Website gehackt of spyware?

Hoi,

Tijdens het programmeren aan mijn website verscheen gisteravond opeens, direct boven de website de volgende 'tekst':

src=http://arp.kav18.cn/a2.htm width=100 height=1>

Alle alarmbellen op rood natuurlijk, dat is niet fris. Het gekke was dat de tekst nergens in de source terug te vinden was, en na een refresh ook niet meer in mijn browser. Natuurlijk gelijk de apachelogs bekeken, maar echt helemaal niets verdachts te vinden.

Zonder overmoedig te willen zijn ben ik er redelijk van overtuigd dat mijn website niet gehacked is. Niet dat ik zo geniaal ben, maar door het systeem wat ik gebruik zit mijn website heel erg anders in elkaar dan de 'gemiddelde' website. Hierdoor zou de aanval maatwerk moeten zijn, en dat lijkt me erg onlogisch omdat mijn website echt niet zoveel voorstelt. Bovendien worden alle requests (ook images, CSS enz) via DocumentRoot geforward naar index.php. En die begint met . Lijkt me redelijk waterdicht.

Met knikkende knieen die .cn website bezocht en inderdaad: zware malware. Ik ben het allemaal niet precies gaan uitvissen, maar het is iig foute boel. Maar het zijn ook geen viagra banners ofzo, gewoon een of andere exploit...

Verder niks op de server kunnen vinden dus toch maar gaan slapen. Vanmorgen nog eens in de apache logs gekeken, niks bijzonders. Totdat opeens exact dezelfde tekst weer verscheen boven buienradar.nl (ik was van plan om vandaag nog een eindje te wandelen). Direct in de source gedoken: Niets.

Mijn conclusie: Het probleem zit hoogstwaarschijnlijk aan mijn kant (clientside). Er zit iets op mijn computer wat dit stukje code soms boven websites plaatst. En blijkbaar gaat het soms mis, waardoor ik de tekst in beeld zie.

Ben nu HitmanPro aan het draaien.

Vraag: Klopt mijn conclusie en is de kans groot dat het probleem clientside zit? Zijn er nog dingen die ik serverside zou kunnen/moeten checken?

Ok, ik dacht dat ik dat stukje spyware wel even zou verwijderen. Hitmanpro er overheen, maar die vond alleen wat tracking cookies. Ik hoopte tegen beter weten in dat het probleem hiermee opgelost zou zijn, maar vandaag verscheen de tekst weer boven een website.

Vandaar dat ik mijn HJT-log maar post, in de hoop dat jullie nog iets kunnen ontdekken. Verder ook vreemd is dat de ik de tekst nergens kan terugvinden. Je zou toch denken dat er meer mensen moeten zijn met dit probleem, maar zowel op GoT als Google is er niets over te vinden. Dat is toch raar???

HJT-log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:09, on 29-6-2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32\wpcumi.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Winamp\winamp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\EditPlus 3\editplus.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.co...an/2,2,0,5312/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCC06AF6-7888-488C-B042-6E6D4D523C10}: NameServer = 137.224.11.9,137.224.8.10
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe

--

Ik ervaar het Euvel aleen in Firefox. Maarja, ik gebruik ook niet zo vaak IE, dus dat zegt niks. Ben inmiddels aardig aan het panieken, omdat langzaam maar zeker wat meer stukjes van een vermeede puzzel op hun plaats vallen. Mijn lijn is al tijden erg onstabiel, valt ongeveer twee keer per uur voor 5 minuten weg. Ik weet dat aan mn ISP, maar begin nu te twijfelen.

Inmiddels getest vanaf een andere PC in mijn LAN, die heeft dezelfde lijn problemen. Ik kan dan niks buiten mn LAN meer pingen, ook niet op IP. En wat ik nu pas merk: Er zit een IP in mijn LAN dat ik niet herken. 192.168.1.2 is natuurlijk niet zo vreemd, ware het niet dat ik (voor zover ik weet) op al mn PCs 192.168.1.1xx gebruik. Ook vreemd: Het MAC adres is 00:AA:BB:CC:DD:20. Toevallig he?

Die .1.2 die reageert wel op pings, maar ik heb er nog geen open port op ontdekt. Eens even een beter scanprogje scoren... Maar eerst ff alle snoertjes op mn router eruit! Zou ook nog wireless kunnen natuurlijk, ondanks macfilter en WPA2...

[ Voor 3% gewijzigd door xilent_xage op 29-06-2008 20:50 ]

nope, mac adres in router is anders. wel net ff een nieuwe firmware op mn router gegooid, maar ik kan nog steeds 192.168.1.2 pingen. Wel lijkt het me idd stug dat er echt iemand op mn netwerkje zit... misschien is het toch idd een bug in mn router.

Sorry, WPA2 natuurlijk. De router heeft wel VPN, maar geeft aan: 0 tunnels used. Toch iets meer info kunnen vinden over het mysterieuze MAC-adres, nota bene in combinatie met mijn type router:

http://www.hydrogenaudio....ion/index.php/t58720.html

Hoewel ik de methode op deze pagina wel snap, kan ik nog niet helemaal interpreteren wat dat MAC-adres nou precies is, ik denk een interne NIC ofzo?

De 'tekst' die boven websites verschijnt breidt zich inmiddels uit

src=http://arp.kav18.cn/a2.htm width=100 height=1> solid gray; background:#e1e1e1; margin:0 0 15px 0; padding:10px; float:left; width:95%; } .print_section p.printbutton { float:left; } .print_section p.printbutton a { text-decoration:none; background:white; display:block; float:left; margin:3px; padding:10px; border:1px solid red; } @media print { .noprint, .printbutton { display:none; } .print { display:block; background-image: none !important; background-color: transparent !important; visibility: visible !important; } }

stond er zojuist boven nu.nl. Snap niet dat als ze zoveel moeite doen met CSS dat ze niet even die tag fixen... Sowieso nogal lelijke CSS als je het mij vraagt. Ik bedoel: Als je simpelweg iets wil includen en het niet visible wilt hebben dan lijkt een display: none; mij toch voldoende? En betekent dit dat de spyware (die blijkbaar nog niet door antispyware programma's wordt herkend) zichzelf heeft geupdate?

Ok even een update en verzoek om andere tips! Ik ging uit van spyware en heb diverse programma's van mn PC verwijderd. Zo verdacht ik Trillian een tijdje, Firefox 3, winamp... Na steeds meer progs van mijn PC te hebben verwijderd besloten om eieren voor mijn geld te kiezen en mijn PC te formatteren en opnieuw Vista te installeren. Gek genoeg heeft dit niet geholpen, ik blijf bij tijd en wijlen opeens een vreemde link in een website vinden naar een malefide chinese site.

Zojuist had ik op een andere PC (winXP SP3) in mijn LAN exact hetzelfde probleem in IE6! Hierdoor ben ik mijn router nog meer gaan verdenken, zeker omdat ik zoals al eerder gezegd al weken last heb van een wegvallende verbinding. Als ik vervolgens de PC rechtstreeks aansluit (dus voor de router) dan werkt alles prima. Het gekke is dat dit probleem nog 'selectief' lijkt plaats te vinden: In weekends en 's nachts nergens last van, overdag doordeweeks meestal continue. terwijl ikzelf op dat moment geen andere dingen aan het doen ben ofzo.

Als ik erover nadenk maakt het ook meer sense dat mijn router gehackt is: Waarom anders zoveel moeite doen om malafide code in een browser te injecteren? Ik bedoel: Als je als spyware in staat bent om code in een browser in te voegen dan lijkt me dat je al heel behoorlijke controle op het systeem hebt en dit dus niet direct nodig is. Als je echter de router hebt gehackt, dan probeer je er juist alles aan te doen om de PCs erachter te infecteren.

Nou klinkt dit misschien wat paranoia (geloof me, dat wordt je ook van weken zoeken naar dit probleem), maar ik zit hier wel op een 100mbit lijn, dus kan me voorstellen dat het de moeite waard is om hier wat moeite in te investeren.

Overigens verandert de toegevoegde code ook nog steeds: De CSS is inmiddels gefixt, dus je ziet nu netjes ene heel smal dun blokje linksboven in beeld staan. Ook de URL is aangepast, deze verwijst nu naar: dx.app19.cn/ac.htm. Ik durf niet meer te gaan kijken....

Heeft iemand enig idee welke actie ik het beste kan ondernemen? Ik ga sowieso even een ander routertje neerplempen. De huidige router (Linksys WRV4400N) is voorzien van de nieuwste firmware, wireless staat uit en remote management staat uit...

@Noork: Neen, die heb ik niet. De router hangt direct aan een switch van de ISP, en die deelt IPs in een heel andere range uit.

Hosts is op alle PCs hetzelfde:



Dit heb ik zelf zo ingesteld, lijkt me weinig mis mee?

ok, nog een update. heb ook even de helpdesk van mijn ISP gebeld. Er zijn meer gebruikers van deze ISP in hetzelfde gebouw (studentenflat) die dezelfde klachten lijken te hebben. Nu ben ik even heel erg paranoia hoor, maar...

Is het mogelijk dat iemand in dit gebouw zelf een DNS-server draait (wellicht zonder het te weten), dat alle PCS dan bij die PC de DNS queries doen, en dat deze server alle web requests bijv 1 in de 1000 keer forward naar ene proxy die de geretourneerde HTML voorziet van het malafide scriptje, en zo probeert alle PCs hier te besmetten? En dat als de eigenaar van deze PC zijn computer uit heeft staan (snachts, weekends...) ik nergens last van heb?

Stel dat dit het is, is het voor mij slim om de DNS hard op IP in de router te knallen? Bestaat er een progje wat nonstop tracerts uitvoert en je een alert geeft als de route verandert? Hoe kan ik dit probleem opsporen?

[ Voor 10% gewijzigd door xilent_xage op 15-07-2008 14:35 . Reden: kleine correctie ]

Update: Ook als ik een PC rechtstreeks aan internet hang, dus zonder de router, dan verschijnt heel af en toe het externe script, dat inmiddels flink is uitgebreid. Ik zie er inmiddels niks meer van in de pagina, maar zie (een paar keer per dag, dus meestal niet) in de statusbalk dat ie allerlei scripts aan het lezen is met een .cn extensie.

Wireshark draait en logt nu continu, ik zag heel af en toe een ARP request langskomen, maar volgens mij een legitieme, van mn fileserver. Ook als ik de DNS van OpenDNS gebruik blijft het probleem optreden.

Heb dit draadje ook maar naar de helpdesk van WUR gestuurd, hoop dat die er iets mee kunnen...

Heeft iemand nog tips? Kan ik aan mijn kant nog iets doen? Of ligt alles nu in de handen van de helpdesk?

Helaas is het probleem nog niet opgelost. Omdat ik me toch wel zorgen maak ben ik nog maar eens flink gaan zoeken, en al snel stuitte (stoot?) ik op de volgende pagina:

http://s3cwatch.wordpress.com/category/uncategorized/

De scripts die op deze pagina besproken worden lijken erg op de scripts die mijn browser voor zn kiezen krijgt. Ook lijken de op deze pagina genoemde domeinnamen sterk op de domeinnamen van 'mijn' iframes.

Bijna alle exploits worden hier aangemerkt als SQL-injection. Nu snap ik best hoe SQL-injection werkt, en na het lezen van deze site snap ik ook een beetje hoe de exploits werken. Wat is alleen niet snap is het verband tussen SQL-injections en de iframes die ik te zien krijg.

Ik probeer, zoals iedere rechtgeaarde tweaker in deze situatie zou doen, te begrijpen WAT er gebeurt. Kan ik uit de link nog andere relevante conclusies trekken? Zijn er dus meer mensen met mijn probleem of is dit toch echt een andere aanval die alleen dezelfde tooltjes gebruikt?