Restaurantsite iens.nl verspreidde korte tijd malware

Bezoekers van de restaurantsite iens.nl kregen woensdag te maken met malware-code die op de homepage stond en een trojan probeerde te installeren. Mede met hulp van GoT-gebruikers is de malware van de site verwijderd.

Op GoT doken woensdagmiddag de eerste postings op waarin werd gemeld dat virusscanners alarm sloegen bij een bezoek aan iens.nl. In een iframe op de homepage was een pdf-document op te roepen dat gebruik zou maken van Acrobat Reader. Nadat verschillende GoT-bezoekers melding hadden gemaakt van de malware en bovendien meer details over de aanvalsmethode hadden gepost, ging onder andere de hostingprovider van iens.nl aan de slag om de schade te beperken.

In de loop van de avond is de code die het mogelijk maakte om de malware aan te roepen van iens.nl verwijderd. Volgens Roel van der Kraan van iens.nl wist een nog onbekende aanvaller in een lege folder een bestand te uploaden. De beheerders hebben een verdacht ip-adres uit Rusland kunnen traceren in de serverlogs, al geeft dit allesbehalve uitsluitsel.

Van der Kraan stelt dat er geen gevallen zijn gemeld van bezoekers die daadwerkelijk besmet zijn geraakt. Hij stelt echter dat iens.nl bezig is de beveiliging van de site aan te scherpen.

IT-banen

Reacties (28)

Verwijderd 14 juli 2011 13:40

Fijn dat er dan ook wordt geholpen door bijvoorbeeld GoT-gebruikers. Hier kan Anonymous wel wat van leren: helpen het lek te dichten, in plaats van gegevens te publiceren..

Woet @Verwijderd • 14 juli 2011 13:54

De beheerder denkt nu 'ah, dus beveilingsproblemen worden opgelost door GoT, geen nut om te investeren in beveiliging, goede programmeurs en security audits'

En over een paar weken is er een nieuwsbericht dat de site opnieuw is gehacked, dat er wel persoonlijke gegeven zijn gepubliceerd en DAN pas gaat er geinvesteerd worden in beveiliging.

Verwijderd @Woet • 14 juli 2011 14:28

Nee, ik heb vanmorgen gesproken met onze contactpersoon bij IENS. We gaan zeer serieus om met beveiligingslekken en configuratieinstellingen die van invloed kunnen zijn op de beveiliging.

Het probleem is dan ook niet "even opgelost door GoT". Uiteindelijk heb ik persoonlijk alles uitgezocht, verholpen en gecontroleerd. De informatie die werd gegeven in dat topic was wel erg bruikbaar en scheelde mij een hoop tijd. Het was snel duidelijk wat het probleem was en daardoor is het ook snel opgelost. Helaas komen wij als hosting provider zeer regelmatig dit soort malware tegen, maar dat betekent dan ook dat we over meer dan genoeg kennis en ervaring beschikken om het ook wel zonder GoT te redden.

Toevalligerwijs zag ik dit topic in mijn vrije tijd op het forum, waar ik toch al regelmatig kom. Aangezien ik wist dat dit een klant is, was ik uiteraard direct geïnteresseerd en heb ik het probleem direct verholpen. Vervolgens heb ik een mail gestuurd en heb ik vandaag uitgebreid telefonisch overleg gevoerd. Dat is volgens mij iets heel anders dan de lakse houding die je probeert te schetsen.

LDenninger @Verwijderd • 14 juli 2011 15:47

Typerend voor internet he, mensen die zonder enige context of kennis van zaken beginnen te zeiken.

Yezpahr @LDenninger • 15 juli 2011 00:49

Dan vond ik mijn gedachte erger

.
Ik dacht namelijk serieus dat Woet een extreem sarcastische opmerking plantte tegen henrydg.
In die optiek is het namelijk wel grappig en over het algemeen ook het beeld wat de meesten van een beheerder hebben.

Natuurlijk denken beheerders niet 'Who you gonna call, GoT!'.
Maar het kwam grappig over wat ie zei, toch?

mrwolf @Woet • 14 juli 2011 14:29

Ik denk niet dat het zo werkt. Ik denk eerder dat dit voor de beheerders een wake-up call is om te voorkomen dat het nog een keer gebeurt. Iens is er niet bij gebaat om negatief in het nieuws te komen.

Fireshade @Woet • 15 juli 2011 14:36

De beheerder denkt nu 'ah, dus beveilingsproblemen worden opgelost door GoT, geen nut om te investeren in beveiliging, goede programmeurs en security audits'

Of iets anders: "Als dit nog een keer gebeurt, sta ik op straat."

console 14 juli 2011 13:42

Ook SQL errortjes, misschien ook wel SQLi mogelijk.

http://www.google.nl/#q=s...e8d0764a&biw=1920&bih=904

[Reactie gewijzigd door console op 25 juli 2024 06:22]

Y0ur1 @console • 14 juli 2011 14:01

Als je SQL queries op het scherm krijgt als gebruiker en als een hacker bestanden op je server kan plaatsen heb ik niet veel vertrouwen in de rest van de code.

Wh4ck0 @console • 14 juli 2011 13:51

Inderdaad, ga me er niet aan wagen, dalijk heb ik een leuk busje op de stoep staan

Verwijderd @Wh4ck0 • 14 juli 2011 14:49

Zo'n vaart zal het niet lopen, maar het klopt dat de logbestanden de komende tijd de nodige aandacht zullen krijgen. Het is dus niet zo verstandig om nu iets op de site te proberen dat niet hoort. Mocht er namelijk iets stukgaan dan wordt het erg lastig je te verschuilen achter een "maar het ging per ongeluk en was niet mijn bedoeling."

masauri 14 juli 2011 13:39

Applausje voor de Got mensen die hieraan mee hebben geholpen! $_/-\o_$
Dat mag ook al is gezegd worden, waar "nerds"

al niet goed voor zijn.

mischaatje2 14 juli 2011 13:53

Spele.nl had hier deze week ook al last van. Ook een pdf-aanroep verstopt in een iframe. Ik weet niet of ze het al gefixt hebben maar ze hebben wel een mail van mij gekregen. Mijn moeder moet het maar even zonder haar Mahjong doen...

Carino 14 juli 2011 14:31

Bij een vorige werkgever hadden we er ook problemen mee. Niet zo zeer dezelfde aanpak, maar het principe is volgens mij redelijk hetzelfde:

- via een lek in Filezilla wisten kwaadwillende de opgeslagen credentials te achterhalen bij een computer van een collega.
- met die lijst gingen ze vervolgens op alle websites een iframe plaatsen, welke ook trojan's wilde installeren via dubieuze javascripts.

we kwamen er toen achter omdat 5 van de 25 sites een melding van malware gaven. ook toen zagen we verdachte russische IP adressen in de access logs.

frickY 14 juli 2011 17:37

Deze aanval helaas ook al wel eens mogen meemaken. Tot nu toe altijd via een gelekt FTP-account gebeurd.

Wordt ergens een PDF neergepleurd en onderin alle index* bestanden een javascript met obfuscated code die een iframe naar deze PDF in het document injecteert.

Vrij vervelend als net op dat moment de Google spider langs komt, want dan zit je een aantal uur met een grote rode malware-melding bij je zoekresultaat.

Keiichi 14 juli 2011 13:41

Menig site met joomla draaiende heeft ook last van dergelijke taferelen.

Ik hoor het graag als met behulp van GoT alle sites malware vrij zijn

Verwijderd @Keiichi • 14 juli 2011 13:53

Ik weet zeker dat er vele Gotters zijn welke dus danige insecure servers en scripts draaien dat niet iedereen hier aan mee kan helpen.

En dan nog.. GoT gaat ook nog wel eens plat door dat beheerders hier niet alles in de hand hebben... zie plans... helemaal niet gek opzich... blijft mensenwerk

jozuf @Verwijderd • 14 juli 2011 14:37

idd. Vind het juist wel goed zulke dingen, word de wereld uiteindelijk alleen maar beter van, lullig wel voor de gedupeerde natuurlijk.

Ben ook zo'n tweaker, vraag me af hoe "Hardened" mijn server is, iemand zin gaten te prikken in;
https://server.josnienhuis.nl? Doe wel redelijk mijn best het allemaal beetje veilig te houden, behalve dan dat het een windows bak is om bepaalde redenen.

laat wel ff een PM'tje achter mocht je wat vinden

mailtje is ook goed

[Reactie gewijzigd door jozuf op 25 juli 2024 06:22]

Zer0 @jozuf • 14 juli 2011 14:46

Vind het juist wel goed zulke dingen, word de wereld uiteindelijk alleen maar beter van,

De wereld wordt er misschien iets veiliger door, niet perse beter. In een betere wereld zou beveiliging niet nodig zijn.

Boogie @jozuf • 14 juli 2011 15:01

In ieder geval hebben je plaatjes een open dirretje: https://server.josnienhuis.nl/sc/img/

jozuf @Boogie • 14 juli 2011 15:05

whoops

thq. Geloof dat apache nog niet helemaal goed is afgericht met listen van directory content. Zie nog wel meer nu ik ff bezig ben

het framework zit ook var_dumps te spugen...

---EDIT---
Aabgepast, schieten maar weer

[Reactie gewijzigd door jozuf op 25 juli 2024 06:22]

densoN @Keiichi • 14 juli 2011 13:46

Wat heeft dit met Joomla te maken?

Keiichi @densoN • 14 juli 2011 13:50

Omdat het me opvalt dat joomla 1.0 sites er nog al eens last van hebben.

Verwijderd @Keiichi • 14 juli 2011 13:54

Dan wordt het toch eens tijd om te upgraden naar versie 1.6...

Verwijderd @Verwijderd • 14 juli 2011 13:58

Of, gewoon geen Joomla.

Verwijderd 14 juli 2011 14:24

Zou me niks verbazen dat die Russische IP een VPS was van een provider daar.
Rusland interesseert zich niet zo zeer in Cybercrime.

jozuf @Verwijderd • 14 juli 2011 14:47

en waar baseer je dat op?
Ik denk daar totaal anders over eerlijk gezegd, oost europa en azia staan bekend om dergelijke dingen in mijn ogen.
Lees kingpin maar is, redelijk op waar gebaseerd boek naar het schijnt.

killingdjef @jozuf • 14 juli 2011 15:16

En waar baseer jij dat op? Op een "redelijk op waar gebaseerd boek naar het schijnt" ?

Met andere woorden het is gewoon gissen. Een westerling kan er net zo goed achter zitten, sterker nog, zo'n persoon zou dankbaar gebruik maken van een VPN in een malafide land om zijn sporen zo goed mogelijk te verhullen.

Het is een illusie om te stellen dat cybercrime voornamelijk gevoerd wordt door aziaten en russen. Statistieken ontbreken gewoon. Dat die landen gebruikt worden voor aanvallen is eigelijk het enige wat je kunt zeggen. Of ze het daadwerkelijk zelf doen.. met veel minder zekerheid.

[Reactie gewijzigd door killingdjef op 25 juli 2024 06:22]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: