Wampserver-site bevatte redirect naar malware

Hackers hebben de website van Wampserver aangevallen en voorzien van een redirect die bezoekers doorstuurt naar een blackhole exploit kit. De herkomst van de aanval is nog niet duidelijk, maar inmiddels is de kwaadaardige code verwijderd.

Dat meldt Stopmalvertising.com, een website die bericht over het verspreiden van malware via advertenties. Volgens de site zou Wampserver.com, een site die een pakket aanbiedt waarin Apache, PHP en MySQL op een Windows-machine worden gebundeld, bezoekers hebben doorgestuurd naar een site waar malware werd gehost. Vervolgens werd de pc van een bezoeker via javascript nagelopen op mogelijke exploits in Java, Windows Media Player, Flash en Adobe Reader door de versienummers van deze veelgebruikte plug-ins op te vragen.

Volgens Stopmalvertising is de server waarop de malware werd gehost vaker gebruikt om malware, zoals de ZeroAcces-rootkit, te verspreiden. Hoe de hackers de huidige javascript-code, waarbij gepoogd wordt om de blackhole exploit rootkit te installeren, op de site hebben geplaatst, is niet geheel duidelijk. Wel lijkt opnieuw een iframe ingezet te zijn.

Door Dimitri Reijerman

Redacteur

Feedback • 02-11-2011 16:44 23

02-11-2011 • 16:44

23

Lees meer

Storage engine TokuDB voor MySQL krijgt opensource-licentie
Storage engine TokuDB voor MySQL krijgt opensource-licentie Nieuws van 22 april 2013
IBM: aanvallers passen strategie aan door betere beveiliging
IBM: aanvallers passen strategie aan door betere beveiliging Nieuws van 27 maart 2012
MySQL Cluster 7.2 moet tegenwicht bieden aan NoSQL
MySQL Cluster 7.2 moet tegenwicht bieden aan NoSQL Nieuws van 15 februari 2012
Website FD.nl serveert malware
Website FD.nl serveert malware Nieuws van 29 november 2011
Hoerenlopersforum Hookers.nl geïnjecteerd met malware
Hoerenlopersforum Hookers.nl geïnjecteerd met malware Nieuws van 19 november 2011
Android-trojan haalt malware binnen via Market-update
Android-trojan haalt malware binnen via Market-update Nieuws van 26 oktober 2011
Hackers kraken database Wine-emulator
Hackers kraken database Wine-emulator Nieuws van 12 oktober 2011
Vier Duitse deelstaten geven toepassen van spyware toe
Vier Duitse deelstaten geven toepassen van spyware toe Nieuws van 11 oktober 2011
Website MySQL serveerde malware
Website MySQL serveerde malware Nieuws van 26 september 2011
Meer producten en artikelen
Politiek en recht Privacy Beveiliging Malware

Reacties (23)

-Moderatie-faq
23
21
12
2
0
5
Wijzig sortering
henkpoll 2 november 2011 17:21
Is er een termijn waarin de hack op de site heeft gestaan aangezien ik niet heel lang, ongeveer anderhalve week, geleden van de wampsite gegevens heb gedownload?
CaptJackSparrow @henkpoll2 november 2011 21:55
Volgens Google:
Safe Browsing
Diagnostic page for wampserver.com

What is the current listing status for wampserver.com?

This site is not currently listed as suspicious.

Part of this site was listed for suspicious activity 2 time(s) over the past 90 days.

What happened when Google visited this site?

Of the 106 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2011-11-02, and the last time suspicious content was found on this site was on 2011-10-31.

Malicious software is hosted on 1 domain(s), including lovewill.sellclassics.com/.

This site was hosted on 1 network(s) including AS41628 (NEXEN).

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, wampserver.com did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?

No, this site has not hosted malicious software over the past 90 days.
Wel een beetje tegenstrijdige info vind ik. Hoe kun je nu zeggen dat er 2x verdachte zaken waren en dat er kwaadaardige software werd geïnstalleerd en dan tegelijk beweren dat er de afgelopen 90 dagen geen kwaadaardige software op de site heeft gestaan?

Google heeft deze rapportage blijkbaar nog niet helemaal geperfectioneerd.
daan.timmer @CaptJackSparrow2 november 2011 22:27
er staat letterlijke wat er staat en het klopt als een bus. Het zijn twee dingen die er gezegd worden:
1. Via deze website werd malware geinstalleerd.
2. Op deze webhost werd geen malware gehost.

Oftewel de website kan linken/doorverwijzen naar een externe webhost waar wel malware op wordt gehost.
Verwijderd 2 november 2011 18:01
Het eerste waar ik aan denk is wel een slimme manier om maleware te verspreiden. Weet je hoeveel web ontwikkelaars hier gebruik van maken. Ik zelf gebruik Mamp.

Wordt minder gebruikt maar wel dezelfde gebruikersgemak en dus veiliger voor virussen.
Mocro_Pimp® 2 november 2011 16:52
haat tegen gratis server-software?
RanDX @Mocro_Pimp®2 november 2011 16:57
Waarschijnlijk gewoon een 'makkelijk' doelwit. En een waar mogelijk ook best veel mensen op kijken.
Oeroeg @Mocro_Pimp®2 november 2011 17:19
Wie weet worden deze hackers wel betaald door een concurrent.
djwice 3 november 2011 16:25
als er mensen tips hebben hoe een wamp omgeving automatisch de laatste updates van MySQl, Apache en PHP neer zet, hoor ik het graag.
Kenhas @himlims_2 november 2011 18:10
Met de huidige uploadsnelheden kan ik me voorstellen dat er veel "doorsnee" mensen hun eigen site willen hosten op hun pc of zo. Of kleine zelfstandigen die hun webwinkeltje zelf willen hosten. Door gebrek aan kennis en tijd/zin om die kennis bij te schaven kan ik me voorstellen dat mensen dit pakket gebruiken.

Ik zeg niet dat het de goede weg is maar ik kan me wel voorstellen dat het veel voorkomt.
Foxpat @himlims_2 november 2011 19:41
Wat is er mis mee?
Zoop @gassie1232 november 2011 18:14
WAMP oplossingen worden juist vaak gebruikt voor testdoeleinden, als je het gebruikt voor productie, dan is dat wel erg simpel opgezet.

Maar om snel een webserver op te zetten om je code te testen, is het echt niet gek hiervoor WAMP te installeren, ipv de paketten individueel te installeren en configureren. Bovendien is een WAMP opstelling ideaal voor webdevelopers die geen verstand hebben van server software.

Om iedereen die een standaard wamp pakket gebruikt maar uit te maken voor een prutser (@himlims), vind ik wat kortzichtig
Noxious @Zoop2 november 2011 19:30
Niet me eens :) je wilt je testomgeving zo veel mogelijk op je productieomgeving laten lijken :) dan pak je juist geen WAMP imo.
poepkop @Noxious2 november 2011 20:51
Ik vind het juist wel prettig om snel dingen in te kunnen stellen via een UI, gewoon handig om scriptjes te testen met verschillende settings. Dat kloten in de ini file en Apache restarten is niet handig. En voor een echte testomgeving moet je gewoon een losse server gebruiken en niet je productie pc.
humbug @Noxious3 november 2011 07:47
Zodra je je testomgeving op windows draait en je productieomgeving op linux heb je dat idee al helemaal overboord gegooid. ;)

Maar vaak heb je een simpele omgeving op de computer van de developer waar die snel een lokale test kan doen. Dan een echte testomgeving waarin alle componenten van alle developers staan en die "exact" gelijk is aan de daadwerkelijke productie omgeving. En dus uiteindelijk een productieomgeving.

Een simpele WAMP omgeving voor de developer is dan niet heel raar.
pim @Noxious3 november 2011 07:51
Met test omgeving(wamp) is qua configuratie identiek aan mijn LAMP webserver.
Geen idee over wat voor verschillen(problemen?) je het hebt.
Verwijderd @Zoop2 november 2011 18:35
Nee maar iedereen die WAMP gebruikt om zijn site op te hosten(Live) is in mijn inziens wel een prutser. Dat is vragen om problemen. Dat was dan ook niet het gevoel dus volgensmij snapt himlims_ het niet helemaal.

Is LAMP ook op deze site gehost of heeft die een andere website?
Aham brahmasmi @Verwijderd2 november 2011 20:17
Nee maar iedereen die WAMP gebruikt om zijn site op te hosten(Live) is in mijn inziens wel een prutser. Dat is vragen om problemen.
Hoezo is dat vragen om problemen? Je kunt de individuele componenten vrij probleemloos handmatig updaten. Voor simpele websites die niet zwaar op security leunen kan het best praktisch zijn.
thegve @Aham brahmasmi2 november 2011 22:24
Alle websites/hosts horen redelijk beveiligd te zijn, er zijn genoeg script-kiddies die hele ip-ranges afscannen op gevoelige servers. Maar als je de individuele componenten netjes update zou dat dan opgelost zijn.
Ik denk echter niet dat de meeste gebruikers van dit soort one-click systemen dit zullen doen.
kimborntobewild @Aham brahmasmi2 november 2011 22:56
Voor simpele websites die niet zwaar op security leunen kan het best praktisch zijn.
Vertel... Wat is dan het verschil (qua security) met als je handmatig de losse componenten zoekt en installeert?
Aham brahmasmi @kimborntobewild3 november 2011 08:51
Qua security niets, tenzij je dus niet bij elke update van Apache/MySQL/PHP deze aan de Wampserver-installatie toevoegt, maar op een nieuwe versie van Wampserver wacht...

Ik bedoelde trouwens niet praktisch qua security, maar gewoon praktisch in gebruik/beheer mits security niet erg belangrijk/gevoelig is voor de gehoste site(s).

[Reactie gewijzigd door Aham brahmasmi op 26 juli 2024 14:54]

Verwijderd @Aham brahmasmi3 november 2011 07:45
Ik zie hier nog een verbeter punt voor de WAMP makers. Een systeem bouwen dat onderhoudsvrij en toch up to date is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq