Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Internet » IIS-servers besmet met kwaadaardige JavaScript-code

IIS-servers besmet met kwaadaardige JavaScript-code

Door Gabi Gaasenbeek, vrijdag 25 juni 2004 22:27
Bron: Sans, submitter: hasse_m, views: 24.159

Een aantal grote internetsites zijn besmet met kwaadaardige zichzelf verspreidende JavaScript-code. Het uit Rusland afkomstige trojaans paard verspreidt zich via deze pagina's razendsnel verder. Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite. Men denkt dat de originele webpagina's schoon zijn en dat het hier dus over de caching servers gaat. Als een onwetende bezoeker een plaatje van de site bekijkt wordt de kwaadaardige code meegestuurd. Daarna wordt er contact gezocht met een ip-adres in Rusland of Noord-Amerika waarvandaan een keylogger wordt geïnstalleerd en het systeem wordt opengezet voor ongeautoriseerde toegang voor de aanvaller. Het Russische adres staat bekend als een afzender van spam.

Alleen servers met Microsofts IIS zijn vatbaar voor de gevaarlijke code. Deze maakt gebruik van een bekende beveiligingsfout van deze software. IIS-beheerders ontdekten vreemde .dll-bestanden met javascript code. De code die zich via deze servers verspreidt heeft het alleen gemunt op systemen met Microsoft Windows en Internet Explorer. In de browser zitten twee gevaarlijke bugs die nog niet door Microsoft gepatcht zijn. Er is wel een remedie tegen deze besmetting: het uitzetten van JavaScript of een alternatieve browser. Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk. De verspreiding is al een paar dagen aan de gang, de eerste ontdekte besmetting dateert van 20 juni.

Virus cartoon / illustratie
Volgende 22:41
Vorige 18:56

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 92 reacties zichtbaar920 Off-topic / Irrelevant: 88 reacties zichtbaar88+1 On-topic: 71 reacties zichtbaar71+2 Informatief: 28 reacties zichtbaar28+3 Must-read: 9 reacties zichtbaar9
«  1  2  3  »

Door Brent, vrijdag 25 juni 2004 22:29

Score: 0
Wat ben ik toch blij dat ik FireFox gebruik :) Zelfs Windows is er veilig mee geworden :)

Door wildhagen, vrijdag 25 juni 2004 22:31

Score: 3
Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk.
Van McAfee weet ik dat er een Super EXTRA.DAT is uitgebracht (te downloaden op http://a64.g.akamai.net/7/64/2015/2003-08-04-03-/download.nai.com/prod ucts/mcafee-avert/100488-a.exe), die het zaakje detecteert.

Microsoft heeft overigens zelf ook een pagina gewijd aan dit probleem: http://www.microsoft.com/security/incident/download_ject.mspx

Edit: dit was niet bedoeld als reactie op Breepee, maar als reactie op het hoofdartikel...

Door Flipz, vrijdag 25 juni 2004 22:50

Score: 1
* 786562 Flipz

Door frice, zaterdag 26 juni 2004 10:44

Score: 1
Dat IIS nog marktaandeel heeft verbaast me eigenlijk. Die mannen hebben inderdaad a pache nodig :)

EPrimus: duhhhh :)

Door niqck, zaterdag 26 juni 2004 11:29

Score: 2
Reactie op EPrimus:
Als je geen Engels kan, probeer het dan ook niet te gebruiken aub...
Als je geen humor hebt, post je best ook niet...

a pache = Apache, een alternatieve webserver...

Door John_Smith, zaterdag 26 juni 2004 12:00

Score: 2
Als je een post niet begrijpt probeer hem dan ook niet af te kraken aub...

Door eamelink, zaterdag 26 juni 2004 18:51

Score: 2
Ja, dat zou erg leuk zijn, jammer dat je .net site dan niet meer werkt :)

En nee, mono is nog niet af :P

Door Seven of Nine, zondag 27 juni 2004 12:58

Score: 2
Sorry hoor, maar die tweede pagina vind ik wel HEEL ERG krom, althans, wel een link op die pagina. Dan gaat het mij om Step 3: Read E-Mail Messages in Plain Text. Zitten ze met OE zo ongelofelijk te hameren op HTML e-mails en newsgroup-posts, elke OE stuurt een mailtje in HTML, elke Outlook smaak stuurt zelfs EDHTML (Extremely Dirty HyperText Markup Language ;+ ), en dan gaan ze doodleuk roepen dat je e-mails in plaintext moet gaan zitten bekijken. Als ze nou gewoon e-mails in Plaintext versturen en die HTML support by default uitzetten, scheelt nog een hoop bandbreedte ook...

edit: okee, dit is wel een beetje heel erg offtopic, maar het moest me echt even van m'n hart.

Door Chatslet, zaterdag 26 juni 2004 16:28

Score: 2
Ook erg leuk dat ze erbij zetten om welke versies van IIS het gaat. Als je op de microsoft site kijkt zie je dat het alleen IIS5 is.

Door El Snorro, vrijdag 25 juni 2004 22:33

Score: 0
Ben ik weer even blij dat ik onlangs ben overgestapt op mozilla firefox.
Is handiger, mooier, beter ingedeeld en dus ook nog veiliger :Y)

Door kickbill, zaterdag 26 juni 2004 00:46

Score: 2
Ik blijf me verbazen over de geheimzingheid die altijd rond dit soort extreem kritieke lekken van IIS / IE hangt. Dit is al extreem kritiek probleem nr XXL dus je zou verwachten dat er binnen 24 uur een oplossing is..... dag 3.... De concurentie Firefox / mozilla / opera / redhat/ novell/ ibm / pache, etc kunnnen het wel

Door Lucky, vrijdag 25 juni 2004 22:34

Score: 0
Zou dit probleem misschien verband hebben met dit lek?

http://www.tweakers.net/nieuws/32863/?highlight=internet+explorer

Nog een reden om over te stappen op:
http://www.mozilla.org/products/firefox/

Door raf, vrijdag 25 juni 2004 22:35

Score: 3
Mooi overzicht op http://isc.sans.org

"The attack, which had turned some Web sites into points of digital infection was nipped in the bud on Friday, when Internet engineers managed to shut down a Russian server that had been the source of malicious code for the attack. Compromised Web sites are still attempting to infect Web surfers' PCs by referring them to the server in Russia, but that computer can no longer be reached."
http://www.cnet.com 22:25

Door ploegercr, vrijdag 25 juni 2004 22:38

Score: 1
Nou lekker dat...

wat ik nu niet snap is dat dit probleem dus al een tijdje bekend is maar er niet op gereageerd is. Er wordt nogal geheimzinnig overgedaan. En wat valt me nu op dat het waarschijnlijk gaat over caching sites.... Had AKAMAI niet van de week of vorige week een grote storing. En trof dat niet een zoekmachine en een veilingssite.

Daarnaast blijkt dat IIS5 alleen is getroffen en niet IIS6?

Ik vinde de boven genoemde ounten wel heel tievallig... mischien maar een conspiracy theory?

Overigens Als antivirus vbedrijven er nog niets tegen hebben... Dan vraag ik me het helemaal af. denk dat webserver virussen toch wel HOOG op de PRIORITEITEN LIJST staan????????
We leven nu op de 25e juni!

---> Mishcien heeft iemand wat aan toe te voegen . Ik wil wel eens weten hoe hety nou allemaal zit. maar er klopt iets niet!

Door Olaf van der Spek, vrijdag 25 juni 2004 22:41

Score: 1
Microsoft teams are investigating a report of a security issue affecting customers using Microsoft Internet Information Services 5.0 (IIS) and Microsoft Internet Explorer, components of Windows.

Door boiert, vrijdag 25 juni 2004 22:43

Score: 0
akamai.com :

HTTP/1.0 200 OK
Server: Apache/1.3.26 (Unix)
Last-Modified: Mon, 07 Jun 2004 19:09:00 GMT
ETag: "d7454-52a-40c4bd4c"
Accept-Ranges: bytes
Content-Length: 1322
Content-Type: text/html
Date: Fri, 25 Jun 2004 20:42:10 GMT
Connection: close

Door PowerFlower, vrijdag 25 juni 2004 22:39

Score: 2
In dit bericht wordt wel gezegd dat alleen IIS servers vatbaar zijn voor besmetting (de eerste besmetting, die er vervolgens voor gaat zorgen dat clients besmet raken met de backdoor), maar het is vooralsnog niet bekend hóe die IIS servers besmet raken. Eén van de suggesties is zelfs dat ze besmet geraakt zijn doordat de sysadmins op de server zelf met IE hebben zitten browsen ;)

Door digital_mayham, zaterdag 26 juni 2004 00:29

Score: 1
Kan ik me goed voorstellen. Allemaal ZO makkelijk onder windows. Point, click, return en huppakee, tijd over om op de klant z'n server lekker ff wat porno te bekijken of films te downloaden :P

Door RetepV, zaterdag 26 juni 2004 01:13

Score: 2
Nou, het is nogal moeilijk om niet IE te gebruiken, als je je machines up-to-date wil houden met Windows Update...

En dat up-to-date houden is nogal nodig, juist om dit soort gaten te dichten.

Door Pogostokje, zaterdag 26 juni 2004 10:26

Score: 2
Oh, dat kan best hoor. Je kunt ELKE update ook gewoon los downloaden van Microsoft. Keurig uit een lijstje. Dan moet je dus alleen zelf uitzoeken welke je wel en welke je niet nodig hebt. Gelukkig kan je dat voor critical updates zo opvragen door de Microsoft Baseline Security Analyzer (gratis te downloaden van Microsoft) te draaien op je systeem. Die checkt van alles rondom security op je systeem, waaronder ontbrekende critical updates. Zo kan je zelfs updates bij elkaar zoeken op een systeem wat niet aan het internet verbonden zit of waar de Windows Update om een andere reden niet beschikbaar is.

Door Chatslet, zaterdag 26 juni 2004 16:32

Score: 1
heb je ff een dagje om ze 1 voor 1 te downloaden?

Door AlBundy, maandag 28 juni 2004 09:18

Score: 1
Je kan ook gewoon alleen maar IE gebruiken om Windows Update te gebruiken.

Of nog beter, ik ben van mening dat de manier waarop Windows Update nu werkt, ook een manier is van Microsoft om gebruikers toch afhankelijk te maken van IE, het zou eigenlijk gewoon in de meeste browsers moeten kunnen werken.

Door Philip, zaterdag 26 juni 2004 11:16

Score: 1
Is wel bekend hoe IIS servers geinfecteerd raken, zie pagina van microsoft hierover..

Als je IIS met alles patches hebt dan heb je er geen last van... gewoon kwestie van up to date zijn met pachtes, hoewel deze patch al een tijdje uit is..

Door GambitRS, zaterdag 26 juni 2004 03:26

Score: 3
Als je zeker wil weten dat alle sites 100% werken dan is IE de enige keuze. Dit komt omdat er van die rare code in zit. Sommige websites worden met rare code geschreven en dan raken sommige browsers de weg kwijt.

Bovendien is het downloaden en installeren en het daarna aanpassen van de instellingen zodat IE niet meer je default browser is een hoop gedoe, vergeleken met simpelweg het IE icoon dubbelclicken.

Omdat meer dan 90% van de internetters een IE browser gebruikt is het natuurlijk makkelijk te zeggen dat IE zo lek als een zeef is en mozilla e.d. niet omdat daar geen hacks en virussen voor gemaakt worden (of iig heel weinig), maar als MS opeens mozilla mee ging leveren en 90% mozilla zou gebruiken dan zou dat het nieuwe platform voor virussen e.d. worden en zou er een hoop geblaat zijn over hoe lek mozilla wel niet is.

Relativeren is ook een kunst :)

Door boesOne, zaterdag 26 juni 2004 08:11

Score: 1
Als je zeker wil weten dat alle sites 100% werken dan is IE de enige keuze. Dit komt omdat er van die rare code in zit. Sommige websites worden met rare code geschreven en dan raken sommige browsers de weg kwijt.
Er zijn maar een paar sites die niet werken in FFox. Voor die sites is er een handige extension: "open this link in IE".
Bovendien is het downloaden en installeren en het daarna aanpassen van de instellingen zodat IE niet meer je default browser is een hoop gedoe, vergeleken met simpelweg het IE icoon dubbelclicken.
Da's precies de zwakte van het windows/IE platform.. de mentaliteit klikken..overal op klikken. Juist daarom moet je geen IE gebruiken. Zomaar klikken is link. Zeker als je denkt tweaker te zijn moet je dat weten.
maar als MS opeens mozilla mee ging leveren en 90% mozilla zou gebruiken dan zou dat het nieuwe platform voor virussen e.d. worden en zou er een hoop geblaat zijn over hoe lek mozilla wel niet is.
Nou, dat weet je helemaal niet. Er zijn nogal wat ongepatchte exploits voor IE. Voor FFOX en Moz niet. We weten in ieder geval zeker dat MS niet goed patched. Je kan niet concluderen dat dat ook voor FFOX geldt. Bug vrij zal FFOX niet zijn, maar wel opensource. Die openheid betekent transparantie en dat betekent een grotere kans op snelle patches.

Door Datafeest, zaterdag 26 juni 2004 12:00

Score: 1
Kletskoek.
Een jaar of wat geleden was het toch vaak noodzakelijk om Internet Explorer erbij te pakken, terwijl je wat anders gebruikte.
Zelf gebruik ik nu Firefox (ik ben net overgestapt van Opera :+), MSIE gebruik ik een jaar niet meer. Het gebeurd mij echt zo ontzettend weinig dat website's niet werken op mijn browser. Zo weinig dat dit geen argument meer is om MSIE te blijven gebruiken. Die paar brakke website's die overblijven zijn vaak de moeite toch niet waard. Er zijn geloof ik een aantal banken die MSIE-only zijn, die nemen zichzelf duidelijk niet serieus waardoor je je het beste kunt afvragen of je daar uberhaupt lid van wilt zijn.

Ik ben het er mee eens: Als je als tweaker zijnde aan de Internet Explorer zit, moet met een betere reden aankomen dat die jij noemt, of je hard schamen.

* 786562 Databeest

Door dxl, zaterdag 26 juni 2004 10:37

Score: 1
Ik gebruik nu SlimBrowser(www.flashpeak.com)
en dat is ook IE-based.
Alles wordt hier goed weergegeven(ookal is het niet CSS/XHTML-valid).
Ik heb natuurlijk wel ActiveX uitstaan.
JS zet ik maar niet uit want dan kom ik niet meer op veel sites.
(Probeer maar eens T.net te bezoeken zonder JS)

Door Johnny, vrijdag 25 juni 2004 23:00

Score: 3
Zoiets kan niet met Javascript, alleen met de Microsoft implementatie die ze JScript noemen en dat combineren met VBScript/ActiveX wat ze samen weer "active scripting" noemen.

Door crisp, vrijdag 25 juni 2004 23:15

Score: 3
inderdaad, javascript wordt alleen gebruikt in dit geval om een connectie te maken naar de Russische server die vervolgens weer naar alle waarschijnlijkheid de iframe-exploit gebruikt om JScript, VBscript of ActiveX uit te voeren als ware het in de local zone.

Door raf, vrijdag 25 juni 2004 23:22

Score: 0
en die server ligt er nu gelukkig uit...

Door Felix, zaterdag 26 juni 2004 00:49

Score: 1
Ja, vanwege het enorme aantal verzoeken :D

Door r a a p i e, vrijdag 25 juni 2004 23:08

Score: 0
zit al een tijdje op Firefox. nooit meer IE!

Door TafkaT, vrijdag 25 juni 2004 23:10

Score: 1
Het javascript installeert alleen de keylogger (zoals zoveel malware geinstalleerd word), de daadwerkelijke lek is nog onbekend volgens de bron.
(was reactie op Johnny5, xcuse)

Door crisp, vrijdag 25 juni 2004 23:18

Score: 3
Javascript kan niets installeren, het kan hooguit een ActiveX component aansturen - dat is ook de reden dat het niet werkt in browsers als FireFox.

Javascript an sich is harmless; uitzetten betekent dat heel veel websites niet meer goed functioneren (iig Tweakers.net zal niet meer werken ;) ) - een andere browser is een veel meer voor de hand liggende bescherming dan het klakkeloos uit gaan zetten van javascript. Ik snap ook niet dat dat elke keer weer aangeraden wordt, dat is net zoiets als de tip om url's over te typen in plaats van ze aan te klikken 8)7

Door TafkaT, vrijdag 25 juni 2004 23:23

Score: 1
Misschien verwoord ik het verkeerd, of ik snap het bericht niet helemaal, maar dat het installeren via javascript verloopt wordt echt gesuggereerd, en wordt zelfs gequote:
<script language="JavaScript">
<!-- var qxco7=document.cookie;function gc099(n21)
{var ix=qxco7.indexOf(n21+"=");
etc.
edit:
Het lijkt dat via het javascript een file vanaf een andere server als footer wordt gebruikt, wat de echte besmetter zou zijn. Je hebt dus gelijk :)

Door crisp, vrijdag 25 juni 2004 23:27

Score: 2
Het bericht klopt niet, de uiteindelijke installatie wordt ook niet mbv javascript gedaan. Mensen zien een stukje javascript en geven dat meteen de schuld. Sommigen moeten zich eens wat meer in de techniek verdiepen lijkt me in plaats van elke keer de schuld op javascript af te schuiven...

Ik heb dat stukje JS bekeken, en het installeerd niets en heeft ook geen mogelijkheden zichzelf te verspreiden. Ik zie het uiteindelijk wel een extern script inladen, en dat script zal waarschijnlijk een ActiveX component embedden wat vervolgens via JS aangeroepen wordt. Dat ActiveX component bevat het uiteindelijke virus dat geinstalleerd wordt.

Door kimborntobewild, zaterdag 26 juni 2004 02:19

Score: 1
@Crisp:
M.a.w. Javascript regelt alles, stuurt alles aan.
Dus is Javascript op z'n minst mede-schuldig.

Door crisp, zaterdag 26 juni 2004 13:46

Score: 1
Het had ook VBScript kunnen zijn dat alles aanstuurde (daar zijn ook gevallen van bekent), en misschien zijn er wel lekken in IE waarbij je gewoon met puur HTML kwaad kan doen of een ander component buiten de sandbox kan uitvoeren (ik ken een stukje HTML waarmee je IE keihard kan laten crashen).
Zullen we dan maar gaan adviseren om helemaal niet meer op internet te surfen, of alleen maar flash-pagina's te bezoeken? (oh nee, dat gaat in IE weer via ActiveX)

De hier getoonde javascript doet het ook prima in bijvoorbeeld FireFox, maar daar loop je vervolgens geen virus op. Hoe kan de javascript code dan kwaadaardig zijn?

Door mxcreep, zaterdag 26 juni 2004 21:21

Score: 1
@kimborntobewild

Ja en die javascript was weer embedded in de html, dus die is ook schuldig...getransporteerd via http protocol......ook schuldig.......die op zijn beurt weer over tcp-ip protocol.....ook schuldig......naja we zijn er al....het is de schuld van internet :)
In elk geval niet van een stel prutsers uit redmond waarbij steeds weer problemen opduiken met activex componenten die ellende veroorzaken :P
Mag je fijn weer windows updates draaien en op je knieeen bidden dat er dan geen andere dingen stuk gaan...

Door ironx, vrijdag 25 juni 2004 23:23

Score: 1
Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite.
Dan heb ik al snel een donkerbruin vermoeden dat die veilingsite eBay is, aangezien dat de grootste is én op Windows Server 2003 draait.

Wat me toch wel blijft verbazen is het feit dat IIS toch keer op keer zo kwetsbaar blijkt te zijn...

Door wildhagen, vrijdag 25 juni 2004 23:27

Score: 3
Dan heb ik al snel een donkerbruin vermoeden dat die veilingsite eBay is, aangezien dat de grootste is én op Windows Server 2003 draait.
Zoals MS zelf al zegt in dit artikel geld de vulnerability ALLEEN voor Windows 2000 en IIS5.

Windows 2003 draait met IIS6, dus die kan het dan niet zijn...

Daarnaast is de patch voor deze bug volgens diezelfde site te vinden in fix MS04-011, die is dus van 13 april dit jaar... met andere woorden: de fix is er dus al bijna 2.5 maand...

Door crisp, vrijdag 25 juni 2004 23:32

Score: 3
En diezelfde fix is ook berucht om de problemen die het veroorzaakt op sommige systemen...

Daar is trouwens ook weer een fix voor, maar die is alleen beschikbaar voor klanten met een supportcontract.

Door wildhagen, vrijdag 25 juni 2004 23:36

Score: 2
En diezelfde fix is ook berucht om de problemen die het veroorzaakt op sommige systemen...
En ook daar zijn al één maand lang oplossingen voor (vanaf 27 mei al): http://support.microsoft.com/default.aspx?kbid=841382

Maarja, als de systeembeheerders/users te lui zijn om dat allemaal even te regelen... tsja, dan moeten ze nu ook niet klagen natuurlijk.
Daar is trouwens ook weer een fix voor, maar die is alleen beschikbaar voor klanten met een supportcontract.
Jazeker, maar een beetje zichzelf respecterend bedrijf hééft een support-contract. Hoe ga je anders om met problemen die je niet opgelost krijgt?

En mocht je onverhoopt geen contract hebben, op die site site staan ook een aantal work-arounds.

Door crisp, vrijdag 25 juni 2004 23:44

Score: 0
ja, en ook dat heb ik een maand geleden al gelezen en geprobeert maar dat verhielp in ieder geval niet de problemen die ik had met deze hotfix, en jammer genoeg ben ik maar een particulier...

Gelukkig draai ik geen IIS meer, en windows heeft z'n langste tijd hier ook wel gehad ;)

Door cdhoestje, zaterdag 26 juni 2004 13:21

Score: 2
Jazeker, maar een beetje zichzelf respecterend bedrijf hééft een support-contract. Hoe ga je anders om met problemen die je niet opgelost krijgt?
Door een support contract af te sluiten met een onafhankelijke partij. Net zoals je doet met alle andere productie middelen in je bedrijf.
Het "supportcontract" van je verwarmings installatie, autopark(je) en bedrijfsruimte sluit je óók niet af bij de fabrikant van deze spullen. Waarom moet dit dan bij microsoft wel?

Door RuL0R, zaterdag 26 juni 2004 18:50

Score: 1
Waarom moet dit dan bij microsoft wel?
Omdat een verkoopmiepje in de softwarewinkel er waarschijnlijk niet genoeg verstand van heeft...

Door webster, zaterdag 26 juni 2004 00:54

Score: 1
Wat me toch wel blijft verbazen is het feit dat IIS toch keer op keer zo kwetsbaar blijkt te zijn...
Ga jij maar eens opzoeken wanneer de laatste patch voor *IIS* is verschenen. Dat is echt heeeel lang geleden, dus niet zo snel brullen...

Het zou me niets verbazen als het uiteindelijk allemaal aan IE blijkt te liggen en IIS slechts indirect 'gebruikt' wordt.

Door aspfreakout, zaterdag 26 juni 2004 22:03

Score: 0
Fout: enkel IIS 5 is vatbaar, dus win2k3 niet, tenzijn IIS5 afzonderlijk werd geïnstalleerd :)
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 22:41
Vorige 18:56
VNU Media logo Hosted by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: