Hallo allen,

Door een uit de hand gelopen hobby, host ik meerdere sites mijn server, dit was eigenlijk nooit de bedoeling omdat ik er gewoon niet genoeg van af weet.
Maar misschien weten jullie het nog uit jullie begin tijd, als het draait en je houd de updates bij gaat het best lekker.

Fout natuurlijk, want zodra er wat echt aan de hand is, dan zit je.

Goed dat is nu bij mij het geval, om de een of andere reden hebben alle site een iframe onder de html tag, en ik kan de oorzaak niet vinden...

Heb een grep uitgevoerd, maar die vindt ook niets.

Is er iemand die mij verder wilt helpen met dit probleem?

Groetjes,

Marcel

Beste Marcel,

Zou best even snel een kijkje willen nemen en u op weg helpen.
Wat mij betreft heb ik nu nog even tijd en het kan ook nog kosteloos en no strings attached :-)

Neem anders even contact met mij op middels info apending vertixo.com

Ik zou dat genereuze aanbod van cyberbootje snel aannemen.

Ik heb er de laatste week al wat slapeloze nachten opzitten. Er is een botnet aan 't vormen met een redelijk gesofisticeerde aanval: Ajax. Zowat alle CMS'en, fora, gallery's etc. zijn blijkbaar kwetsbaar. Soms de core, soms plugins.

Er wordt uiteindelijk een shell geladen die volledig geautomatiseerd naar de volgende servers op zoek gaat. En de shell loader zit overal, .htaccess, database...

Geen sporen gevonden in logs tot nu toe. Veel hosters worden compleet gecompromitteerd. En niet via gepikte ftp paswoorden. Alhoewel ze ook alle paswoorden pikken die ze kunnen vinden.

Degenen die hier achter zitten zijn blijkbaar ook blackhat SEO's want tussendoor zorgen ze er ook nog voor dat er een aantal websites denken dat ze veel bezoekers krijgen. En ze hebben de ballen om Russen met duistere achtergronden te belazeren. Enkel zijn al goed kwaad.

Ik zou dat genereuze aanbod van cyberbootje snel aannemen.

Ik heb er de laatste week al wat slapeloze nachten opzitten. Er is een botnet aan 't vormen met een redelijk gesofisticeerde aanval: Ajax. Zowat alle CMS'en, fora, gallery's etc. zijn blijkbaar kwetsbaar. Soms de core, soms plugins.

Er wordt uiteindelijk een shell geladen die volledig geautomatiseerd naar de volgende servers op zoek gaat. En de shell loader zit overal, .htaccess, database...

Geen sporen gevonden in logs tot nu toe. Veel hosters worden compleet gecompromitteerd. En niet via gepikte ftp paswoorden. Alhoewel ze ook alle paswoorden pikken die ze kunnen vinden.

Degenen die hier achter zitten zijn blijkbaar ook blackhat SEO's want tussendoor zorgen ze er ook nog voor dat er een aantal websites denken dat ze veel bezoekers krijgen. En ze hebben de ballen om Russen met duistere achtergronden te belazeren. Enkel zijn al goed kwaad.
Niet alleen de laatste weken, maar het is er altijd al. Dit soort meldingen komen meestal door out-of-date installaties van bijvb joomla en ed.. Doordat elke gebruiker alleen bij zijn eigen stuff kan is het niet mogelijk om het bij alle websites aan te passen op de server, vermoed dat de webserver onder 1 account draait.

advies:

Bouw een nieuwe server, vol met recente updates, en zet de sites over.
Alles segmenteren mbv verschillende admin users, zodat een gecompromitteerde website niet meteen de hele boel onderuit trekt. (en je meteen weet waar je lekkage zit. ;-) )

Je kunt je servers nog zo up-to-date houden, als je cliënten blijven werken met verouderde CMS'en waarvan al verscheidene veiligheidslekken gedocumenteerd zijn, is het dweilen met de kraan open.

Je kunt je servers nog zo up-to-date houden, als je cliënten blijven werken met verouderde CMS'en waarvan al verscheidene veiligheidslekken gedocumenteerd zijn, is het dweilen met de kraan open.

Yep. En zelfs al is het CMS of wat dan ook up-to-date, dan zijn er nog de plugins. Vaak maken de auteurs ervan geen updates na de 1.0 release en dat is waar in dit geval o.a. misbruik van gemaakt werd. En het testen van Ajax functies is niet zo simpel, want veel testtools zien die blijkbaar niet.

Hartelijk bedankt voor jullie reacties, en hulp!

Ik ga zeker wat doen met jullie tips, ik ga nu wat users overzetten naar mijn backup server, en die sites updaten.
Onder tussen is door ®on het script gevonden in de tmp, helaas na verwijderen komt het na een uurtje weer terug.

Dus voorlopig lijkt het mij het beste 1 voor 1 de users over te zetten en alles telkens updaten en controleren?

Groetjes,

Marcel

Hartelijk bedankt voor jullie reacties, en hulp!

Ik ga zeker wat doen met jullie tips, ik ga nu wat users overzetten naar mijn backup server, en die sites updaten.
Onder tussen is door ®on het script gevonden in de tmp, helaas na verwijderen komt het na een uurtje weer terug.

Dus voorlopig lijkt het mij het beste 1 voor 1 de users over te zetten en alles telkens updaten en controleren?

Groetjes,

Marcel

Misschien handig om je /tmp te remounten met nosuid en noexec indien dit nog niet het geval was, om het script niet meer toe te laten zichzelf te starten vanaf de /tmp locatie. Indien je /tmp geen apparte partitie is kun je er ook voor kiezen om deze opnieuw aan te maken/mounten als een ramdisk/tmpfs partitie.

Dus voorlopig lijkt het mij het beste 1 voor 1 de users over te zetten en alles telkens updaten en controleren?

In mijn geval bleek een shell die zeer recente exploits bevat voor een hele lijst CMSen de boosdoener. Sommige CMSen hebben nog steeds geen update. En de loader nestelt zich bij sommige CMSen ook in de database. Ik ben nog steeds database aan 't cleanen.