Bekijk Volledige Versie : IIS-servers besmet met kwaadaardige JavaScript-code
Een aantal grote internetsites zijn besmet met kwaadaardige zichzelf verspreidende JavaScript-code. Het uit Rusland afkomstige trojaans paard verspreidt zich via deze pagina's razendsnel verder. Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite. Men denkt dat de originele webpagina's schoon zijn en dat het hier dus over de caching servers gaat. Als een onwetende bezoeker een plaatje van de site bekijkt wordt de kwaadaardige code meegestuurd. Daarna wordt er contact gezocht met een ip-adres in Rusland of Noord-Amerika waarvandaan een keylogger wordt geïnstalleerd en het systeem wordt opengezet voor ongeautoriseerde toegang voor de aanvaller. Het Russische adres staat bekend als een afzender van spam.
Alleen servers met Microsofts IIS zijn vatbaar voor de gevaarlijke code. Deze maakt gebruik van een bekende beveiligingsfout van deze software. IIS-beheerders ontdekten vreemde .dll-bestanden met javascript code. De code die zich via deze servers verspreidt heeft het alleen gemunt op systemen met Microsoft Windows en Internet Explorer. In de browser zitten twee gevaarlijke bugs die nog niet door Microsoft gepatcht zijn. Er is wel een remedie tegen deze besmetting: het uitzetten van JavaScript of een alternatieve browser. Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk. De verspreiding is al een paar dagen aan de gang, de eerste ontdekte besmetting dateert van 20 juni.
meer info: http://www.microsoft.com/security/incident/download_ject.mspx
ik heb een bericht op me forum staan van 22-06-04, gaat over htzelfde
Anybody seen or heard anything of it , my mate who works for OneAndOne hosting had a customer on phone whose been hacked and is fully updated, still got hacked .. reading on government security website of a few members mentioning it as well ...
Post de link naar je bericht even a.u.b. dan kan deze post verder door op jouw post :-) (sorry ik had dit niet gezien)
geen link, alleen een screen.
Triloxigen
26/06/04, 16:07
Ik volg het niet..
Javascript is client side...
Hoe kan het dan een server over de zeik helpen?
Je kunt met ASP wel JS serverside uitvoeren, dan kan ik het wel begrijpen..
Je kan toch serverside valsaardige code laten laden in de browser van de client? Het is bekend dat de laatste gaten in Windows nog niet gepatched zijn, dus viola, daar komt de keylogger binnen ...
Origineel geplaatst door Triloxigen
Ik volg het niet..
Javascript is client side...
Hoe kan het dan een server over de zeik helpen?
Je kunt met ASP wel JS serverside uitvoeren, dan kan ik het wel begrijpen..
Als jij een iis server hebt die niet dicht zit, en deze raakt besmet, en laadt wat dll files die op een gegeven moment over elke http stream de bewuste code meestuurt, dan heb je een redelijke perfekte verspreiding ;)
dotnetjunkie
27/06/04, 07:47
Tja, enkel IIS 5.0, dus de oude Windows 2000 servers, zijn vatbaar, ALS en ENKEL ALS ze dan ook nog eens de windows update/patch, die reeds van 13 april dateert, niet geïnstalleerd hebben... Da's er beetje om vragen hé :)
Origineel geplaatst door dotnetjunkie
Tja, enkel IIS 5.0, dus de oude Windows 2000 servers, zijn vatbaar, ALS en ENKEL ALS ze dan ook nog eens de windows update/patch, die reeds van 13 april dateert, niet geïnstalleerd hebben... Da's er beetje om vragen hé :)
Inderdaad, het betreft hier dus niet een 0-day exploit voor een nieuw gevonden lek.
http://isc.sans.org/diary.php?date=2004-06-24
http://isc.sans.org/diary.php?date=2004-06-25
http://www.dsinet.org/?id=3815
http://www.lurhq.com/berbew.html
http://www.microsoft.com/security/incident/download_ject.mspx
Ook valt het aantal geinfecteerde servers reuze mee, wel zou ik oppassen voor gigantische spamruns in de nabije toekomst.
Origineel geplaatst door dotnetjunkie
Tja, enkel IIS 5.0, dus de oude Windows 2000 servers, zijn vatbaar, ALS en ENKEL ALS ze dan ook nog eens de windows update/patch, die reeds van 13 april dateert, niet geïnstalleerd hebben... Da's er beetje om vragen hé :)
mag ik vragen waar jij dit op baseert, en als je echt in de security zit weet je ook dat er een aantal pvt exploits zijn, eng sp3 & eng sp4.
Origineel geplaatst door Mikey
mag ik vragen waar jij dit op baseert, en als je echt in de security zit weet je ook dat er een aantal pvt exploits zijn, eng sp3 & eng sp4.
Zie mijn geposte links en lees NTBugtraq, het is door meerdere onderzoeken geverifieerd.
Triloxigen
28/06/04, 14:10
Origineel geplaatst door Mikey
Als jij een iis server hebt die niet dicht zit, en deze raakt besmet, en laadt wat dll files die op een gegeven moment over elke http stream de bewuste code meestuurt, dan heb je een redelijke perfekte verspreiding ;)
Ah, dat is zeker net zoiets als die waardeloze virussen van tegenwoordig..
Die moet je eerst installeren voordat het actief word :|
Origineel geplaatst door Triloxigen
Ah, dat is zeker net zoiets als die waardeloze virussen van tegenwoordig..
Die moet je eerst installeren voordat het actief word :|
hoe bedoel je zelf installeren, dit virus werkt icm met een bug in ie.
Triloxigen
28/06/04, 17:03
Origineel geplaatst door Mikey
hoe bedoel je zelf installeren, dit virus werkt icm met een bug in ie.
De virussen van tegenwoordig moet je vaak installeren,
maar dat is hier niet het geval :)
Origineel geplaatst door Triloxigen
De virussen van tegenwoordig moet je vaak installeren,
maar dat is hier niet het geval :)
Ik zal de link wel missen, maar de laatste virussen, lsass en dcom gebasseerd helpen je arme systeem zelf wel hoor, virussen zelf installeren, hebben we het niet over spyware :) ?