image

Honderden *nix servers besmet met Trojaans paard

maandag 18 mei 2009, 09:46 door Redactie, 24 reacties

De Russische virusbestrijder Kaspersky Lab heeft twee Trojaans paarden ontdekt die het op Unix, Linux en FreeBSD systemen hebben voorzien en al op honderden servers zijn aangetroffen. Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist. De eerste malware waar het anti-virusbedrijf op stuitte is "Trojan-Mailfinder.Perl.Hnc", een perl script dat met een controle server verbinding maakt en teksten en adreslijsten ontvangt om spam te versturen.

Het tweede kwaadaardige programma is Trojan-Dropper.Linux.Prl, een executable voor Linux en FreeBSD. Het bestand ontsleutelt het perl script, start de perl interpreter en verstrekt vervolgens het ontsleutelde script. Deze malware is op servers aangetroffen die met de Trojan-Downloader.JS.Iframe besmet waren. De Trojan stuurt bezoekers door naar een kwaadaardige site die via allerlei exploits malware probeert te installeren en besmette video codecs aanbiedt. De website in kwestie maakt reclame voor een nep-virusscanner.

Schande
Volgens Golovanov zijn er op dit moment zeker duizend websites met de Ifame Trojan besmet. Ook zijn er honderden met de Mailfinder en Dropper.Linux.Prl Trojans geïnfecteerde servers ontdekt. "De dagen dat *nix systemen niet het doelwit van virusschrijvers waren liggen al lang achter ons. In mijn mening moeten systeembeheerders wakker worden; en moeten ze alle dreigingen proberen af te vangen, in plaats van hun systemen, en nog erger, de bezoekers van hun websites besmet te laten raken. Jullie zouden je moeten schamen."

Reacties (24)
18-05-2009, 10:49 door SirDice
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.
Het is simpelweg nooit waar geweest.
18-05-2009, 11:04 door Anoniem
Iemand een idee hoe deze scripts daar terecht zijn gekomen?
18-05-2009, 11:07 door Anoniem
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.

Smerig stukje halve waarheid. Door de mensen die weten waar ze het over hebben (helaas een minderheid binnen de mensen die constant iets over *NIX te brullen hebben), wordt doorgaans helemaal niets beweerd over mallware. Enkel over virussen. Ik zie ook niet hoe dit artikel daar enige verandering in brengt. En dat *NIX vatbaar is voor mallware, net als ieder ander OS, is iets dat al decennia lang bekend is bij systeembeheerders.

Schaamteloze poging tot stemmingsmakerij van de zoveelste verkoper die zich een anaalist laat noemen.

Dat er een boel web servers besmet zijn met deze trojans is niet het gevolg van *nix maar simpelweg van slecht beheer. Dat het niveau van been web site beheerders tegenwoordig het niveau van script kiddies niet overstijgt is het werkelijke probleem.

"De dagen dat *nix systemen niet het doelwit van virusschrijvers waren liggen al lang achter ons. In mijn mening moeten systeembeheerders wakker worden; en moeten ze alle dreigingen proberen af te vangen, in plaats van hun systemen, en nog erger, de bezoekers van hun websites besmet te laten raken. Jullie zouden je moeten schamen."

Wederom de slinkse verhaspeling van virussen en mallware. Hoewel ze in hun uitwerking vaak veel op elkaar lijken is een essentieel verschil dat virussen qua infectie en verspreiding totaal anders te werk gaan (automatisch). Voor de mallware moet toch nog altijd eerst de server gehacked worden.

Ik ben het eens dat systeembeheerders wakker moeten worden en web servers beter zouden moeten beheren. De uitspraak dat je je als beheerder zou moeten schamen voor het leed dat je je bezoekers aan zou doen is echter de schijnheiligheid zelve, komend van deze op en top hypocriete analist/onderzoeker/verkoper/lobbyist.

Als er binnen de software industrie een tak is die erg veel trekjes vertoond die je ook ziet bij drugs dealers dan is het wel de tak van de anti-virus/mallware producenten. Reken er maar niet op dat ze ook maar enig belang hebben bij de oplossing van het werkelijke probleem. Deze Sergey Golovanov zou er verstandig aan doen niet zo hoog(hartig) van de toren schreeuwen.
18-05-2009, 11:07 door s.stok
En maar al te vaak is dit het werk van onkundige server beheerders.
Vooral vakantie-hosters zien het niet als hun taak hun klanten hier tegen te beschermen.

En dan heb ik heb ik het niet over firewalls of zo, nee...
HET WELBEKENDE FIJT DAT CHMOD 777 WORDT VERPLICHT!

Zelf KPN heeft dit niet op orde.
http://www.phpfreakz.nl/forum.php?forum=8&iid=1231082#id1231118

Door alle scripts onder één gebruiker te draaien hoeft er maar één site te worden ge-hacked en je hele server is gecompromitteerd.


Maar zelfs als je dat op orde hebt, is er nog een ding waar niet altijd goed op wordt gelet.
PHPMyAdmin wordt vaak onder de zelfde gebruiker gedraaid als het klantenpaneel zelf, je hoeft PHPMyAdmin maar te hacken en hop! je bent in het klantenpaneel. Het zelfde geld voor webmail en Forum software.

Daarom draai ik de website en het klantenpaneel (beide zelf ontwikkeld) onder een aparte gebruiker.
Net zo eender als de: webmail, het forum en de DB admin tools.
18-05-2009, 11:13 door Anoniem
Door SirDice:
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.
Het is simpelweg nooit waar geweest.
En wat nu?
18-05-2009, 11:31 door SirDice
Door Anoniem:
Door SirDice:
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.
Het is simpelweg nooit waar geweest.
En wat nu?
Rekening houden dat het kan gebeuren, zoals altijd. Niet domweg denken dat je onkwetsbaar bent omdat je server toevallig *nix draait. Hou er bijvoorbeeld rekening mee dat het account www, web of nobody best nog veel kan ook al is het een "beperkt" account.
18-05-2009, 11:38 door rob
Een virusscanner-achtige tool als oplossing voor Unix beveiligingsproblemen te zien is pas hypocriet en schandelijk. Een virusscanner kan pas die waarde van 'onontbeerlijk' worden toegekend wanneer de gebruiker of beheerder te incompetent is om veilig het systeem te gebruiken.
18-05-2009, 12:08 door Anoniem
Wanneer Kaspersky dit een virus durft te noemen heb ik zojuist weer een windows virus uitgevonden...

<kneus.bat>
echo "dit is een virus"
format c: / yes yes yes
echo "bla bla bla, ik wil wat meer pakketjes antivirus verkoopsky".

FUD, halve en geen waarheden... Als er zomaar ineens een perl script op je *U*X server komt en die ook nog kan executen, dan heb je iets meer nodig dan kaspersky...
18-05-2009, 12:34 door Anoniem
Door SirDice:
Door Anoniem:
Door SirDice:
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.
Het is simpelweg nooit waar geweest.
En wat nu?
Rekening houden dat het kan gebeuren, zoals altijd. Niet domweg denken dat je onkwetsbaar bent omdat je server toevallig *nix draait. Hou er bijvoorbeeld rekening mee dat het account www, web of nobody best nog veel kan ook al is het een "beperkt" account.
Joh!
18-05-2009, 13:17 door Anoniem
Door Anoniem:
FUD, halve en geen waarheden... Als er zomaar ineens een perl script op je *U*X server komt en die ook nog kan executen, dan heb je iets meer nodig dan kaspersky...

Over FUD gesproken, op de meeste web servers draait "iets". Als je dus de mogelijkheid hebt een uitvoerbaar bestand te plaatsen daar waar scripts staan, dan kun je die gewoon uitvoeren, simpelweg omdat scripts anders niet werken.

Dus waar zit het probleem nu?

Doorgaans een van deze twee:
1. Wachtwoorden.
2. Slecht patch gedrag.

Zoals SirDice volkomen terecht zegt, het feit dat je *nix draait biedt geen bescherming.

De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam. Spammers doen dat omdat het kan, niet omdat het moeilijk is.
18-05-2009, 13:41 door Anoniem
Door Anoniem:
De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam.
Interessant, heb je daar ook een bron van?
18-05-2009, 14:35 door Anoniem
Door Anoniem:
Wederom de slinkse verhaspeling van virussen en mallware. Hoewel ze in hun uitwerking vaak veel op elkaar lijken is een essentieel verschil dat virussen qua infectie en verspreiding totaal anders te werk gaan (automatisch). Voor de mallware moet toch nog altijd eerst de server gehacked worden.

Sergey gaat uit van de standaard definities. Al is hij daar niet helemaal duidelijk in.

Malware is een verzamelnaam voor alle "slechte" software op systemen. Hier vallen virussen en wormen onder, maar ook trojan horses en rootkits. Virussen verspreiden zich trouwens niet vanzelf. Hiervoor is een actie nodig van de gebruiker, zoals het starten van het besmette programma zodat het virus andere programma's kan besmetten. Een worm verspreid zich echter zelfstandig. En een Trojan Horse heeft ook weer een gebruiker nodig. En dan om het bestand, niet zijnde een programma, te openen.

Uit de TRANSITS cursus van Terena:

Virus:
Self-replicating code that attaches itself to other files or programs
Some user interaction required for propagation, such as running a program or opening a document file

Worm:
Self-replicating code that spreads independently from system to system by exploiting vulnerabilities and misconfigurations in operating systems or applications
No user interaction or host file required for propagation

Trojan Horse:
A program or even a simple file that appears to have some useful purpose, but masks some hidden malicious functionality
No propagation mechanism implemented
Requires some user interaction

Oja, de eerste worm was gericht op unix-systemen. De gedachte dat (professionele) *nix beheerders denken dat hun systemen veilig zijn is volstrekt onjuist.

Peter
18-05-2009, 18:50 door Anoniem
En nu weten we dus nog niet door wel gat deze malware een *nix server binnensluipt...
18-05-2009, 20:33 door toor
als men nou een goede firewall draait, dus een die uitgaande verbindingen niet doorlaat, dan doet het ding nog niet echt veel en wordt ie snel gespot (firewall logs)
18-05-2009, 20:40 door toor
Door Anoniem:
Door SirDice:
Door Anoniem:
Door SirDice:
Volgens analist Sergey Golovanov wordt vaak beweerd dat *nix systemen veilig zijn en er geen virussen of malware voor bestaat. "Dit is al tijden niet meer waar", zegt de analist.
Het is simpelweg nooit waar geweest.
En wat nu?
Rekening houden dat het kan gebeuren, zoals altijd. Niet domweg denken dat je onkwetsbaar bent omdat je server toevallig *nix draait. Hou er bijvoorbeeld rekening mee dat het account www, web of nobody best nog veel kan ook al is het een "beperkt" account.
Joh!

Beetje rare reactie, maar SirDice heeft wel gelijk. Er rekening mee houden is al een heel eind in de goede richting. Iets wat daaruit volgt zijn terugkerende controles en audits, en logs analyseren - al dan niet deels geautomatiseerd.
18-05-2009, 20:41 door toor
Door Anoniem: En nu weten we dus nog niet door wel gat deze malware een *nix server binnensluipt...

nee dat mis ik ook een beetje. meneer kaspersky boeroept wel een boel, maar echte info geeft ie niet.
18-05-2009, 22:18 door Anoniem
Door Anoniem:
Door Anoniem:
De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam.
Interessant, heb je daar ook een bron van?

Het zijn waarnemingen uit onze spam feeds, bevestigd door andere anti-spam researchers. Het waren vorige week vooral Tjechische domeinen.
19-05-2009, 07:45 door SirDice
Door toor:
Door Anoniem: En nu weten we dus nog niet door wel gat deze malware een *nix server binnensluipt...

nee dat mis ik ook een beetje. meneer kaspersky boeroept wel een boel, maar echte info geeft ie niet.
Meestal file of command injection problemen in php scripts.
19-05-2009, 16:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam.
Interessant, heb je daar ook een bron van?

Het zijn waarnemingen uit onze spam feeds, bevestigd door andere anti-spam researchers. Het waren vorige week vooral Tjechische domeinen.
Je Tsjechisch is zo goed dat je ze hebt kunnen vragen hoe dat kon gebeuren en kreeg als antwoord dat hun systemen *nix gebruiken en dus louter vanwege dat feit veilig zijn?
19-05-2009, 16:49 door Anoniem
Door toor:
Beetje rare reactie, maar SirDice heeft wel gelijk. Er rekening mee houden is al een heel eind in de goede richting.
Met open deuren heb je altijd gelijk. Gelet op de kennelijk beoogde doelgroep en dan met name het niveau ervan is het sterk de vraag of het wel zin heeft en of die niet beter andere hulp kan krijgen.
19-05-2009, 22:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
De laatste tijd worden talloze *nix servers gehackt om te gebruiken in spam.
Interessant, heb je daar ook een bron van?

Het zijn waarnemingen uit onze spam feeds, bevestigd door andere anti-spam researchers. Het waren vorige week vooral Tjechische domeinen.
Je Tsjechisch is zo goed dat je ze hebt kunnen vragen hoe dat kon gebeuren en kreeg als antwoord dat hun systemen *nix gebruiken en dus louter vanwege dat feit veilig zijn?

Antwoord vind je onder "Gisteren,13:17 door Anoniem"
19-05-2009, 22:32 door rob
Kom op zeg. Het artikel is het niet eens waard om serieus op te reageren mensen :)

Spannend hoor.. 2 kwaadaardige scriptjes gevonden.

Ze beginnen nu ook al interessant te doen door alvast een worm naming systeem te verzinnen; Trojan-Dropper.Linux.Prl and Trojan-Mailfinder.Perl.Hnc. Stel je toch eens voor dat je al die tientallen wormen niet meer goed kunt sorteren. Alleen zou je dan verwachten dat die tweede misschien Trojan-Mailfinder.Prl zou moeten heten.

Heheh. wat een opgeblazen onzin allemaal.

Slecht bedekte FUD inderdaad.
20-05-2009, 01:06 door Anoniem
Door rob: Kom op zeg. Het artikel is het niet eens waard om serieus op te reageren mensen :)

Spannend hoor.. 2 kwaadaardige scriptjes gevonden.

Ze beginnen nu ook al interessant te doen door alvast een worm naming systeem te verzinnen; Trojan-Dropper.Linux.Prl and Trojan-Mailfinder.Perl.Hnc. Stel je toch eens voor dat je al die tientallen wormen niet meer goed kunt sorteren. Alleen zou je dan verwachten dat die tweede misschien Trojan-Mailfinder.Prl zou moeten heten.

Heheh. wat een opgeblazen onzin allemaal.

Slecht bedekte FUD inderdaad.

De volgende "worm" zullen ze Rob.diehetverschilnietweet.tussen.een.worm.eneentrojan.a noemen ok?
20-05-2009, 08:25 door SirDice
Door rob: Ze beginnen nu ook al interessant te doen door alvast een worm naming systeem te verzinnen; Trojan-Dropper.Linux.Prl and Trojan-Mailfinder.Perl.Hnc. Stel je toch eens voor dat je al die tientallen wormen niet meer goed kunt sorteren.
Err. Dat naam systeem bestond al of heb je je nooit afgevraagd waarom windows malware met W32/ begint?

http://search.mcafee.com/search?q=linux&site=us_site.Virus&num=10&sort=date:D:L:d1&output=xml_no_dtd&proxystylesheet=default_frontend_us&client=default_frontend_us&getFields=description&ie=UTF-8&oe=UTF-8&filter=0&
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.