wachtwoord te wijzigen.

cPanelCPanel heeft nog geen verklaring uitgegeven over de aanval; het bedrijf brengt de aanval aan het licht in een mail aan klanten die de afgelopen zes maanden contact hebben opgenomen met de supportafdeling en die is ontvangen door tweaker Punked24. In de mail schrijft cPanel dat een van de servers op de supportafdeling is gekraakt. Een medewerker van cPanel bevestigt de legitimiteit van de mail op het officiële supportforum.

De precieze omvang van de aanval is niet duidelijk, maar het bedrijf raadt gebruikers aan om hun rootwachtwoorden te wijzigen als die zijn gebruikt door de supportafdeling. "We weten nog niet alles van de aanval, dus vragen we onze klanten om direct actie te ondernemen", schrijft het beveiligingsteam van cPanel. Gebruikers die in plaats van wachtwoorden cryptografische sleutels gebruiken om in te loggen op ssh, hoeven geen actie te ondernemen.

Het nieuws komt op het moment dat een rootkit de ronde doet die zich richt op Cent OS- en Cloud Linux-systemen waar cPanel op geïnstalleerd is. Of het een iets met het ander te maken heeft, is onbekend. CPanel is software die wordt gebruikt door hostingproviders om meerdere websites op dezelfde server te hosten. Vergelijkbare softwarepakketten zijn Plesk, DirectAdmin en Ensim.

Reacties (18)

Ik vold de thread op WebHostingTalk al dagen en het lijkt erop dat de hackers initieel servers binnen komen mbv passwords/keys die ze met de exploit bemachtigen. .Daarna gaat het snel verkeerd, er wordt vanalles geinstalleerd (waaronder tools die weer van alle inlogs op de server l/p doorgeven)..

Naar nu blijkt is 1 van de support pc's bij cPanel zelf geďnfecteerd geweest, en die is gebruikt om voor klanten problemen op hun pc's op te lossen, kan dus om veel systemen gaan.

In eerste instantie werd gedacht aan een gat in openSSH, maar al snel leek het er toch op dat de eerste toegang tot de server mbv een desktop hack/exploit tot stand kwam.

Als je een dag niets te doen hebt, op dit moment 85 pagina's lang:
http://www.webhostingtalk.com/showthread.php?t=1235797

Voor zover nu bekend is dit de exploit die wordt geinstalleerd:
http://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229

Grootste nadeel is dat de servers waarop de exploit terecht is gekomen vanaf 0 opnieuw moeten worden opgebouwd omdat nog onbekend is wat er allemaal door de exploit wordt aangepast.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True