Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Submitter: johnkeates

Hackers hebben enige tijd de website van LeaseWeb beklad via een defacement. Vermoedelijk hebben de aanvallers via een sql-injectie een kwetsbaarheid in de WHMCS-admintool benut. LeaseWeb stelt dat er geen klantgegevens zijn buitgemaakt.

De website van LeaseWeb was zaterdag enige tijd defaced. De homepage toonde een Anonymous-afbeelding en een korte mededeling van het 'KDMS Team'. Niet iedere bezoeker van LeaseWeb kreeg de defacement te zien. Vermoedelijk was er sprake van dns hijacking, waardoor de domeinnaam van LeaseWeb tijdelijk naar een site van de aanvallers verwees.

LeaseWeb heeft via Twitter de aanval bevestigd en stelt de zaak te onderzoeken. De website is inmiddels weer normaal bereikbaar. Verder meldt de hoster dat er geen klantgegevens zijn buitgemaakt.

De aanvallers zouden gebruik hebben gemaakt van een kwetsbaarheid in de WHMCS-software, een populair adminpakket bij hostingbedrijven, zo meldt Hackersnews. Door het beveiligingslek kunnen aanvallers sql-injecties uitvoeren. Een dag eerder was de kwetsbaarheid in versies 5.1 en 5.2 van de WHMCS-software openbaar gemaakt, waarna de ontwikkelaar genoodzaakt was een patch uit te brengen.

Update 7/10, 13:40: LeaseWeb laat weten dat er sprake was van een dns hijack en dat het bedrijf helemaal geen gebruik maakt van WHMCS-software, maar van zelf ontwikkelde software voor het klanten-panel gebruikt. Alleen het leasweb.com-domein zou zijn getroffen.

Moderatie-faq Wijzig weergave

Reacties (44)

Ehm Leaseweb gebruikt geen WHMCS maar een zelf geschreven controlpanel.
De nameservers van Leaseweb.com waren aangepast.
backend van hun is wel degelijk whmcs maar heftig gemod.
waar jij op doelt is slechts frontend layout

aan layout alleen kan je niet altijd zien wat er draait
Zelf vinden ze van niet:

"Details of how exactly the hijack could have happened are not yet 100% clear at the moment of writing. Some media mentioned that a vulnerability in WHMCS-software might have been the culprit, but this cannot be the case. LeaseWeb uses its own in-house developed software for its customer panel, which does not seem to have been part of the security issue. Right now, it appears that the hijackers obtained the domain administrator password and used that information to access the registrar. We will continue to investigate this incident thoroughly and take decisive action accordingly."


http://blog.leaseweb.com/...-of-leaseweb-com-website/
Bron? Als dit waar is mag het nieuwsbericht daar wel op aangepast worden :)
Misschien gebruiken ze een "skin"?
Je weet het zeker, zonder enige motivatie of onderbouwing en met een knipoog die ook kan betekenen 'grapje'.
Is geen grapje.

Bron: Ik ken iemand die bij Leaseweb werkt :)

Daarbij komt dat WHMCS veel te log is voor een groot bedrijf zoals Leaseweb.
Aanpassingen zijn ook vrijwel niet mogelijk omdat alle PHP code gecodeerd is met Ioncube.
Xares heeft gelijk.
WHMCS wordt absoluut niet gebruikt door LeaseWeb op hun eigen website.

WHMCS was inderdaad enorm lek (en nu nog steeds trouwens, maar hun "security by obscurity" werkt toch enige vruchten af) maar dat maakt voor leaseweb geen verschil...

WHMCS is echt een totaal ander systeem.
Er zijn meerdere onderzoeken die aantonen dat Wikipedia een goede en betrouwbare bron is, alleen een -in feite- 'living document' als bron opgeven is natuurlijk not done in de wetenschap. De bronverwijzingen van een wiki entry zijn vrijwel zonder uitzondering een rijkdom van informatie en worden dan ook vaak gebruikt en correct geciteerd.

Zie dit, naar recursief neigende, artikel (op Wikipedia dus) en neem vooral een kijkje naar de publicaties en bronnen onderaan het artikel:
http://en.wikipedia.org/wiki/Reliability_of_Wikipedia

Quote:
"An early study in the journal Nature said that in 2005, Wikipedia scientific articles came close to the level of accuracy in Encyclopædia Britannica and had a similar rate of "serious errors".[2] The study by Nature was disputed by Encyclopædia Britannica,[3] and later Nature replied to this refutation with both a formal response and a point-by-point rebuttal of Britannica's main objections.[4] Between 2008 and 2012, articles in medical and scientific fields such as pathology,[5] toxicology,[6] oncology,[7] pharmaceuticals,[8] and psychiatry[9] comparing Wikipedia to professional and peer-reviewed sources found that Wikipedia's depth and coverage were of a high standard."

Bottomline, er staan fouten op wikipedia, maar deze worden véél sneller gecorrigeerd dan bij klassieke encyclopediën met als resultaat een encyclopedie waar net zo weinig fouten in staan als zijn bekende én betaalde concurrenten. Gebrek aan authoritiet betekend niet altijd gebrek aan betrouwbaarheid ;)

[Reactie gewijzigd door Kasparov13 op 7 oktober 2013 09:56]

Behalve dan op gebieden waar niet veel mensen veel van weten. Dan blijft een fout op Wikipedia (of elders op het internet) jaren staan en wordt ook regelmatig overgenomen. Voor bonuspunten: overgenomen zonder bronvermelding.
"Details of how exactly the hijack could have happened are not yet 100% clear at the moment of writing. Some media mentioned that a vulnerability in WHMCS-software might have been the culprit, but this cannot be the case. LeaseWeb uses its own in-house developed software for its customer panel, which does not seem to have been part of the security issue. Right now, it appears that the hijackers obtained the domain administrator password and used that information to access the registrar. We will continue to investigate this incident thoroughly and take decisive action accordingly."


http://blog.leaseweb.com/...-of-leaseweb-com-website/
Klopt, ik heb er een stage gelopen op de afdeling programming, ze gebruiken inderdaad een zelf gebouwt CMS.
Waarschijnlijk gebruikte de DNS provider WHMCS. Er staat in het artikel dat er DNS hijacking plaats gevonden heeft. Leaseweb zelf is dus niet gehackt (wat ik uit het artikel haal) ook al suggereert de titel anders (tenzij ze ook zelf DNS Provider zijn natuurlijk).
KeySystems gebruikt ook geen WHMCS maar een self-made systeem (wat trouwens ontzettend slecht werkt).
Leaseweb doet zelf niks met WHMCS, maar het kan zijn dat Key Systems in Duitsland dat wel doet en daarmee zou het correct kunnen zijn.

Toevoeging: http://blog.leaseweb.com/...-of-leaseweb-com-website/

[Reactie gewijzigd door johnkeates op 6 oktober 2013 23:29]

Toen ik er achter kwam heb ik snel even uitgezocht wat er aan de hand was, en ik kwam tot de conclusie dat niet servers niet gehackt waren, maar hun DNS zone van .com (en niet .net want die werkte wel).

GoogleDNS had de hijack helemaal niet in hun cache opgenomen, KPN (en dochters), Ziggo en een paar servers van OpenDNS wel : https://twitter.com/johnk...86589322071134208/photo/1 (op dat moment alleen Amsterdam)

Was dus waarschijnlijk een gevalletje van DNS cache poisoning.

De deface (als je hem gemist hebt): https://twitter.com/johnk...86577177245786112/photo/1

Ik denk dat dit (zoals hieronder ergens gepost) een aanvalletje bij keysystems was en niet echt bij leaseweb.
KDMS heeft eigen facebook?
https://www.facebook.com/kdmsteam.1

Er word nog gepraat over de "hack". Een tolk zou handig zijn.

[Reactie gewijzigd door _Alkaline op 7 oktober 2013 08:06]

Weer DNS-hijacking. Als ze nu DNSSEC hadden gebruikt was dat een stuk moeilijker geweest.
De nameservers van Leaseweb.com waren aangepast bij de registry.
Dus de DNSSEC keys (als die er waren) hadden ze ook van het domeinnaam kunnen verwijderen.

Waarschijnlijk hadden ze toegang tot het controlpanel/API bij Keysystems (waar Leaseweb.com geregistreerd is).
En wat enger is, maar waar niemand over rept, is dat de MX records naar leaseweb.com. verwezen. Mensen die leaseweb.com als mailserver hadden ingesteld zijn waarschijnlijk ook doorverwezen naar de attacker, waardoor ze ook de mail-credentials konden loggen van mensen die op dat moment hun e-mail probeerden op te halen. Of dit daadwerkelijk heeft gewerkt hangt af van de mailclients, die hopelijk SSL probeerden af te dwingen...
Dat heb ik toen ook aan leaseweb meegegeven, en dat was onderdeel van de hack..

Normaal verwijzen ze namelijk naar ocom door!
Leaseweb heeft toen ook meteen leaseweb.net als backup emaildomein laten gelden.

Wat betreft de MX records en mail wachtwoorden: de MX records hebben niks met mail clients te maken. MX records zijn voor (en nu komt het:) Mail eXchangers. Dus server programma's die die records nodig hebben om mail af te leveren. Als client zul je daar niks mee te maken hebben.

Het kan natuurlijk wel dat pop3.leaseweb.com op 110 luisterde en alleen plaintext non-ssl auth ging ondersteunen en daarmee wachtwoorden probeerde te ontfutselen. Maar dat moet je als client dan ook niet verkeerd instellen! Zoals op kb.leaseweb.com staat kan je prima smtps, pop3s en imaps gebruiken om dit soort problemen te voorkomen :)
Ja daar heb je wel een punt... dus er kan hoogstens via de MX constructie mail zijn onderschept?
Ja, dat denk ik wel. Maar het is natuurlijk een scriptkiddie-club die dit gedaan heeft, dus het zal grotendeels afhangen van hun gebruikte toolkit.

Stel dat ze er een hebben die:

- MTA, POP, SMTP en IMAP services heeft
- Alles transparant accepteren aan credentials
- Het volume van Leaseweb aankan

dan is het natuurlijk mogelijk dat ze wat informatie buit gemaakt hebben.

Waarschijnlijk vooral user credentials als die er al naartoe gestuurd zijn, en geen credentials van hosted services, om dat die over het algemeen alleen via hun control panel (SSC) verstuurd worden.
Ga jij hosters eens proberen uit te leggen dat ze iets moeten updaten / upgraden / aanpassen.
Als klant van een hoster is de kans vrij groot dat je zelf geen zin hebt om een servertje op te zetten voor je site, of het simpelweg niet kan.

Helaas hebben bedrijven over het algemeen een enorme arrogantie. waardoor we steeds vaker dit soort dingen zien. Ga jij het ze uitleggen?;-) en denk je dat ze er naar luisteren?

Dit soort dingen zie ik bij hosters wel vaker gebeuren.
hoelang ik al op een PHP Update zit te wachten bij een van m'n klanten zodat ik verder kan coden...
Simpelweg omdat spul geen enge beveiligings lekken moet hebben.
Niet helemaal aan elkaar gerelateerd, behalve dan dat bedrijven over het algemeen pas gaan kijken op het moment dat "shit" echt stoek gaat
Leaseweb doet wel aan DNSSEC, maar nog niet op hun eigen domein. Het had ook niet veel geholpen om dat de aanvallers de DNSSEC keys gewoon hadden kunnen verwijderen.

[Reactie gewijzigd door johnkeates op 6 oktober 2013 12:47]

De meeste hosters zijn resellers, of ook wel doorverkopers van een datacentre eigenaar host. Dan heb je ook nog de hosts die een server huren in een rack bij een data center. Er zijn er zeer weinig die hun eigen servers beheren. Het enige waar deze hosts kennis van hebben is hoe men het panel beheerd, bedrijf runnen, algemene kennis.

De data center netwerken worden beheerd door mensen die verstand hebben van routing en switching maar veel kennis missen op het gebied van security. Tegenwoordig moeten grote bedrijven specifiek voor beveiliging iemand al aannemen. Hoe kleiner het bedrijf is hoe slechter het gesteld zal zijn met de backbone beveiliging tenzij het bedrijf bij een zeer goede hoster huurt die security aspecten uit de handen neemt van het bedrijf.
Ga jij hosters eens proberen uit te leggen dat ze iets moeten updaten / upgraden / aanpassen.
Als klant van een hoster is de kans vrij groot dat je zelf geen zin hebt om een servertje op te zetten voor je site, of het simpelweg niet kan.

Helaas hebben bedrijven over het algemeen een enorme arrogantie. waardoor we steeds vaker dit soort dingen zien. Ga jij het ze uitleggen?;-) en denk je dat ze er naar luisteren?
Dat zeg je mooi tegen de verkeerde :)
Ja, ik ga het ze uitleggen, dat is bijna dagelijks werk voor mij. Ik mail regelmatig met zo'n beetje alle hosters van Nederland. Ik zal niet zeggen dat het altijd even makkelijk is maar uiteindelijk luisteren ze wel. Dit is juist het moment waarop je het hete ijzer kan smeden.
PHP updaten op een shared hosting server kan niet zomaar.

Bijvoorbeeld de update van PHP 5.2 naar 5.3, een hoop oude Joomla installaties die niet meer werken door deprecated functies.

Nu is het tegenwoordig ook mogelijk om 2 verschillende PHP versies naast elkaar te draaien,
Alleen zijn er niet veel hosters die dit doen.
Ach, ik zie mensen ook nog steeds mysql_query gebruiken met PHP 5.4/5.5.

In plaats van de ze PDO of Mysqli gaan leren (zelf voor PDO gekozen), ben je gelijk ook stuk veiliger voor mysql injecties.
Maar anyway, als de klanten van Leaseweb dus de Leaseweb site wilden bezoeken kwamen ze uit bij een malafide website... En is die malafide site dan niet besmet?
was op zoek naar hoster voor een zwaardere opstelling. leaseweb kan van de lijst. hoe je er ook naar kijken wilt, dit soort nieuws wekt geen vertrouwen. als zakelijke klant kun je je dit soort zaken niet permitteren.
je naam wekt bij mij ook geen vertrouwen op. als grote hoster zal leaseweb wel weten waar het mee bezig is en veiligheid zou een top prioriteit moeten zijn.
Wie is er dan NL-based en zwaarder dan Leaseweb?

Daarnaast was dit niet een hack bij Leaseweb, maar buiten Leaseweb om.

Toevoeging: http://blog.leaseweb.com/...-of-leaseweb-com-website/
Let wel, deze hack was uitgevoerd buiten LeaseWeb om. LeaseWeb heeft hier zelf niks kunnen doen, aangezien de registrar van leaseweb.com gehacked was, en niet LeaseWeb zelf.

Om dan te zeggen dat het geen vertrouwen wekt, is ook weer overdreven. Beter kijk je het van de positieve kant, en zie je hoe transparant LeaseWeb is. Ook hoe snel de situatie onder controle was.

Maar als je dat niet in ziet, is het misschien ook maar beter dat je je opstelling onder brengt in een hobby schuur :+
Ik zou toch verwachten dat de onderbuik niet meebeslist en dat een zakelijke keuze op rationele aspecten wordt gemaakt. Zo niet, dan kan je beter eerst eens een profesionaliseringsslag in de organisatie maken.
Heel toepasselijk, zo'n reclame van Leaseweb bovenaan de pagina ;) .

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True