Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC

De hackers van Php.net zochten met behulp van de javascript-library PluginDetect actief naar tal van kwetsbaarheden in veelgebruikte software, waaronder relatief weinig benutte bugs in VLC. Daarnaast werden diverse soorten malware op kwetsbare systemen geïnstalleerd.

De beheerders van php.net, de site van de ontwikkelaars van de populaire scripttaal, likten vrijdag hun wonden nadat de website door Google naar het strafbankje was verwezen door de Safe Browsing-dienst. De systeembeheerders erkenden dat gebruikers zijn blootgesteld aan malware en dat er twee servers waren gekraakt.

In een analyse van het beveiligingsblog Blaze's Security Blog werd opnieuw duidelijk dat de malware-aanval vrijwel zeker is begonnen met een nagenoeg onleesbaar gemaakt javascriptbestand userprefs.js. Bezoekers van php.net die het script verwerkten werden doorgestuurd naar een tweetal domeinen. Daar werd vervolgens via de javascript-library PluginDetect vastgesteld welke plug-ins een browser heeft draaien. Zo kon door de aanvallers gezocht worden naar mogelijke kwetsbare versies. Ook werd er gezocht naar kwetsbare releases van VLC en Silverlight, een aanvalsmethode die relatief weinig wordt gebruikt.

De aanvallers besmetten kwetsbare systemen vervolgens met tal van malware, waaronder de 'wachtwoordsteler' Fareit en het daaraan gekoppelde ZeuS, en de rootkit ZeroAccess. Ook een nog onbekende ransomware-variant zou zijn geïnstalleerd. Blaze's Security Blog concludeert dan ook dat het gaat om een ernstige aanval waarbij geraffineerde malware is verspreid.

Door Dimitri Reijerman

Redacteur

Feedback • 25-10-2013 17:06
25 • submitter: TheDevilOnLine

25-10-2013 • 17:06

25 Linkedin

Submitter: TheDevilOnLine

Lees meer

Nederlandse ontwikkelaar schrijft 'rootkit' in de vorm van php-module Nieuws van 16 juni 2017
Minister VWS: afweging veiligheid en functionaliteit ligt bij zorgverleners zelf Nieuws van 27 oktober 2016
Ministerie VWS raadt zorgverleners aan om browsers niet te updaten Nieuws van 22 september 2016
Exploit in WebUI Media Player Classic geeft toegang tot privéfoto's Nieuws van 3 augustus 2015
Verbeterde php-engine moet flinke prestatieverbeteringen brengen Nieuws van 6 mei 2014
Bèta van VLC voor Windows 8 komt uit Nieuws van 13 maart 2014
Microsoft brengt klikfraude-botnet flinke slag toe Nieuws van 6 december 2013
Gebruikers sociale-netwerkdienst Buffer versturen spam na hackaanval Nieuws van 27 oktober 2013
Php.net: hack trof twee servers Nieuws van 25 oktober 2013
Chrome en Firefox blokkeren php.net wegens mogelijke aanwezigheid malware Nieuws van 24 oktober 2013
Aanvallers kraken accounts op PHP-wikiserver Nieuws van 20 maart 2011
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (25)

-Moderatie-faq
25
24
17
1
0
2
Wijzig sortering
supertheiz
25 oktober 2013 17:10
Ik heb hier altijd een beetje een dubbel gevoel bij.
Aan de ene kant is het verwerpelijk wat deze hackers doen. Inbreken, stelen, en wat niet meer.
Aan de andere kant: Het is wel heeeel erg goed in elkaar gezet en doordacht.

Ook moet ik Google hier credits geven voor hun script: Ze hebben deze hack toch wel mooi gevonden met behulp van een 'robot' . Ondanks alle gefrustreerde reacties op Google+ en onderzoek door mensen, bleek deze Google Robot het toch wel vlot en correct gevonden te hebben.
Morrar
@supertheiz26 oktober 2013 13:01
Tja Google heeft natuurlijk ook wel een unieke positie; ze crawlen / scannen zoveel data en met slimme algoritmes kun je dan snel dingen opsporen. En het ontwikkelen van slimme algoritmes kun je wel aan Google overlaten :)

Verder zie je dat de "wapenwedloop" online steeds grootschaliger en meer geautomatiseerd lijkt te worden. 'Handgeschreven' software maakt plaats voor standaard oplossingen (denk bijvoorbeeld aan Wordpress, Joomla, maar ook jQuery, PHPMailer, etc). Dat maakt het voor hackers ook makkelijker om snel te scannen op bekende kwetsbaarheden.

Als de kwetsbaarheid eenmaal gevonden is, wordt het een redelijk standraard repetoire: combinatie van obfuscated scripts met een link naar malware op een 'zwakkere' server en bezoekers infecteren maar.

Wat dat betreft is het enerzijds mooi dat het internet zo makkelijk servers aan elkaar koppelt, maar je ziet hier ook de risico's.
supertheiz
@Morrar26 oktober 2013 14:34
Het zou mooi zijn als ze deze scripts vrijgeven:
Dan kan je ze zelf inplannen om regelmatig te draaien, en voorkom je blokkade door Firefox en Chrome.
theBazz
@supertheiz27 oktober 2013 08:59
Bedoel je dat je als consument dit script in je browser hebt draaien en deze de webpagina checkt voordat hij hem toont?

Of dat je als server-eigenaar deze code dagelijks draait om al je websites te checken?
Zou zeker handig zijn.

Ik denk alleen dat Google teveel belang heeft bij dit script. Als zij de enige zoekmachine zijn die dit soort dingen op tijd aangeeft, dan wil iedereen alleen via Google zoeken. En daar verdient Google zijn geld mee, dus dat is precies wat ze willen bereiken.
R-J_W
@supertheiz27 oktober 2013 23:23
Lijkt met niet handig om te doen.
De toegevoegde waarde voor site-beheerders is minimaal.
Daarentegen het zou voor malware makers er prettig zijn.
Wanneer de code vrijgegeven wordt, weten malware makers precies hoe google hen kan detecteren. Dan kun je de malware zo maken dat het door die detectie heen komt.
Cubic X
25 oktober 2013 17:11
Vervelend, volgens mij is PHP.net toch wel aardig druk bezocht...ben benieuwd wat de impact is.

Wat is het risico als je php.net met Linux bezocht hebt? Ik draai Linux zonder virusscanner en heb php.net maandag bezocht, ben ik nu besmet en kan ik Linux nu gaan herinstalleren? :(
CMD-Snake
@Cubic X25 oktober 2013 17:20
Ik denk dat je risico klein is. Malware is doorgaans nog gericht op Windows gebruikers.

Overigens kan een Windows gebruiker zich ook wapenen tegen dit soort aanvallen door zijn of haar machine goed bij te houden qua patching, niet alleen van Windows zelf maar ook alle andere gebruikte software. Die exploitkits richten zich nog het meeste op oudere software versies. Het beste is nog gewoon om zo min mogelijk plugins in je browser te hebben zitten. Alles wat je niet nodig hebt er meteen uit zetten.
Anoniem: 126717
@CMD-Snake25 oktober 2013 18:22
De windows gebruiker zit eigenlijk met de handen in zijn haar.
De gemiddelde gebruiker heeft vaak ongebruikte of zelden gebruikte software op zijn machine staan. De kans dat die gebruiker kijkt of er updates van zijn, op een regelmatige basis, is bijzonder klein. (Ben ik zelf ook schuldig aan.)
Op een Linux bak is het makkelijk, twee commandos en alles is bijgewerkt, of je het nou gebruikt of niet. En ben je nooit met hoge rechten ingelogd, ook een factor.

Ik denk dat Cubic rustig kan gaan stappen zonder zich druk te maken over besmetting.
CMD-Snake
@Anoniem: 12671725 oktober 2013 18:34
Je hoeft niet alles te updaten, maar wel de kwetsbare zaken die je gebruikt naar de buitenwereld toe. Adobe Reader, Flash etc. etc.. Overigens heb je gelijk dat met zo min mogelijk software je attack surface gewoon kleiner is.

Bepaalde software is gewoon favoriet voor misbruik. Een aanvaller richt zich al lang niet meer specifiek op de browser, maar op de plugins. Daar zitten de grootste lekken. Vooral bij al die zinloze Java installaties krijg je zowat tranen in je ogen. Hoeveel PC's krijgen dit niet standaard erop terwijl de gebruiker er nooit iets van gebruikt? Menig OEM maakt zich hier schuldig aan. Overigens heeft Adobe ook wel genoeg om zich voor te schamen, maar zoals Java misbruikt kan worden is er nog geen ander naar mijn mening.
trogdor
@CMD-Snake25 oktober 2013 22:45
Wat dacht je van Flash dan.
DragonChaser
@CMD-Snake25 oktober 2013 21:52
ik gebruik ook avast software updater, super handig, die dwingt je zowat om je programmas te updaten met freaking irrietante meldingen.

KAN uitgezet worden, maar juist om die irrie dingen hou ik het lekker aan.
locke960
@Cubic X25 oktober 2013 17:17
Php.net-hack verliep via lekken in Flash, IE, Java, Silverlight en VLC
Ik lees het onderwerp en denk "wat? dat is wel een erg vreemde manier om een server te hacken, snel lezen." Blijkt het te gaan om de relatief standaard manier waarop de reeds gehackte server de bezoekers besmet. Jammer.
Hoe de server gehacked is is natuurlijk veel interessanter (maar blijkbaar nog steeds niet bekent).

edit: er gaat iets niet goed met de reactie scripts. Dit is geen reactie op Cubic X. ik had daarvoor wel mis geklikt en de pagina opnieuw geladen.

[Reactie gewijzigd door locke960 op 25 oktober 2013 17:21]

Soldaatje
@Cubic X25 oktober 2013 17:59
Als het klopt wat de beheerders zeggen (ga ik wel van uit) dan was de malware gehost van dinsdag t/m donderdag, dus niet maandag.
JavaScript malware was served to a small percentage of php.net users from the 22nd to the 24th of October 2013.
http://www.php.net/archive/2013.php
Je zou ook nog clamav kunnen draaien voor de zekerheid.

Ik ben wel nieuwsgierig naar hoe de hackers de malware op de servers hebben gekregen, maar dat is nog onbekend. Misschien ook wel niet meer uit te vinden als de hackers hun sporen goed hebben gewist.
lazyduck
@Cubic X26 oktober 2013 10:07
Vervelend, volgens mij is PHP.net toch wel aardig druk bezocht...

Door developers dan toch. Ik vraag me af of de hackers specifiek mensen wilden targeten die wel wat van computers afweten. Nochtans trappen zij minder makkelijk in malwarevalletjes...
rob-bo
25 oktober 2013 17:47
In dit geval had noscript besmettingen kunnen voorkomen. Die had er voor gezorgd dat de javascript van de twee (niet php.net) domeinen nooit uitgevoerd was.

Ik kan elke niet-noob adviseren om dit te installeren..
Anoniem: 300899
@rob-bo25 oktober 2013 19:06
Tja, je kunt ook zeggen dat als je een text-only browser gebruikt, dat het dan ook niet was gebeurd. En als je je browser geheel niet gebruikt, dan was het al helemaal niet gebeurd!

Javascript kan in veel gevallen voor een grote verbetering van de user experience zorgen. Adviseren om javascript uit te zetten lijkt me nogal rigoureus.

Beter is om zo min mogelijk plugins te installeren. Wat javascript op zichzelf kan aanrichten is niet zoveel. Het gevaar zit hem veel meer in de plugins die code op het gehele browserniveau kan uitvoeren.

Wat ik mij overigens afvraag: hoe kun je controleren of een pc besmet is geraakt? Daarover lees ik niks.
MadEgg
@Anoniem: 30089925 oktober 2013 19:33
Javascript uitschakelen is weer wat anders dan javascript van andere domeinen dan het domein wat je bezoekt uitschakelen. Dat laatste doe ik ook, met behulp van requestpolicy wat requests naar andere domeinen dan het domein wat je bezoekt bij default blokkeert. Echt ideaal. Je moet er even aan wennen, maar het browsen gaat een stuk soepeler omdat het naast veel nutteloze scripts ook heel veel ads blokkeert. Je pagina is dus een stuk sneller geladen.

Het grote 'probleem' met deze plugin is wel dat om slechte redenen (voornamelijk, marketing door Google), veel sites jquery of een andere DOM toolkit van googleapis.com halen, waardoor je wel gedwongen wordt om een googleapis.com te redirecten naar een lokale mirror van die site om de boel af te vangen (tenzij je graag al je requests naar Google stuurt natuurlijk).
hackerhater
@Anoniem: 30089925 oktober 2013 19:42
Zelfs als je noscript instelt dat hij first party toe laat by default had hij dit geblokkeerd.
RoestVrijStaal
25 oktober 2013 17:45
Tja, dat de plugin van VLC nu ook wordt aangevallen is niet zo gek.

Tegenwoordig heeft de gros van de gebruikers VLC geïnstalleerd. En zolang het filmpje of muziekje goed wordt afgespeeld, wordt er niet naar omgekeken.

Eigenlijk best wel ironisch. Mozilla staat de Java-plugin helemaal af te slachten terwijl andere plugins (op Flash na dan) vrolijk verder gaan.
Kontsnorretje
@RoestVrijStaal25 oktober 2013 21:04
Ik kreeg vandaag wel een melding dat ik mijn VLC plugin voor firefox moest updaten voor ik een video kon afspelen. Of dit komt door de php.net hack weet ik niet, maar ik herinner me niet dat ik die melding eerder gezien heb.
Me_Giant
@RoestVrijStaal25 oktober 2013 21:42
Als je gewoon VLC geïnstalleerd hebt staan geeft ie het bij het openen wel altijd aan als er een nieuwe versie beschikbaar is. Dus als je er niet naar omkijkt heb je dan wel steeds een irritante melding.
BeefHazard
25 oktober 2013 17:26
Wat een smerige troep die ze meegeven daar. Wachtwoordsteler, rootkit, ransomware... Dat is alles behalve een nette "whitehat"-hack.
Morrar
@BeefHazard26 oktober 2013 13:07
Dit is inderdaad alles behalve white hat en duidelijk gericht op cashen. Het plan lijkt een beetje op 1) eerst even wachtwoorden stelen als dat lukt 2) computer overnemen via rootkit als dat lukt 3) als het allemaal niet lukt dan maar via ransomware de computer blocken.

Ben overigens benieuwd waar deze hack vandaan kwam en wie er achter zat.
reckik
26 oktober 2013 13:28
Zou je deze website nu ook kunnen aanklagen bij de rechtbank als je geld kwijt bent? Uiteindelijk hosten zij de banner/ad die je besmet.

[Reactie gewijzigd door reckik op 26 oktober 2013 13:29]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee