Website NRC verspreidt malware - update 2
De websites van NRC Handelsblad en zusterkrant nrc.next hebben dinsdag een aantal uur malware verspreid. Dat heeft de uitgever van de websites van de krant, Han-Menno Depeweg, bevestigd. Het probleem zat in een extern advertentienetwerk.
De websites van NRC Handelsblad en nrc.next serveerden advertenties die malware probeerden te installeren op computers van bezoekers. Dat meldt de digitaal uitgever van de krant, Han-Menno Depeweg, op de website, die inmiddels nog steeds door onder meer Firefox en Chrome wordt geblokkeerd. Toen NRC ontdekte dat via banners malware werd verspreid, werden alle advertentiecampagnes uit voorzorg uitgeschakeld. De krant adviseert iedereen die sinds 7 uur vanmorgen op de sites is geweest, een virusscan uit te voeren.
Welk advertentienetwerk de boosdoener is, is op dit moment onduidelijk. "We weten nog niet om welk advertentienetwerk het specifiek gaat", zegt uitgever Depeweg tegen Tweakers. "Onze eerste prioriteit ligt bij het verwijderen van de infectie en de website weer bereikbaar maken." Daarna wil de krant onderzoeken waar de infectie precies vandaan komt. Duidelijk is wel dat de geïnfecteerde advertentieserver inmiddels uit de lucht is.
Hoewel de site inmiddels malwarevrij zou moeten zijn, blokkeren onder meer Firefox en Chrome de site nog. Firefox gebruikt net als Chrome de lijst van Google met websites die mogelijk gevaarlijk zouden kunnen zijn. Volgens Google werden via nrc.nl trojans verspreid, maar hostte de site zelf niet direct malware. "We hebben Google verzocht de blokkade weer op te heffen", aldus uitgever Depeweg.
Het gebeurt vaker dat websites via advertentienetwerken malware verspreiden. Eerder deze herfst deden advertenties op Telegraaf.nl dat. Vorig jaar verspreidden hackers malware via een ander advertentienetwerk, waarbij sites van onder meer Wegener en Nieuws.nl de dupe waren. In maart verspreidde NU.nl eveneens malware, maar dat gebeurde niet via advertenties: een kwaadwillende had weten door te dringen in het cms.
Update, 13:43: Volgens Security.nl gaat het om een banking-trojan die werd verspreid via een exploit voor een lek in Java, dat inmiddels zou zijn gepatcht. Gebruikers met een kwetsbare Java-versie lopen dus mogelijk gevaar.
Update, 14:53: In dit artikel was te lezen dat de malware op NRC.nl zou zijn geserveerd via het Belgische bedrijf Adhese. Dat bedrijf levert echter geen advertentieserver, maar software, die in dit geval werd gebruikt op NRC.nl. De software van Adhese serveerde in dit geval een verwijzing naar een extern javascript-bestand dat op zijn beurt weer verwees naar een malafide url, laat de cto van Adhese, Tim Sturtewagen, weten. De software van Adhese is zelf niet gehackt.
Reacties (65)
eerste prioriteit ligt bij het verwijderen van de infectie
icm
We weten nog niet om welk advertentienetwerk het specifiek gaat
Alsof ze op een boot zeggen 'onze prio is het dichten van een lek', maar 'we weten nog niet waar het lek zit'.
" Toen NRC ontdekte dat via banners malware werd verspreid, werden alle advertentiecampagnes uit voorzorg uitgeschakeld."
maar aangezien het om een externe partij gaat, wisten ze dus niet via welk advertentienetwerk...
[Edit] Overigens is NRC niet verantwoordelijk voor de inhoud van die advertenties vermoed ik - die externe partij moet dat op gaan lossen. Dus dit kan ook een issue zijn van wie wat beheert - NRC zelf -kan- dit mogelijk niet eens oplossen.
[Reactie gewijzigd door Aetje op dinsdag 13 november 2012 14:12]
Doe je dat niet, krijg je straks helemaal geen bezoekers meer.
Het zoeken naar de veroorzaker kan dan op een schaduwsite waarbij je alleen test met je eigen machines.
Om het lek te zoeken zul je het ook moeten vinden, dus moet er water door de leiding stromen zodat je het kan zoeken.
Het is natuurlijk wel verstandig om op de plek waar het druppelt een emmer te zetten om de waterschade te beperken(De advertenties niet meer doorzetten)
Analogieën-dinsdag op T.net,
.waar het gat door is ontstaan weet men niet (bron)
dus men kan prima het gat dichten en de oorzaak niet weten... ;-)
Zodra bekend is welk advertentienetwerk de infectie verspreidde kunnen de andere netwerken weer ingeschakeld worden.
Een advertentieprovider die geen begrip heeft voor het instand houden van de dienstverlening en het zo snel mogelijk veilig maken van je website zou bij mij snel de deur uit gaan.
Die "banking trojan" (Sinowal variant) heb ik hier helaas ook gehad en dat is een nasty one, inclusief keylogger en meer ellende. Is nog niet zo lang geleden ook al in het nieuws geweest gelinkt aan de ING. Deze hebben een removal tool beschikbaar gemaakt die dit soort banking trojans op zou kunnen sporen, maar aangezien Security.nl meldt dat er slechts een klein aantal scanners deze nieuwe oppikken toch handig om (zoals altijd in dit soort gevallen) niet op 1 paard te wedden en verschillende tools gebruiken.
Hier wel aardige link naar stappenplan:http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=5218
"Er is een lek, hoe zorgen we dat de boot niet zinkt."
Afsluiten van compartimenten van een boot is dan een vergelijkbaar voorbeeld.
Zoek de fouten
on: toch wel netjes dat ze gelijk de ads offline halen en opzoek zijn
[Reactie gewijzigd door Remmes_NT op dinsdag 13 november 2012 11:39]
"Laat, als u nrc.nl of nrcnext.nl vanmorgen vroeg voor zeven uur heeft bezocht, voor alle zekerheid uw virusscanner een extra scan uitvoeren. Excuus voor het ongemak."
Het is een collega-student van me een keer overkomen dat zijn laptop (weliswaar Windows, misschien scheelt het dat ik OS X gebruik) praktisch onbruikbaar werd, maar dat zal mij dus op die manier niet gebeuren.
Denk dat de meeste personen wel een tijdje zonder NRC website kunnen leven, maar toch...
Laten we beginnen met het netwerk van Google Ads
Eerst website blokken als zeer snelle reactie. Dan dieper kijken waar het zit: advertenties. Website zonder advertenties weer op en dan de verschillende netwerken testen. En dan binnen het "zieke" netwerk dieper zoeken naar de oorzaak.
De website blokkeren kan snel en daarna heb je wat tijd om de oorzaak te zoeken. Het had ook ergens anders kunnen zitten dan in de advertenties, bv in de cms.
Ik denk dat die ouwe pa van mij weer een goed voorbeeld is. 57 jaar oude hoogopgeleide met niet heel veel interesse in de diepgang van computers. Gewoon gebruiken en zelfs daar af en toe in een boek of magazine hulp zoeken.
Hij vroeg me laatst (ik woon inmiddels niet meer thuis of zelfs in hetzelfde land), aan de hand van een artikel in NRC (nota bene) of hij wel ad block had want een paar dingen baarden hem zorgen:
• Het negeren van "do not track" door sommige providers
• Het feit dat dit verhalen af en toe naar boven komen en dat je niet weet wie de advertentienetwerken zijn altijd.
Het komt er op neer, en dat is slecht voor Tweakers, NRC, en iedereen, dat mijn eigen ouwe vader nu naast een firewall, virusscanner, malware/spyware scanner, een adblocker ook een must vind voor z'n beveiliging... en tsja... dat is bij hem dus nu gebeurt. Ik moet eerlijk bekennen dat ik, als beroeps IT-er, wel vertrouw op mijn virusscan, maar ook snap dat definitie files & updates responsief zijn in plaats van preventief in veel gevallen. De kans dat er een foute ad tussen zit is zelfs met de sterkste chrome/firefox/linux/virtualisatie sandbox nooit 100% uitgesloten. En alles kan besmet worden. Ik ga niet specifiek voor die angst een in-memory OS draaien wat self-resetting is. Ik hou wel van het gemak en drivermodel van Windows (8 in mijn geval). Wat kun je dan het beste doen? Een goeie firewall draaien, zo veel mogelijk connecties versleutelen, virusscanner draaien en up-to-date houden, en tsja... zo veel mogelijk non-domain content blokkeren op websites... zoals advertentienetwerken. Ik heb tweakers whitelisted in mijn adblocker maar dat betekent dat ik jullie moet vertrouwen, en echt transparant zijn jullie nou ook weer niet in jullie informatie over waar de ads vandaan komen. Ik kan er achter komen maar goed, liever wat transparantie & blame voordat ik via tweakers een trojan heb
Zoals je misschien ook opmerkt is datgene waar je vader bang voor is niet volledig met technische middelen op te lossen. Het blijft een (soms zeer effectieve) pleister op de wond.Hij vroeg me laatst (ik woon inmiddels niet meer thuis of zelfs in hetzelfde land), aan de hand van een artikel in NRC (nota bene) of hij wel ad block had want een paar dingen baarden hem zorgen:
• Het negeren van "do not track" door sommige providers
• Het feit dat dit verhalen af en toe naar boven komen en dat je niet weet wie de advertentienetwerken zijn altijd.
Het komt er op neer, en dat is slecht voor Tweakers, NRC, en iedereen, dat mijn eigen ouwe vader nu naast een firewall, virusscanner, malware/spyware scanner, een adblocker ook een must vind voor z'n beveiliging... en tsja... dat is bij hem dus nu gebeurt.
Een goed beleid zou het ontmoedigen van foute content serveren unnen zijn: maak de site-eigenaar (binnen redelijkheid en billijkheid) verantwoordelijk voor de content die zijn site van third-party sites afhaalt. In dit geval zou dan NRC (mede)verantwoordelijk zijn.
Met Linux loop je ook minder snel tegen de lamp aan
. En dat is een prima omgeving om mee te browsen .Ik kan best indenken dat spelletjes mensen geen linux willen hebben puur omdat de spelen uitgebracht worden voor windows computers. maar om nou gelijk 80 procent te noemen vind ik een beetje te veel.
Steek van wal zou ik zeggen.
Om gek van te worden.
Ik heb ook altijd standaard adblock aan , maar dat hous maar een beetje tegen
[Reactie gewijzigd door A87 op dinsdag 13 november 2012 11:55]
Lezen is ook zo moeilijk...Welk advertentie systeem is het? Is dat niet bekend gemaakt?
Welk advertentienetwerk de boosdoener is, is op dit moment onduidelijk
Waar je vroeger simpele banners had voor de reclame heb je tegenwoordig een array aan scriptjes die van alles en nog wat doen om maar zo "efficient" mogelijk reclame tonen. Dat is, mijns inziens, vragen om problemen en is ook iets wat in de toekomst anders moet.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
