Mijndomein.nl, domeinverkoper en hoster, laat weten dat er bij hen sinds december 2009 'honderden' ftp-accounts zijn gehackt. Eerder bleek dat de wachtwoorden van duizenden Yourhosting-klanten gereset zijn, omdat accounts door kwaadwillenden zijn overgenomen.

Het hacken van ftp-accounts was Mijndomein.nl tot voor kort vreemd, vertelt Ewout de Graaf, manager operations van Mijndomein.nl. "Voor eind 2009 werden sites wel gehackt, maar toen gebeurde dit door via het cms, zoals Joomla, dat niet tijdig geüpdated was. Maar de afgelopen maanden zien we dat het opeens gebeurt via ftp-wachtwoorden stelende malware op de computers van onze klanten."

De Graaf erkent dat het een probleem is waar moeilijk tegen valt op te treden. De wachtwoorden van de gehackte accounts zijn gereset, maar door de malware op pc's van klanten valt herhaling moeilijk te voorkomen. In een nieuwsbericht geeft Mijndomein vandaag tips om je pc schoon te houden.

Nog een probleem: spam

Mijndomein ervaart nog een ander probleem door de malware: spam. Hostingklanten hebben bij Mijndomein ook een mailaccount. Vanuit de accounts vab klanten die 'besmet' zijn wordt veel spam verstuurd. Om dat te beperken heeft het bedrijf het een maximum op het aantal te vesturen berichten gezet: 100 per uur.

Na het verschijnen van het artikel over Yourhosting stroomde de Webwereld-mailbox vol met verhalen over gestolen hostingaccounts. Meerdere lezers melden dat HostingDiscounter recentelijk ook wachtwoorden van talloze ftp-accounts heeft gereset.

Uit een van de mails van HostingDiscounter aan haar klanten: "Zojuist is door ons geconstateerd dat via het FTP-account van uw website xxxxxxx.eu onrechtmatige handelingen hebben plaatsgevonden. Uw FTP-account hebben wij op dit moment dan ook geblokkeerd om verdere schade te voorkomen. Verderop in deze e-mail leest u hoe u uw FTP-account weer kunt activeren."

Extra verspreiding

HostingDiscounter schrijft in de desbetreffende mail dat de ftp-hack "kan komen door een virus of een trojan, welke de inloggegevens uit het programma doorgeeft aan de maker van het betreffende virus/trojan. Deze misbruikt de gegevens om websites te infecteren met kwaadwillige software om op deze manier nog meer computers (de bezoekers van uw website) te infecteren." HostingDiscounter is gevraagd om een reactie, maar zij konden nog niet reageren.

Eddy Willems, security-analist bij G Data, vermoedt dat het Gumblar-malware is die ftp-logingegevens steelt. De laatste maanden is dit virus in opkomst, zegt hij. Gumblar gaat op zoek naar ftp-wachtwoorden en stuurt het door naar de computers van kwaadwillenden. "Met de gestolen inloggegevens worden de bewuste websites geinfecteerd, wat tot een kettingreactie aan besmettingen leidt."

Wachtwoord resetten zinloos

Willems vraagt zich of het resetten van ftp-wachtwoorden veel zin heeft. "Als de thuispc's van hostingklanten besmet zijn, dan is het een kwestie van tijd voordat de ftp-wachtwoorden weer gestolen zijn."

Om de ftp-inlog beter te beveiligen, werkt Mijndomein.nl aan een securityfeature waarbij de klant het ip-adres kan aangeven waarvandaan contact gemaakt mag worden met ftp en voor e-mail. Daardoor zouden kwaadwillenden niet meer kunnen inloggen met andermans wachtwoord.

Ip-nummer check

De ip-check wordt binnenkort ingevoerd, zegt Ewout de Graaf van Mijndomein.nl. "We hopen dat klanten deze feature gaan gebruiken als extra beveiliging op hun website. Als deze optie is ingeschakeld, kan alleen nog maar worden ingelogd op de mailserver en op de ftp-server vanaf de ip-adressen die de klant heeft aangegeven."

Security-analist Willems twijfelt of een ip-check een waterdichte methode is. "Er zijn mogelijkheden - zoals ip-spoofing - die deze methode kunnen omzeilen." Willems vindt dat hostingbedrijven hun klanten vooral moeten wijzen op het belang van goede antivirussoftware.

Probleem bij thuisgebruiker

Een hostingbedrijf dat graag anoniem blijft mailt dat de enige oplossing ligt bij de eindgebruiker. "Het veranderen van de wachtwoorden van gebruikers, aan de serverkant, is geen echte oplossing. Want zodra mensen met hun besmette pc weer contact leggen met de ftp-server, met het nieuwe wachtwoord, gaat het verhaal weer opnieuw beginnen.. Feitelijk is het iets waar een hoster niet veel aan kan doen."

Update: Informatie over spamproblemen Mijndomein.nl licht aangepast. Mail en hosting bij Mijndomein is niet perse met hetzelfde wachtwoord.

Weet je meer van recente hacks van ftp-accounts bij Nederlandse hostingproviders? Tip ons.