Webhoster mit Zero-Day-Exploit angegriffen

100.000 Webseiten von Hackern zerstört

Der britische Webhost Vaserv ist Opfer eines Hacker-Angriffs geworden. Dabei wurden bis zu 100.000 Webseiten gelöscht. Derzeit versucht das Unternehmen, die Daten möglichst vieler Server wiederherzustellen. Allerdings ist davon auszugehen, dass eine Vielzahl an Webseiten unwiederbringlich zerstört sind.

Die Angreifer hätten eine neue Schwachstelle in der Virtualisierungs-Anwendung HyperVM des indischen Anbieters LxLabs ausgenutzt, so Vaserv-Chef Rus Foster gegenüber The Register. Diskussionen in Webmasterforen deuten allerdings darauf hin, dass eine bekannte Lücke ausgenutzt worden sein könnte, die auch LxLabs recht verbreitete Webhosting-Plattform Kloxo betrifft. Bei dieser Lösung soll der Hersteller zuletzt in Sachen Sicherheitsbedenken sehr träge reagiert haben.

"Wir wurden mit einem Zero-Day-Exploit getroffen", sagt Foster. Dadurch seien Daten etwa zur Hälfte aller von Vaserv gehosteten Webseiten zerstört worden. Laut dem Vaserv-Chef hat sich der Angriff gegen HyperVM gerichtet und er habe von anderen Hosts mit ähnlichen Problemen gehört. Er gibt an, dass die Angreifer umfassend Unix-Befehle inklusive der rekursiven Löschung aller Dateien ausführen konnten. Während Vaserv bei einigen Servern inzwischen eine Wiederherstellung gelungen ist, sind die Daten einiger anderer verloren. Rund die Hälfte aller Kunden habe sich zudem für ein Angebotsmodell ohne Backups entschieden, so Foster. Es sei fraglich, ob ihre Daten je wiederhergestellt werden können.

In Webmaster-Foren wird darüber spekuliert, dass es sich beim Vaserv-Hack nicht um eine Attacke gegen eine neue Schwachstelle gehandelt hat. Vielmehr könnte eine von vielen Lücken in Kloxo betroffen gewesen sein, die LxLabs zumindest seit 21. Mai bekannt sein sollte. Einige dieser Kloxo-Schwachstellen betreffen beide LxLabs-Programme, da diese teils ähnliche Funktionalität bieten. Diese Lücken wurden mittlerweile auf der Exploit-Plattform milw0rm veröffentlicht, unter der Angabe, dass der Hersteller desinteressiert wirke. Vom polnischen Sicherheitsunternehmen SecurityReason wurde das Gefahrenpotenzial dieser Lücken als hoch eingestuft.

LxLabs selbst hat am vergangenen Freitag bekannt gegeben, dass man eine Reihe von Lücken in HyperVM und Kloxo geschlossen habe. Die entsprechenden Updates dürften von Vaserv auch eingespielt worden sein. Allerdings gab es in LxLabs Support-Foren Nutzer-Rückmeldungen, dass LxLabs dabei definitiv nicht alle der 24 auf milw0rm veröffentlichten Lücken geschlossen habe. Darauf gab es bisher keine wirkliche Reaktion seitens des Unternehmens. Ein solche könnte auch noch länger ausbleiben, denn Unternehmenseigner K. T. Ligesh wurde laut der Times of India gestern, Montag, in seinem Haus erhängt aufgefunden. Ob es einen direkten Zusammenhang mit dem Hackervorfall gibt, ist nicht bekannt. (pte/hal)