Een Nederlandse advertentieserver heeft door een hack malware verspreid afkomstig van een Russisch ip-adres. Verschillende sites zijn gedwongen offline gehaald, tientallen sites werden getroffen.

Hackers hebben succesvol een aanval uitgevoerd op een Nederlandse hoster van OpenX Ad Server, een open source oplossing voor het draaien van advertenties op websites. OpenX Ad Server wordt onder andere gebruikt door RTV Noord-Holland maar ook bijvoorbeeld door de bekende Apple-blogs iPhoneclub.nl en iPadclub.nl.

Hack vanuit Roemenië
De uitgever van die laatste twee draait ook AndroidPlanet.nl en was dinsdagmiddag genoodzaakt zijn websites uit de lucht te halen. "Vanmiddag rond 15:00 is een van onze externe partijen (voor de adserver) getroffen door een hackaanval.

Hierdoor is er kort sprake geweest van virusmeldingen op onze websites iPhoneclub.nl, iPadclub.nl en AndroidPlanet.nl", luidt de uitleg. De sites werden offline gehaald om verdere verspreiding van malware te voorkomen. "De hack blijkt niet op onze servers uitgevoerd te zijn, maar zoals gezegd dus bij een externe partij, verantwoordelijk voor het tonen van alle banners."

Erik Geurts, de beheerder van OpenX Ad Server bevestigt de hackaanval. "Ik heb er een flinke kater van", zegt hij tegen Webwereld. Geurts legt uit dat er vanuit een adres in Roemenië een php-bestand werd geüpload naar zijn servers waarmee code op de advertentieservers werd geplaatst. Die code zorgde ervoor dat er een iframe van 0 bij 0 pixels werd meegestuurd met de banners. "Alsof er een foldertje met de krant meekomt", zegt Geurts, die ook op zijn site uitgebreid uitlegt wat er is gebeurd.

Tientallen websites
Via dat iframe werd een server in Rusland aangeroepen die probeerde malware te installeren op computers van bezoekers van de besmette websites. "Mensen met een goede virusscanner hebben waarschijnlijk geen schade opgelopen", zegt Geurts. Hij wijst erop dat de malware snel werd opgemerkt door mensen met een goede, bijgewerkte virusscanner.

Wat het doel was van de malware kan Gerurts niet zeggen. Hij denkt dat het mogelijk een virus, keylogger of botnet kan zijn geweest. "Maar toen ik het wilde controleren was de server in Rusland al offline."

In totaal zijn volgens Geurts "zeker tientallen websites" getroffen, maar niet alle websites in zijn portfolio waren de dupe. "Ik werd gebeld door 1 klant en was er vrij snel achter wat er mis ging. Dat account is toen opgeschoond", legt Geurts uit. Vervolgens trokken er andere klanten aan de bel. "En toen belde de eerste klant weer dat het probleem terug was", zegt Geurts. "Het is een beetje alsof je auto wordt leeggeroofd terwijl je er nog in zit."

Automatische hackaanval
Wat Geurts vooral frustreert is dat hij de aanval niet kon voorkomen. Het ging om een onbekend gat. "Dit soort lek zitten er in alle software", aldus Geurts "De bug zit er altijd wel in, alleen heb je hem nog niet gevonden."

De exploit is volgens hem vergelijkbaar met de problemen van osCommerce waardoor honderdduizenden websites werden gehackt. Ook bij OPenX Ad Server wordt er volgens Geurts door kwaadwillenden geautomatiseerd gezocht naar te exploiten websites. De kans is groot dat ook anderen die OpenX Ad Server gebruiken te maken hebben met dezelfde problemen.

Klanten bellen
Geurts benadrukt dat de problemen voor deze bug gisteravond zijn opgelost. Hij kan alleen niet uitsluiten dat er een nieuw gat wordt gevonden dat op dezelfde manier misbruikt kan worden. Vandaag besteedt hij aan het bellen van al zijn klanten om "ervaringen uit te wisselen".

Webwereld

Published On: 03-08-11|Categories: nieuws|

Deel dit bericht