Een Webwereld-lezer tipt de redactie dat meerdere van zijn gehoste sites gehackt zijn. Dit gebeurt volgens hem “aan de lopende band en ik kan d'r NIETS tegen doen, behalve de hoster inlichten". De oorzaak zit in het beheerpanel Plesk van virtualisatieleverancier Parallels. Die software is veelgebruikt door hosters om meerdere virtuele machines voor verschillende klanten te draaien op servers.

Een antiek lek in die beheersoftware staat in de praktijk nog open bij veel sites, die draaien op virtuele machines via Parallels-software. Voor dit gat is in september vorig jaar een patch uitgebracht, maar zonder veel ruchtbaarheid. In maart dit jaar heeft er al een hackgolf plaatsgevonden via dit gat. Toen zijn klanten van onder meer Strato getroffen.

Updaten voor klanten

De hoster van de nu klagende klant is EuroVPS, die tegenover Webwereld de klacht van de tipgever tegenspreekt. “Wij updaten Plesk altijd, voor alle klanten", bezweert ceo Fotios Panagiotakopoulos van EuroVPS. “Tenminste, voor die klanten die ons het beheer laten doen", voegt hij daar aan toe. Volgens de eigenaar van het hostingbedrijf geldt dat voor ongeveer driekwart van zijn klanten.

De getroffen klant vertelt Webwereld dat het om een reseller-hostingpakket gaat, waarvan het onderhoud juist niet bij hem ligt. “Dit wordt 100 procent onderhouden door EuroVPS." Hij stelt best tevreden te zijn over de hoster, maar dat die deze kwestie toch redelijk slecht heeft aangepakt. Zijn sites werden na opschoning gelijk opnieuw geïnfecteerd.

Voorbij, voor nu

Inmiddels is dit wel opgelost. “De problemen lijkt op dit moment over", laat de hostingklant nog weten aan Webwereld. Hij heeft zijn hoofdwachtwoord van Plesk aangepast en vervolgens ook de ftp-wachtwoorden voor zijn domeinen. Daarbij heeft hij bewust enkele geparkeerde en eerder geïnfecteerde domeinen qua wachtwoord ongewijzigd gelaten (behalve dan de malware-opschoning). Die lokdomeinen zijn tot op heden niet opnieuw geïnfecteerd.

De tipgever maakt zich zorgen over andere accounts op de (fysieke) server, aangezien via het misbruikte Plesk-lek de wachtwoorden van alle virtuele machines zijn buit te maken. Andere klanten kunnen dus - ook na het updaten van Plesk - nog geïnfecteerd raken met malware, doordat kwaadwillenden zich eerder al toegang hebben verschaft.

Klanten waarschuwen

De Webwereld-tipgever heeft van de hoster de verzekering gekregen dat die alle andere klanten op de server gaat waarschuwen. Panagiotakopoulos bevestigt dit aan Webwereld. Hij vertelt wel dat het uiteindelijke updaten van de Plesk-software aan de klant zelf is, als die het beheer niet aan het hostingbedrijf overlaat.