Yourhosting ligt sinds het begin van dit weekend onder vuur van een distributed denial of service-aanval (DDoS-aanval). Bij een DDoS-aanval wordt er zoveel verkeer naar een bepaalde website of server geleid dat die onbereikbaar wordt voor de buitenwereld. In eerste instantie was de aanval gericht op een stuk of 20 websites, zegt Valentijn Borstlap, directeur van Yourhosting tegen Webwereld. Yourhosting host tussen de 40.000 en 45.000 websites en heeft 80.000 klanten.

Het bedrijf heeft geen patroon in de aanval kunnen ontdekken. "Het is in ieder geval niet op een branche of op een bepaald type klanten gericht", aldus Borstlap. Uiteindelijk zijn er gedurende het weekend tussen de 100 en 200 websites gehackt. De aanvallers plaatsen hoofdzakelijk malware op gebruikersaccounts, Die malware wordt vervolgens aangeroepen door botnets uit de hele wereld. De nadruk van de DDoS-aanval ligt op ongeveer twintig websites van de paar honderd.

Meteen loskoppelen

"Die hebben we direct losgekoppeld van ons netwerk door het DNS daarvan aan te passen", legt Borstlap uit. Vervolgens is er een kat-en-muisspel ontstaan met de aanvallers. Die richten zich na het loskoppelen van de zwaarbestookte doelwitten op het hele netwerk en niet meer op losse sites. Bovendien doen ze dat op ip-niveau, waardoor het probleem groter is geworden. Ook de aanvalspatronen veranderen zich nu continue, waardoor het moeilijk is de aanval het hoofd te bieden. "Het is dweilen met de kraan open."

Door het bijstellen van de filtersoftware is een deel van de klanten van Yourhosting in de firewall terechtgekomen. Die geblokkeerde klanten hadden het idee dat hun site het hele weekend niet bereikbaar was. Volgens Borstlap ligt de gemiddelde downtime van de getroffen sites tussen de 1 en 1,5 uur. Door de scripts die worden gedraaid om de aanval had tegen te gaan heeft ook het mailverkeer vertraging opgelopen.

Aanval houdt aan

Inmiddels kunnen bijna alle geblokkeerde klanten weer bij hun websites, en zijn de sites ook weer bereikbaar van buitenaf. "De laatsten worden as we speak uit de firewall gezet", belooft Borstlap. De aanval houdt ondertussen nog aan, maar is stabiel. Borstlap weet niet hoe de aanval zich gaat ontwikkelen.

Hij benadrukt dat dit een erg grote aanval is. "We hebben jaren geleden een keer onder vuur gelegen toen Geenstijl nog bij ons stond", zegt de directeur. Hij zegt dat Yourhosting twee of drie keer per jaar een DDoS-aanval ondergaat. "En daar zijn we dan ook prima tegen beveiligd." Alleen zijn die aanvallen niet op zo'n grote schaal als de huidige, geeft hij aan.

Meer hosters?

Borstlap vraagt zich af of andere hosters ook last hebben van dergelijke omvangrijke aanvallen of dat Yourhosting de enige is. Hij vermoedt dat er een omvangrijk botnet als Gumblar of Conficker achterzit. Yourhosting verwacht aan het eind van de dag meer nieuws te hebben over de aanval en de aanpak daarvan.

Bent u een hoster en ligt u ook onder vuur? Mail de redactie!