Trojan kruipt telkens op server

Probeer eens een grondige virusscan te doen op bv. TrendMicro op alle systemen of alleen op de server. En een HijackThis logje zou ook geen kwaad kunnen...

Wat voor OS en services (welke naar buiten open staan) draai je?

Nog even een paar vragen om wat zaken uit te sluiten:

- Komt de trojan alleen op de server voor of ook op werk pc's?
- Je verteld dat je virusscanner het niet detecteerd, hoe kom je er nu achter als de trojan weer aanwezig is?
- Wordt er wel eens rechtstreeks vanaf de server gebrowsed?
- Welke versie heb je van Plesk? Zijn alle security patches (software en OS) aanwezig?
- Wat kunnen klanten via FTP? Je hebt het over uploaden, is daar iets vreemds te zien in de logs?

Als het via activex/iframe binnenkomt zou ik haast verwachten dat dit met browsen gebeurd of eventueel misschien via plesk opgelopen kan worden. Ben geen virusexpert Misschien loopt Schouw hier nog binnen.

Staat nu een beetje weinig informatie (links zijn weg).
Wat meer specifics zou handig zijn

Je HiJackThis logje ziet er bij mij op het eerste gezicht redelijk normaal uit, maar er lopen hier gelukkig nog andere mensen rond

Gitaarwerk schreef op dinsdag 17 juli 2007 @ 13:54:
- trojan komt voor op server pc,
we merkte het aan dat er overal op iedere klant zijn website op alle html / asp / etc bestanden een iframe in kwam

Zeer waarschijnlijk is dit het werk van een Chinese malware. Ik zie steeds meer van dit soort 'HTML' infectors. Misschien kun je mbv deze info afleiden welke machine het (niet) is die met deze infector is geïnfecteerd.

probeer toch je best te doen om alle data te vergaren - van toen en van nu.
(logs, html-code, ev. de data die daar gehost word in dat iframe)

voordat de gehoste site's allemaal op een lijst komen van spyware/virus-verspreiders.

probeer ook de code te achterhalen van die iframe (zit wrs een fluxnet-verwijzing achter)
en geef al die info naar cert-teams door. (zij hebben meestal ook snelle methodes om inbraken te vinden) - kijk ook de logs na van ev. routers - inbreuk kan ook van binnenuit gebeurd zijn
(en probeer ev. ook de provider mee te krijgen in het onderzoek)

maw: pro-actief deelnemen om de dader te vinden, meewerken in onderzoek door teams die meer kunnen. Want ruim je alles gewoon op, zonder bewijs achter te houden dat ook jij slachtoffer was, dan kan de rekening naar jullie komen als er slachtoffers zijn geweest door besmetting van jullie server(s). - en mensen die zoiets doen mogen altijd een ha(c)k terug gezet worden.

(zie jezelf nu even als ids-admin )

(ps: mag ik ev. een link via dm of mail ( "mijne nickname" (at) "mijne nickname" .be )?
kan ik zelf mss wat proberen mee te kijken ...)

[ Voor 18% gewijzigd door soulrider op 18-07-2007 09:56 ]

soulrider schreef op woensdag 18 juli 2007 @ 09:33:
kan ik zelf mss wat proberen mee te kijken ...)

Er is niet zoveel te zien. Twee verschillende exploits proberen dezelfde downloader trojan te installeren die weer een andere trojan installeert.

Infected Exploit.HTML.Mht
Infected Exploit.JS.ADODB.Stream.y
Infected Trojan-Downloader.Win32.Small.eql
Infected Trojan.Win32.Agent.xk

kan er gekeken worden van waar die trojan komt.
(welke ip-adressen en dergelijken)
(de troep zelve interesseert me niet, wil ik dat hebben dan laat ik enkele n00b-vrienden wel effe mijn pc gebruiken in hun zoektocht naar free mp3's, cracks en andere rommel-site's )

is ook voor mezelve - wil enige info wel delen - zodat de domeinen bij mij in een bloklijst geraken.
en verwijzen naar mijn eigen interne apache server, met warning, ipv naar die troep.
mocht ik op andere site's dergelijk dingen ook tegenkomen eh

(merk nu pas je ondertitels op - laat ik het dus houden op een mogelijke testcase voor mezelve
een uitdaging in het zien hoe ver ik zelf zou kunnen en durven gaan in onderzoek naar zoiets,
mocht ik zelf op mijn site's zoiets gaan tegenkomen - dat ik weet wat ik als individu wel of niet kan - zelfs zonder logs - kijken hoever mijn kennis reikt

mocht je me die oorspronkelijke links kunnen meedelen via dm
(of een html-pagina waarin die iframe verschijnt...) thanx op voorhand.

laat al maar - google cache heeft hem nog gepakt voor de censuur


edit/bijvoeging:

hetgeen ik zo effe gevonden heb na klein onderzoek van code
(effe mbv php een proxy gemaakt die de afgehaalde html als text liet zien ipv als html-code ging doorgeven naar mijn browser)

de 1ste link werkt niet meer - of is gericht op FF
de 2de gaf me volgende exemplaren:


het vb-script hierin verwijst naar
-> "domein"/hkeraone/test.htm

waar via een microsoft.xmlhttp-request een file wordt afgehaald (de html geeft een exe-terug)
en mbv een "adodb.stream"-"exploit"/misbruik wordt opgeslagen in <vbscript>
"getspecialfolder(2)"</vbscript> onder de naam "svchost.exe" en dan ook wordt opgestart


deze .exe start wederom een download van
"ander domein"/haoba.htm

deze laatste is een serieus pak groter
en wrs de echt trojan/botnet-client ....


de eerste link ondertss ook doorgenomen:
dat is een index.htm die een framset inlaad met 2 frames met in de eerste zichzelf in de tweede mml.htm (in zelfde map) (overflow met frames forceren ?)

die 2de laad een js die een object van het type="text/x-scriptlet" verwijzend naar een test.chm op nog steeds hetzelfde domein en map. die chm heeft verwijzingen naar de zelfde links en filename als de 2de link uiteindelijk triggert voor IE...

beiden dus smerig opgebouwd (ps: link #1 doet niets bij IE, en link #2 doet nix bij FF - dus wrs zit er nog ergens een url-rewrite en een "browser-detector" tss
(er wordt rekening gehouden met de headers die worden meegegeven: foute browser-info in header = geen data)

tijd om grote kuis te doen op dat systeem - en hopen dat er goede backups zijn

edit3: als die iframes verschijnen op pagina's die door die server worden gegenereerd dan kan je best eens kijken er connectie's waren naar links zoals hierboven vermeld - hoe dan ook is je server slachtoffer van een schone html-injectie en ga je best bewijsmateriaal verzamelen
(of klacht tegen onbekenden en specialisten het werk laten doen zodat ev. rekening kan nagestuurd worden) en nadien format (of andere hd's gebruiken), backup terugzetten, alles updaten om gaatjes te dichten, securitysoftware erbij op, firewall-instellingen nakijken
(poortje 80 open, rest dicht - buiten het broodnodige nog) en dan pas terug openzetten...

(en uit veiligheid het laatste domein dat vermeld wordt is *(dot)redhat520(dot)com:
blokkeer access daartoe in je routers (ook handig voor andere tweakers...)
zodat de downloader zijn tooltje niet vind - het domein zelve is leeg maar wrs staan er tig-pagina's met elk hun exploits of verschillende versie's van de rommel)

[ Voor 93% gewijzigd door soulrider op 18-07-2007 16:31 ]

Mja, ik weet niet hoe groot het bedrijf is waar zich dit voordoet en hoe belangrijk klanten zijn maar ik denk dat je eens moet overwegen om er een externe specialist bij te halen. Die kunnen waarschijnlijk wel snel achterhalen waar het vandaan komt en wat je er tegen kunt doen.

Zeker ook omdat je aangeeft al eerder een security incident te hebben gehad, spammers. Het zou dus kunnen dat er diverse zaken niet op orde zijn waardoor je steeds met problemen blijft zitten.
Maar ja uiteraard moet hier maar net budget voor zijn.

Oh je hebt de problemen nog steeds? Zit de code ook nog in de pagina;s van klanten of ben je daar nu vanaf??

@ schouw: hoe kan hij deze trojan (of een vergelijkbare) oplopen? Door iemand die surft/download of bijvoorbeeld ook via een lek in zijn webserver/ programmeer fout in scripts?

edit: ok ic. Mja het is even belangrijk om te weten hoe deze code op je systeem kan komen. Dan kunnen we wat gerichter zoeken naar de oorzaak en zorgen dat het niet weer voorkomt.

Je hebt het ook over een andere server, doet die precies dezelfde taken?

[ Voor 31% gewijzigd door sh4d0wman op 02-08-2007 10:02 ]

is er de mogelijkheid programma-namen en versie's te noemen ?

mss zit je met een exploitbare sql/web/...-server ofzo?

(zo heb ik hier ooit op mijn laptop via mysql een botnet-client doorgekregen - pech voor die troep had ik mijn eigen ftp-server al draaien op de poort die hij wou misbruiken, en zat de irc-poort dicht geslagen)

of kijk zelf eens mbv die namen en versie namen op sans, cert, mil0w, ... (allen .org dacht ik)
als je melding vind van exploits: updaten (zowiezo al aan te raden)/ patchen / dichtspijkeren

heb je er een router tussen zitten of in de host file connectie's naar de vermelde domeinnamen voorkomen ?
dan komt ie er mogelijk nog op, maar dan kan je server zelf al geen virus-updates of andere troep nog doorkrijgen (nog wel anti-virus-updates natuurlijk)
(blokkeren op ip's gaat weinig helpen, en reverse-dns gaat wrs ook weinig tonen)

[ Voor 24% gewijzigd door soulrider op 02-08-2007 14:15 ]

Als je dezelfde instellingen en services op de nieuwe server hebt en het enige verschil de versie van bepaalde producten is dan ben ik ook bang dat er een exploitable service tussen zit. Inderdaad zou het makkelijk zijn als je software+versie+services kan posten.

bij onderzoek de schijven als data schijven in een "onderzoeks"-pc hangen.
of booten met een live-cd en zo virus-cleanen, patchen, log-bestanden bekijken, ...
zekers nadat er een inbraak is - werken in een geïnfecteerde omgeving is en blijft problemen geven

en heb je nergens een lijst liggen met wat er allemaal op die server draait ?
(documenteren is altijd handig voor zulke gevallen, omdat je dan zo online kan zoeken of het inderdaad je eigenservices/programma's kunnen geweest zijn)

soulrider schreef op donderdag 02 augustus 2007 @ 14:57:
en heb je nergens een lijst liggen met wat er allemaal op die server draait ?
(documenteren is altijd handig voor zulke gevallen, omdat je dan zo online kan zoeken of het inderdaad je eigenservices/programma's kunnen geweest zijn)

Mja, heb je ook weinig aan hoor. Dan zul je toch echt na een schone installatie van alle files een checksum moeten laten maken. Bestanden en services zijn namelijk makkelijk van een andere versie te voorzien wat je zonder checksum niet op gaat merken. Daar komt nog bij dat er ook een hoop verborgen zooi kan zijn maar ik heb begrepen dat men nu een nieuwe opbouw begint (noodgedwongen). Doe dat wel op een veilig netwerk he? Succes! Misschien nog nuttig om eens naar IDS te kijken als je nu toch al bezig bent.