Het valt mij op dat er bij ons de afgelopen maand enorm veel misbruik wordt gemaakt voor phishing sites. Tot voor kort hebben wij hier nog nooit last van gehad, de afgelopen maand echter wel een keer of 10 nu al minimaal. Dan wordt er gebruik gemaakt van lekken in scripts van klanten om hier eigen files te uploaden.

Ik vind dit wel enorm typisch namelijk en vermoed zelf dat de georganiseerde misdaad hierachter zit, aangezien het opeens zo explosief toegenomen is op onze servers.

We hebben om onze klanten erop te wijzen ook een flinke nieuwspost erover gemaakt op onze website, hopelijk worden de gebruikers wat verstandiger (vrees het niet, magoed).

Maar is dit alleen bij ons of hebben meer bedrijven hier last van? Want ik kan me eigenlijk amper voorstellen dat dit probleem alleen bij ons speelt.

Recentelijk ook hier, (naja, tot 2 maal toe). Er was een lek gebruikt in het Serendipity CMS/Weblog systeem van een klant waardoor er o.a. een phising site van de HCBS bank en Wells Fargo op stond.

Misschien is het handig om te schrijven dat via webinterface geen php en cgi bestanden kunnen worden geupload.
Het beste is je klanten goed inlichten hoe ze hun site kunnen beveiligen.
Ik kom ook regelmatig van die Paypal sites tegen. Gelukkig staan ze niet op mijn servers.

Misschien is het handig om te schrijven dat via webinterface geen php en cgi bestanden kunnen worden geupload.
Het beste is je klanten goed inlichten hoe ze hun site kunnen beveiligen.
Ik kom ook regelmatig van die Paypal sites tegen. Gelukkig staan ze niet op mijn servers.
Het zijn ook altijd simpele html bestandjes, dus met die beperking voorkom je het alsnog niet.

Het komt in vlagen. Dan hebben we weer een maand niks, en dan weer vijf in een week.

Volgens mij ontdekken ze af en toe een exploit in een of ander slecht geprogrammeerd script, en dan exploiten ze daar alles mee wat ze in google vinden.

Volgens mij ontdekken ze af en toe een exploit in een of ander slecht geprogrammeerd script.
Vergeet "gedateerde versie" niet.

Volgens mij ontdekken ze af en toe een exploit in een of ander slecht geprogrammeerd script, en dan exploiten ze daar alles mee wat ze in google vinden.
Als ze niet gewoon alle domeinnamen e/o ip adressen proberen :)

Recentelijk ook hier, (naja, tot 2 maal toe). Er was een lek gebruikt in het Serendipity CMS/Weblog systeem van een klant waardoor er o.a. een phising site van de HCBS bank en Wells Fargo op stond.
Wij hebben het tot tweemaal toe gehad dat de phishing site niet op onze servers gehost werd, maar dat er via een XSS lek bij (een) klant(en) voor gespamt werd.
Erg irritant.

:eek: we hebben er 12 gehad deze maand
Help! zijn hier geen detectie scripts voor?

:eek: we hebben er 12 gehad deze maand
Help! zijn hier geen detectie scripts voor?

find /path/to/www -exec grep -rli 'paypal' '{}' \;Kan lang duren... Vervang paypal eventueel door een andere, veel voorkomende, string.
Wellicht dat een IDS als snort requests naar dergelijke websites ook wel kan herkennen (eventueel met een eigen rule).

find /path/to/www -exec grep -rli 'paypal' '{}' \;Kan lang duren... Vervang paypal eventueel door een andere, veel voorkomende, string.
Wellicht dat een IDS als snort requests naar dergelijke websites ook wel kan herkennen (eventueel met een eigen rule).
Grep dan door de apache logfiles in plaats van door de directories ;)

Wij hadden ook last van een hoop phishing sites op accounts van klanten, wachtwoorden daarvan wijzigen en de beveiliging aanscherpen op de servers heeft het probleem verholpen.

We hebben tevens ipadressen van de mensen die de phishing sites erop plaatsen, allemaal amerikanen. Echter als je een mail stuurt naar hun provider krijg je geen reactie..

Ze kwamen bij ons op de servers door brute force attacks, een brute force detector icm apf firewall heeft dat probleem in elk geval verholpen.

Groetjes, Nick

we hebben dagelijks zo'n 3-4 phising reports. We zouden dit kunnen blokkeren door http requests in GET requests te blokkeren, maar daar zitten ook wat haken/ogen aan. En abuse mail heeft geen zin naar alles buiten de Benelux, das gewoon verspoelde moeite .... helaas

Ik heb op de windowsserver ook behoorlijk last hiervan gehad. HCBS bank en Wells Fargo stonden in diverse webmappen.
Probleem bleek uiteindelijk te zitten in PHP-Scripts (VWAR en PHPbb).

Enige manier waarop ik dit kon ontdekken en in de gaten houden was kijken in de FTP logfiles.
Ik zou willen dat er een programma was om "rare dingen" te kunnen opsporen.

99% van die exploits gebruikt /tmp een shell te uppen en vanuit daar toegang te krijgen tot de server.

Het plaatsten van /tmp op een aparte partitie en die mounten met de opties noexec en nosuid is voldoende om het gros van de exploits tegen te gaan.

[EDIT]
Ik heb maar een kleine tutorial in elkaar gedraaid met de oplossing voor dit probleem:

http://www.webhostingtalk.nl/scripting-techniek-beveiliging/99752-voorkom-een-aantal-exploits.html#post738831

Dat helpt denk ik weinig, we hebben ook zo iets gedaan, maar ze zoeken gewoon een andere directorie (gaat zo'n beetje automatisch). Ze kunnen ook een perl/php script in de /tmp map zetten en deze laten uitvoeren door perl/php. Zal je misschien een heel klein beetje helpen. Just my 50 cents ...