Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: TheDevilOnLine

De hackers van Php.net zochten met behulp van de javascript-library PluginDetect actief naar tal van kwetsbaarheden in veelgebruikte software, waaronder relatief weinig benutte bugs in VLC. Daarnaast werden diverse soorten malware op kwetsbare systemen geïnstalleerd.

De beheerders van php.net, de site van de ontwikkelaars van de populaire scripttaal, likten vrijdag hun wonden nadat de website door Google naar het strafbankje was verwezen door de Safe Browsing-dienst. De systeembeheerders erkenden dat gebruikers zijn blootgesteld aan malware en dat er twee servers waren gekraakt.

In een analyse van het beveiligingsblog Blaze's Security Blog werd opnieuw duidelijk dat de malware-aanval vrijwel zeker is begonnen met een nagenoeg onleesbaar gemaakt javascriptbestand userprefs.js. Bezoekers van php.net die het script verwerkten werden doorgestuurd naar een tweetal domeinen. Daar werd vervolgens via de javascript-library PluginDetect vastgesteld welke plug-ins een browser heeft draaien. Zo kon door de aanvallers gezocht worden naar mogelijke kwetsbare versies. Ook werd er gezocht naar kwetsbare releases van VLC en Silverlight, een aanvalsmethode die relatief weinig wordt gebruikt.

De aanvallers besmetten kwetsbare systemen vervolgens met tal van malware, waaronder de 'wachtwoordsteler' Fareit en het daaraan gekoppelde ZeuS, en de rootkit ZeroAccess. Ook een nog onbekende ransomware-variant zou zijn geïnstalleerd. Blaze's Security Blog concludeert dan ook dat het gaat om een ernstige aanval waarbij geraffineerde malware is verspreid.

Moderatie-faq Wijzig weergave

Reacties (25)

Ik heb hier altijd een beetje een dubbel gevoel bij.
Aan de ene kant is het verwerpelijk wat deze hackers doen. Inbreken, stelen, en wat niet meer.
Aan de andere kant: Het is wel heeeel erg goed in elkaar gezet en doordacht.

Ook moet ik Google hier credits geven voor hun script: Ze hebben deze hack toch wel mooi gevonden met behulp van een 'robot' . Ondanks alle gefrustreerde reacties op Google+ en onderzoek door mensen, bleek deze Google Robot het toch wel vlot en correct gevonden te hebben.
Tja Google heeft natuurlijk ook wel een unieke positie; ze crawlen / scannen zoveel data en met slimme algoritmes kun je dan snel dingen opsporen. En het ontwikkelen van slimme algoritmes kun je wel aan Google overlaten :)

Verder zie je dat de "wapenwedloop" online steeds grootschaliger en meer geautomatiseerd lijkt te worden. 'Handgeschreven' software maakt plaats voor standaard oplossingen (denk bijvoorbeeld aan Wordpress, Joomla, maar ook jQuery, PHPMailer, etc). Dat maakt het voor hackers ook makkelijker om snel te scannen op bekende kwetsbaarheden.

Als de kwetsbaarheid eenmaal gevonden is, wordt het een redelijk standraard repetoire: combinatie van obfuscated scripts met een link naar malware op een 'zwakkere' server en bezoekers infecteren maar.

Wat dat betreft is het enerzijds mooi dat het internet zo makkelijk servers aan elkaar koppelt, maar je ziet hier ook de risico's.
Het zou mooi zijn als ze deze scripts vrijgeven:
Dan kan je ze zelf inplannen om regelmatig te draaien, en voorkom je blokkade door Firefox en Chrome.
Bedoel je dat je als consument dit script in je browser hebt draaien en deze de webpagina checkt voordat hij hem toont?

Of dat je als server-eigenaar deze code dagelijks draait om al je websites te checken?
Zou zeker handig zijn.

Ik denk alleen dat Google teveel belang heeft bij dit script. Als zij de enige zoekmachine zijn die dit soort dingen op tijd aangeeft, dan wil iedereen alleen via Google zoeken. En daar verdient Google zijn geld mee, dus dat is precies wat ze willen bereiken.
Lijkt met niet handig om te doen.
De toegevoegde waarde voor site-beheerders is minimaal.
Daarentegen het zou voor malware makers er prettig zijn.
Wanneer de code vrijgegeven wordt, weten malware makers precies hoe google hen kan detecteren. Dan kun je de malware zo maken dat het door die detectie heen komt.
Vervelend, volgens mij is PHP.net toch wel aardig druk bezocht...ben benieuwd wat de impact is.

Wat is het risico als je php.net met Linux bezocht hebt? Ik draai Linux zonder virusscanner en heb php.net maandag bezocht, ben ik nu besmet en kan ik Linux nu gaan herinstalleren? :(
Ik denk dat je risico klein is. Malware is doorgaans nog gericht op Windows gebruikers.

Overigens kan een Windows gebruiker zich ook wapenen tegen dit soort aanvallen door zijn of haar machine goed bij te houden qua patching, niet alleen van Windows zelf maar ook alle andere gebruikte software. Die exploitkits richten zich nog het meeste op oudere software versies. Het beste is nog gewoon om zo min mogelijk plugins in je browser te hebben zitten. Alles wat je niet nodig hebt er meteen uit zetten.
De windows gebruiker zit eigenlijk met de handen in zijn haar.
De gemiddelde gebruiker heeft vaak ongebruikte of zelden gebruikte software op zijn machine staan. De kans dat die gebruiker kijkt of er updates van zijn, op een regelmatige basis, is bijzonder klein. (Ben ik zelf ook schuldig aan.)
Op een Linux bak is het makkelijk, twee commandos en alles is bijgewerkt, of je het nou gebruikt of niet. En ben je nooit met hoge rechten ingelogd, ook een factor.

Ik denk dat Cubic rustig kan gaan stappen zonder zich druk te maken over besmetting.
Je hoeft niet alles te updaten, maar wel de kwetsbare zaken die je gebruikt naar de buitenwereld toe. Adobe Reader, Flash etc. etc.. Overigens heb je gelijk dat met zo min mogelijk software je attack surface gewoon kleiner is.

Bepaalde software is gewoon favoriet voor misbruik. Een aanvaller richt zich al lang niet meer specifiek op de browser, maar op de plugins. Daar zitten de grootste lekken. Vooral bij al die zinloze Java installaties krijg je zowat tranen in je ogen. Hoeveel PC's krijgen dit niet standaard erop terwijl de gebruiker er nooit iets van gebruikt? Menig OEM maakt zich hier schuldig aan. Overigens heeft Adobe ook wel genoeg om zich voor te schamen, maar zoals Java misbruikt kan worden is er nog geen ander naar mijn mening.
Wat dacht je van Flash dan.
ik gebruik ook avast software updater, super handig, die dwingt je zowat om je programmas te updaten met freaking irrietante meldingen.

KAN uitgezet worden, maar juist om die irrie dingen hou ik het lekker aan.
Php.net-hack verliep via lekken in Flash, IE, Java, Silverlight en VLC
Ik lees het onderwerp en denk "wat? dat is wel een erg vreemde manier om een server te hacken, snel lezen." Blijkt het te gaan om de relatief standaard manier waarop de reeds gehackte server de bezoekers besmet. Jammer.
Hoe de server gehacked is is natuurlijk veel interessanter (maar blijkbaar nog steeds niet bekent).

edit: er gaat iets niet goed met de reactie scripts. Dit is geen reactie op Cubic X. ik had daarvoor wel mis geklikt en de pagina opnieuw geladen.

[Reactie gewijzigd door locke960 op 25 oktober 2013 17:21]

Als het klopt wat de beheerders zeggen (ga ik wel van uit) dan was de malware gehost van dinsdag t/m donderdag, dus niet maandag.
JavaScript malware was served to a small percentage of php.net users from the 22nd to the 24th of October 2013.
http://www.php.net/archive/2013.php
Je zou ook nog clamav kunnen draaien voor de zekerheid.

Ik ben wel nieuwsgierig naar hoe de hackers de malware op de servers hebben gekregen, maar dat is nog onbekend. Misschien ook wel niet meer uit te vinden als de hackers hun sporen goed hebben gewist.
Vervelend, volgens mij is PHP.net toch wel aardig druk bezocht...

Door developers dan toch. Ik vraag me af of de hackers specifiek mensen wilden targeten die wel wat van computers afweten. Nochtans trappen zij minder makkelijk in malwarevalletjes...
In dit geval had noscript besmettingen kunnen voorkomen. Die had er voor gezorgd dat de javascript van de twee (niet php.net) domeinen nooit uitgevoerd was.

Ik kan elke niet-noob adviseren om dit te installeren..
Tja, je kunt ook zeggen dat als je een text-only browser gebruikt, dat het dan ook niet was gebeurd. En als je je browser geheel niet gebruikt, dan was het al helemaal niet gebeurd!

Javascript kan in veel gevallen voor een grote verbetering van de user experience zorgen. Adviseren om javascript uit te zetten lijkt me nogal rigoureus.

Beter is om zo min mogelijk plugins te installeren. Wat javascript op zichzelf kan aanrichten is niet zoveel. Het gevaar zit hem veel meer in de plugins die code op het gehele browserniveau kan uitvoeren.

Wat ik mij overigens afvraag: hoe kun je controleren of een pc besmet is geraakt? Daarover lees ik niks.
Javascript uitschakelen is weer wat anders dan javascript van andere domeinen dan het domein wat je bezoekt uitschakelen. Dat laatste doe ik ook, met behulp van requestpolicy wat requests naar andere domeinen dan het domein wat je bezoekt bij default blokkeert. Echt ideaal. Je moet er even aan wennen, maar het browsen gaat een stuk soepeler omdat het naast veel nutteloze scripts ook heel veel ads blokkeert. Je pagina is dus een stuk sneller geladen.

Het grote 'probleem' met deze plugin is wel dat om slechte redenen (voornamelijk, marketing door Google), veel sites jquery of een andere DOM toolkit van googleapis.com halen, waardoor je wel gedwongen wordt om een googleapis.com te redirecten naar een lokale mirror van die site om de boel af te vangen (tenzij je graag al je requests naar Google stuurt natuurlijk).
Zelfs als je noscript instelt dat hij first party toe laat by default had hij dit geblokkeerd.
Tja, dat de plugin van VLC nu ook wordt aangevallen is niet zo gek.

Tegenwoordig heeft de gros van de gebruikers VLC geïnstalleerd. En zolang het filmpje of muziekje goed wordt afgespeeld, wordt er niet naar omgekeken.

Eigenlijk best wel ironisch. Mozilla staat de Java-plugin helemaal af te slachten terwijl andere plugins (op Flash na dan) vrolijk verder gaan.
Ik kreeg vandaag wel een melding dat ik mijn VLC plugin voor firefox moest updaten voor ik een video kon afspelen. Of dit komt door de php.net hack weet ik niet, maar ik herinner me niet dat ik die melding eerder gezien heb.
Als je gewoon VLC geïnstalleerd hebt staan geeft ie het bij het openen wel altijd aan als er een nieuwe versie beschikbaar is. Dus als je er niet naar omkijkt heb je dan wel steeds een irritante melding.
Wat een smerige troep die ze meegeven daar. Wachtwoordsteler, rootkit, ransomware... Dat is alles behalve een nette "whitehat"-hack.
Dit is inderdaad alles behalve white hat en duidelijk gericht op cashen. Het plan lijkt een beetje op 1) eerst even wachtwoorden stelen als dat lukt 2) computer overnemen via rootkit als dat lukt 3) als het allemaal niet lukt dan maar via ransomware de computer blocken.

Ben overigens benieuwd waar deze hack vandaan kwam en wie er achter zat.
Zou je deze website nu ook kunnen aanklagen bij de rechtbank als je geld kwijt bent? Uiteindelijk hosten zij de banner/ad die je besmet.

[Reactie gewijzigd door reckik op 26 oktober 2013 13:29]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True