Logo Strato06 maart 2012 – Webhosting bedrijf Strato heeft websites van 10 klanten geblokkeerd nadat hackers hebben geprobeerd binnen te komen. In totaal zijn 10 klanten van dit misbruik de dupe geworden. Één van deze klanten heeft aan Webwereld laten weten dat meer dan 100 van zijn websites offline zijn.

Woordvoerder Hanneke Riedijk van Strato (zie Recensie) weet te melden dat de domeinen bewust op slot zijn gezet in verband met de gehackte server. Er wordt verder verwezen naar verouderde Plesk software wat een beveiligingslek heeft veroorzaakt. Uit de discussie tussen Strato en haar klanten blijkt nu dat Strato het updaten van Plesk onder verantwoordelijkheid van haar klanten acht. De klanten van Strato zijn hier echter nooit op gewezen. Deze discussie is vaker een probleem bij hosting bedrijven. In onze ogen kan een hosting bedrijf echter géén afstand doen van deze verantwoordelijkheid aangezien ze hiermee altijd het niveau van veiligheid van hun servers overlaten aan hun klanten. Dit is niet te verantwoorden tegen andere klanten.

Update 07 maart 2012:
Wij hebben Strato om een reactie gevraagd en hebben de volgende antwoorden op onze vragen gekregen:

Zoals wij de situatie nu begrijpen zijn er ongeveer 10 klanten de dupe geworden van een gehackte server, is dit correct?
Ja, een veiligheidslek in een verouderde Plesk-versie heeft ervoor gezorgd dat hackers enkele servers hebben misbruikt. Het ging daarbij het om Linux- en Windowsservers met Parallels Plesk Panel 7.6.1 – 10.3.1. Via een SQL-injectie hebben hackers geprobeerd de administratieve toegang tot de systemen te verkrijgen. Ze hebben een backdoor geïnstalleerd om daarmee andere servers aan te vallen.

Na het constateren van een ongewoon hoog aantal DoS-aanvallen die vanuit STRATO-servers werden uitgevoerd, heeft STRATO op zondagavond jl. deze servers tijdelijk geblokkeerd om de veiligheid van de eigen klant, die van diens bezoekers en de infrastructuur te waarborgen.

Waren deze 10 klanten allemaal gebruikers van een virtuele server of een VPS?
In totaal tien geblokkeerde servers behoren aan Nederlandse STRATO-klanten toe en ongeveer de helft ervan zijn virtuele servers. Alle tien systemen draaiden met een verouderde Plesk-versie. De afgesloten serverklanten zijn met een sms op de hoogte gesteld van de tijdelijk blokkering van hun server. In de loop van de maandag heeft de klantenservice van STRATO met ieder van hen contact gehad en de betroffen servers gedeblokkeerd. 

Is het beveiligingslek (in Plesk) een fout van Strato? Of acht dat u de beveiliging van de virtuele servers 100% verantwoording is van de betreffende klanten?
Met de nieuwste update van Parallels is het hiaat verholpen. Parallels heeft bovendien microupdates beschikbaar gesteld om het veiligheidslek te dichten. STRATO raadt aan de systemen te controleren en updates steeds uit te voeren. Of de klant dit ook doet, is voor zijn/haar verantwoording, daar het beheer in handen is van de klant.

Blijft Strato gebruik maken van Plesk?
Uit de overige antwoorden blijkt duidelijkij dat dit wel het geval is.

Welke wijzigingen heeft Strato doorgevoerd om dergelijke misstanden te voorkomen?
STRATO raadt aan de systemen te controleren en updates steeds uit te voeren. Of de klant dit ook doet, is voor zijn/haar verantwoording, daar het beheer in handen is van de klant.

Hoewel de problemen adequaat lijken te zijn opgelost zit hier toch een diepere oorzaak waar wij ons zorgen over maken. Zo zegt Strato dat de systeem controle en updates de verantwoording van de klant zijn. Enerzijds is dit begrijpelijk aangezien de klanten (5 van de 10) een VPS huren. Toch is het vervelend dat de hoster weinig toezicht houdt wat vervolgens andere klanten in de problemen brengt.