Computerbeveiliging - Hoe je bad guys buiten de deur houdt

belastingen.nl trojan site (en ook admin.nl)

02-02-2012, 19:38 door Anoniem, 7 reacties
omdat ik een aangifte moest doen vanuit belgie surfte ik op goed geluk af naar belastingen.nl.
ik kreeg daarvoor van google een warning, hopelijk pikt iemand dit op en wordt dit domein uitgeschakeld.

Wim Holemans

Safe Browsing
Diagnostische pagina voor belastingen.nl

Wat is de huidige vermeldingsstatus voor belastingen.nl?

Site is vermeld als verdacht - het bezoeken van deze website kan schade aan uw computer veroorzaken.

Een gedeelte van deze site is in de afgelopen 90 dagen 1 keer vermeld op basis van verdachte activiteit.

Wat gebeurde er toen Google deze site bezocht?

Van de 3 pagina's die we in de afgelopen 90 dagen op de site hebben getest, resulteerde(n) 1 pagina('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker. Google heeft deze site het laatst bezocht op 2012-01-07 en het laatst verdachte inhoud op deze site aangetroffen op 2012-01-07.

Schadelijke software omvat 1 trojan(s).

Schadelijke software wordt gehost op 1 domein(en), waaronder selen77.com/.

Deze site is gehost op 1 netwerk(en), waaronder AS42949 (WWW).

Heeft deze site gefunctioneerd als tussenstadium met als resultaat verdere distributie van malware?

In de afgelopen 90 dagen leek belastingen.nl te functioneren als tussenstadium voor het infecteren van 1 site(s), waaronder admin.nl/.

Heeft deze site malware gehost?

Ja, deze site heeft in de afgelopen 90 dagen schadelijke software gehost. De site heeft 1 domein(en) geïnfecteerd, waaronder admin.nl/.

Hoe is dit gebeurd?

In bepaalde gevallen kunnen derde partijen schadelijke code toevoegen aan legitieme sites, waardoor wij dit waarschuwingsbericht weergeven.
Reacties (7)
03-02-2012, 11:17 door SirDice
Door Anoniem: hopelijk pikt iemand dit op en wordt dit domein uitgeschakeld.
Posten naar een algemeen security forum zal niet veel helpen.

Zoek even uit waar dat spul gehost wordt en schrijf een abuse email naar die hoster. Die kunnen actie ondernemen, wij niet.
03-02-2012, 11:25 door SirDice
Nu bedenk ik me dat je waarschijnlijk niet weet hoe je dat kunt opzoeken.


dice@vps-2417-1:~>dig belastingen.nl

; <<>> DiG 9.8.1-P1 <<>> belastingen.nl
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8088
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;belastingen.nl. IN A

;; ANSWER SECTION:
belastingen.nl. 3600 IN A 195.20.9.62

;; Query time: 13 msec
;; SERVER: 172.17.0.26#53(172.17.0.26)
;; WHEN: Fri Feb 3 11:23:11 2012
;; MSG SIZE rcvd: 48

Het IP adres van de site is dus 195.20.9.62, en de volgende stap:

dice@vps-2417-1:~>whois 195.20.9.62
#
# Query terms are ambiguous. The query is assumed to be:
# "n 195.20.9.62"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=195.20.9.62?showDetails=true&showARIN=false&ext=netref2
#

NetRange: 195.0.0.0 - 195.255.255.255
CIDR: 195.0.0.0/8
OriginAS:
NetName: RIPE-CBLK3
NetHandle: NET-195-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1996-03-25
Updated: 2009-03-25
Ref: http://whois.arin.net/rest/net/NET-195-0-0-0-1

OrgName: RIPE Network Coordination Centre
OrgId: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
RegDate:
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/RIPE

ReferralServer: whois://whois.ripe.net:43

OrgAbuseHandle: RNO29-ARIN
OrgAbuseName: RIPE NCC Operations
OrgAbusePhone: +31 20 535 4444
OrgAbuseEmail: hostmaster@ripe.net
OrgAbuseRef: http://whois.arin.net/rest/poc/RNO29-ARIN

OrgTechHandle: RNO29-ARIN
OrgTechName: RIPE NCC Operations
OrgTechPhone: +31 20 535 4444
OrgTechEmail: hostmaster@ripe.net
OrgTechRef: http://whois.arin.net/rest/poc/RNO29-ARIN

RTechHandle: RIPE-NCC-ARIN
RTechName: RIPE NCC Hostmaster
RTechPhone: +31 20 535 4444
RTechEmail: search-ripe-ncc-not-arin@ripe.net
RTechRef: http://whois.arin.net/rest/poc/RIPE-NCC-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '195.20.8.0 - 195.20.11.255'

inetnum: 195.20.8.0 - 195.20.11.255
netname: NL-EATSERVER-WEBHOSTING
descr: eatserver.nl
country: NL
org: ORG-wA67-RIPE
admin-c: VDB15-RIPE
tech-c: VDB15-RIPE
status: ASSIGNED PI
remarks: Please report abuse by email to abuse@eatserver.nl
mnt-by: RIPE-NCC-END-MNT
mnt-by: TELECITY-NL-MNT
mnt-by: EATSERVER-NL-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-routes: TELECITY-NL-MNT
mnt-routes: EATSERVER-NL-MNT
mnt-domains: TELECITY-NL-MNT
mnt-domains: EATSERVER-NL-MNT
remarks: rev-srv: NS.EATSERVER.NL
remarks: rev-srv: NS2.EATSERVER.NL
source: RIPE # Filtered
remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009

organisation: ORG-wA67-RIPE
org-name: eatserver.nl
org-type: OTHER
address: Gaasterland 2
1948 RG Beverwijk
abuse-mailbox: abuse@eatserver.nl
mnt-ref: TELECITY-NL-MNT
mnt-ref: EATSERVER-NL-MNT
mnt-by: TELECITY-NL-MNT
mnt-by: EATSERVER-NL-MNT
source: RIPE # Filtered

person: Richard van den Berg
address: EatServer.nl
address: Gaasterland 2
address: 1948 RG Beverwijk
address: The Netherlands
phone: +31 251 272943
fax-no: +31 251 273469
nic-hdl: VDB15-RIPE
mnt-by: TELECITY-NL-MNT
mnt-by: EATSERVER-NL-MNT
source: RIPE # Filtered

% Information related to '195.20.8.0/22AS39003'

route: 195.20.8.0/22
descr: routes originated by TELECITYREDBUS NL LIR
origin: AS39003
mnt-by: TELECITY-NL-MNT
mnt-by: EATSERVER-NL-MNT
source: RIPE # Filtered


De site wordt dus gehost bij "Eatserver". Je kunt je abuse email sturen naar abuse@eatserver.nl. Zij kunnen de eigenaar waarschuwen en eventueel de site offline halen.
03-02-2012, 11:46 door Spiff has left the building
Naast wat SirDice aangeeft nog drie punten:

Wat je deed, zomaar op goed geluk een url kiezen, dat is altijd riskant en onverstandig.
Er zijn altijd lieden die hiervan misbruik proberen te maken door op sites die wat naam of adres betreft verwant lijken aan de site die je werkelijk zoekt kwaadaardige zaken neer te zetten.

Google Safebrowsing lijkt echter de enige site-checker die op belastingdienst.nl iets schadelijks ziet.
Zie: https://www.virustotal.com/url/2a329533b0b4e5726f018d06d0edc34bd04f8619aa89e1e91c160347addb9126/analysis/1328264407/

En de site die je zocht is uiteraard http://www.belastingdienst.nl/
03-02-2012, 13:50 door Anoniem
"En de site die je zocht is uiteraard http://www.belastingdienst.nl/"

Nee, de website die hij bezocht betreft www.belastingen.nl - de website host nog altijd malware, maar het is nogal de vraag of de eigenaar daar iets vanaf weet, waarschijnlijk is de website gehacked. De malware die erop staat is volgens TrendMicro HTML_IFAME.VIB :

http://about-threats.trendmicro.com/Malware.aspx?language=us&name=HTML_IFRAME.VIB

Via VirusTotal :

https://www.virustotal.com/url/4f98c54e3d7fc3a8c4df0e36d274f3be9dc0adf9ea658857cde04997a940227a/analysis/1328273343/

In de melding staat dan ook "In bepaalde gevallen kunnen >>derde partijen<< schadelijke code toevoegen aan legitieme sites, waardoor wij dit waarschuwingsbericht weergeven."

"Je kunt je abuse email sturen naar abuse@eatserver.nl. Zij kunnen de eigenaar waarschuwen"

Dat lijkt mij ook de beste oplossing.
03-02-2012, 15:36 door Anoniem
Nou de belastingdienst is zelf ook niet safe hoor. Maar ik zeg niets meer.
03-02-2012, 15:55 door Spiff has left the building
Door Anoniem, 13:50 uur:
"En de site die je zocht is uiteraard http://www.belastingdienst.nl/"

Nee, de website die hij bezocht betreft www.belastingen.nl

Pffff.. wéér iemand die blijkbaar niet kan lezen.

Ik schreef "die je zocht".
De site die de topicstarter bezocht was uiteraard belastingen.nl, zoals ik ook aangaf (!)

Wat is dat tegenwoordig toch met lezen en schrijven, kan niemand dat meer?
03-02-2012, 16:05 door SLight
ik snap sowieso niet dat de overheid dat domein nog niet heeft geclaimd, maar goed.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search