Die conclusie valt te trekken uit een analyse van het Internet Storm Center van het SANS Institute.

Het ISC bekeek waar de getroffen sites werden gehost. "Het werd duidelijk dat we te maken hadden met een grootschalige defacement waarbij een enkele (of een aantal) fysieke webserver(s) duizenden websites bevatten", zo luidt de conclusie.

Als één van de gehoste sites een kwetsbaar php-script bevatte, was dat al voldoende om alle gehoste sites te infecteren. Tenminste, als de hostingprovider de Apache-instellingen niet goed had geconfigureerd.

Om ervoor te zorgen dat een probleem bij de ene site niet tot vergelijkbare problemen bij de andere gehoste sites leidt, is het nodig extra bescherming in te bouwen, stelt het ISC.

"Vanzelfsprekend gaat dit ten koste van de prestaties. Dat is waarom sommige hostingbedrijven besluiten om de veiligheid op te offeren, in plaats van extra hardware aan te schaffen", schrijft Bojan Zdrnja in de analyse.

Bij de Mpack-aanval werden sites geïnfecteerd via een iframe. Bezoekers van de sites werden als gevolg daarvan doorgestuurd naar een andere server die probeerde om de hacktool Mpack te installeren. Bron: Techworld