Sophos sluit webserver na ontdekking verdachte bestanden

Beveiligingsfirma Sophos heeft uit voorzorg een website voor resellers offline gehaald nadat er op de webserver twee bestanden waren aangetroffen die remote access mogelijk zouden maken. Onduidelijk is nog of er data is buitgemaakt.

Sophos stelt dat het op 3 april twee verdachte bestanden heeft aangetroffen op een server die wordt gebruikt voor de Partner Portal. Om mogelijke hackaanvallen te voorkomen, heeft de beveiligingsfirma besloten om de site voorlopig uit de lucht te halen en inloggegevens te deactiveren.

De twee verdachte bestanden worden door Sophos onderzocht. Uit een eerste onderzoek zou zijn gebleken dat de files tot doel hadden om remote access tot de server mogelijk te maken. Volgens Sophos zijn er tot nu geen aanwijzingen dat de aanvallers toegang hebben verkregen tot een klantendatabase waarin informatie van resellers is opgenomen. De wachtwoorden zouden zijn gehasht.

Sophos waarschuwt zijn partnerbedrijven om extra alert te zijn op mogelijke phishingaanvallen, omdat het nog niet volledig is uitgesloten dat er e-mailadressen zijn buitgemaakt. Zodra de portal weer in de lucht wordt gebracht, dienen de gebruikers uit voorzorg een nieuw wachtwoord aan te maken.

Door Dimitri Reijerman

Redacteur

Feedback • 05-04-2012 18:49 27

05-04-2012 • 18:49

27

Lees meer

Sophos neemt Nederlandse HitmanPro-maker SurfRight over
Sophos neemt Nederlandse HitmanPro-maker SurfRight over Nieuws van 14 december 2015
Antivirussoftware Sophos deactiveert updateprogramma's
Antivirussoftware Sophos deactiveert updateprogramma's Nieuws van 20 september 2012
'Driekwart besmette Europese hostingservers staat in Nederland'
'Driekwart besmette Europese hostingservers staat in Nederland' Nieuws van 4 september 2012
Developer stopt met DarkComet vanwege misbruik
Developer stopt met DarkComet vanwege misbruik Nieuws van 2 juli 2012
Klanten Argeweb moeten wachtwoorden wijzigen na inbraak
Klanten Argeweb moeten wachtwoorden wijzigen na inbraak Nieuws van 13 april 2012
'Malware Omroep Zeeland was bankentrojan' - update
'Malware Omroep Zeeland was bankentrojan' - update Nieuws van 30 maart 2012
Sophos ontdekt geraffineerde deface-methode met php-scripts
Sophos ontdekt geraffineerde deface-methode met php-scripts Nieuws van 20 oktober 2011
Sophos neemt netwerkbeveiliger Astaro over
Sophos neemt netwerkbeveiliger Astaro over Nieuws van 8 mei 2011
Meer producten en artikelen
Privacy Netwerk en systeembeheer Beveiliging Hackers Malware

Reacties (27)

-Moderatie-faq
27
23
13
0
0
5
Wijzig sortering
MikeNies 5 april 2012 18:52
Toch slecht dat dit bij een beveiligingsbedrijf gebeurd, die zouden hun zaken toch wel op orde moeten hebben :P
Anoniem: 324209 @MikeNies5 april 2012 18:53
Hun hebben het temminste door voordat iemand een klantendatabase op pastebin dumpt
wootah @Anoniem: 3242095 april 2012 21:14
Mja, er zijn altijd wel lekken te vinden he.
Scannen naar vreemde of veranderde bestanden geeft dan nog een mooi vangnet om vreemde activiteiten te detecteren.

Zelf gebruik ik een scriptje die even een sha1 van alle bestanden op de site trekt om de zoveel tijd. De gegenereerde sha1's van alle bestanden controleer ik dan met een gevalideerde versie.
Mocht er iets anders zijn dan krijg ik een mailtje met de veranderde of toegevoegde bestandsnamen. 8-)

In tijden van al deze defacements is het alleen maar goed om dit soort maatregelen te nemen :)
no-sense @wootah6 april 2012 11:08
Tip voor als je Linux, BSD of een andere Unix-variant gebruikt: kijk eens naar TripWire

Dat doet iets dergelijks als jouw scriptje, je files en directories scannen op wijzigingen. Ik gebruik het al jaren voor mijn servers.

Voorzover ik weet is het al een standaard onderdeel van de meeste distro's.
Yggdrasil @wootah6 april 2012 11:17
Diegenen die geen scriptje willen schrijven kunnen Tripwire installeren en configureren. Dit doet ongeveer wat je boven beschrijft.
gfive @Anoniem: 3242095 april 2012 19:06
Zij hebben het...... niet HUN
naarden 4ever @gfive5 april 2012 20:23
Jammer dat je down wordt gemod, want het is een niet zoveel zeggende reactie maar dit is toch wel een fout in de grammatica van de Nederlandse taal van de eerste rang.

Wat ik me toch telkens weer afvraag, hoe weten ze / komen ze tot de conclusie dat de bestanden niet door een externe factor bekeken is? Zeker lijkt het me met een webshop beroerd moeilijk omdat die elke x aantal seconden wordt aangepast vanwege een nieuwe verkoop.

Of uit het logboek, kun je uit halen dat het logbestand is aangepast door die server. Maar hoe weet je of dat nou van die externe factor kwam? Nogmaals, duizenden externe verbindingen in een webshop per dag, dus zolang je de exacte herkomst niet weet van een IP-adres of ander unieke herkenningsfactor lijkt het me nagenoeg onmogelijk het uit te vinden of er al gebruikt is gemaakt van de bestanden.

Hoe vinden ze dit nou? :?
robinverl @naarden 4ever5 april 2012 20:50
In principe heeft een applicatie bepaalde mappen waarin geschreven wordt. Vaak zijn die bestanden allemaal volgens een bepaald principe (b.v. allemaal .html caching bestanden, ik noem maar wat). Zodra daar dan ineens rootbackdoor.sh in staat dan valt zoiets op.

Overigens is daar dus software voor die dat automatisch voor je doet, zogenaamde intrusion detection systems.
Poekie McPurrr @naarden 4ever5 april 2012 21:03
Gebruikers van die resellers die oplettend zijn en vreemd gedrag opmerken op die sites. Die melden dat bij de host in kwestie (in dit geval Partner Portal) die het weer doorgeeft aan Sophos. Sophos gaat op onderzoek en besluit na analyseren dat het niet veilig is en sluit de webserver om het probleem te fixen.
snrwo1 @gfive5 april 2012 20:05
dialect, dialect, dialect.... en en beetje humor denk ik.
huub8 @snrwo16 april 2012 00:58
dialect en humor of niet, het blijft pijn doen
Mangofruit @MikeNies5 april 2012 18:57
Dit kan bij elk bedrijf gebeuren. de manier waarop Sophos reageert verdient respect i.m.o.
Anoniem: 283778 @Mangofruit5 april 2012 19:02
Inderdaad.

Alles valt te hacken, je kunt goed je best doen je site te beveiligen maar als er een zero-day exploit wordt gebruikt op je webserver software dan kun je daar weinig aan doen.

Wat je wel kunt doen en dat heeft Sophos denk ik ook gedaan is de site monitoren zodat veranderingen als een paar bestandjes extra ineens opvallen.
Dan kun je nog tijdig ingrijpen.
Anoniem: 126717 @MikeNies5 april 2012 18:59
Niet zo vreemd dat dit bij een beveiligingsbedrijf gebeurt, ze zijn prime target. Die pagina van de tabakswinkel is waarschijnlijk zo gehackt, maar daar is geen eer (of winst) mee te behalen.

Misschien een iets overtrokken reactie, maar wel een goede. Ze maken er tenminste werk van, melden het, en proberen klanten en bezoekers veilig te houden.
Anoniem: 317721 @MikeNies6 april 2012 08:05
GebeurD, je bedoelt gebeurT!
Gropah 5 april 2012 19:05
Natuurlijk niet mooi dat het gebeurd, maar wel mooi dat Sophos zo reageert. Kunnen sommige bedrijven nog van leren
Perkouw Moderator GCC 5 april 2012 19:50
Spijtig maar inderdaad wel een goed reactie, liever uit voorzorg iets offline halen dan maar doen alsof er niets aan de hand is en maar afwachten tot er iets goed fout gaat. Nu maar hopen dat er inderdaad geen data buit gemaakt is.
Anoniem: 368306 5 april 2012 20:19
Lijkt me wel logisch toch om de website offline te halen , en goed natuurlijk dat ze het misschien door hadden , wat ik netjes vind is het ook maar meteen naar buiten te gooien wat er aan de hand is , of is dat ook wel weer logisch ?
Batiatus 5 april 2012 20:21
Kan je natuurlijk van zeggen wat je wil. We weten nog niet wat het is, maar als het om gevaarlijke bestanden blijkt te gaan is het maar goed dat ze het portaal dicht hebben gezet.
Desalniettemin een goede reactie van Sophos. Niet afwachten of geen reactie geven, meteen in actie komen en je klanten informeren. Goede zaak van Sophos.
iboowtje 5 april 2012 21:12
Heeft dit iets te maken met de volgende exploit ? http://pastebin.com/sbNAs6bP
Wampa1 5 april 2012 22:53
Wat al eerder werd gezegd in de comments, goed dat ze het snel doorhebben en dus ook snel handelen.
Alexxxxxxxxxx 6 april 2012 03:25
Beter dat we nu horen dat er iets aan de hand is dan over een week lezen dat het bedrijf gehackt is en dat er persoonlijke gegevens zijn buitgemaakt
Proxx @KvanC6 april 2012 08:45
idd wat komen al die mensen van http://www.dutchgrammar.com/forum/ ineens hier doen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq