100.000 NU.nl bezoekers mogelijk besmet met malware
De malware die gisteren op NU.nl verscheen heeft mogelijk 100.000 computers geïnfecteerd. Dat blijkt uit een extrapolatie van het Delftse beveiligingsbedrijf Fox-IT. De beveiliger heeft bij bedrijven sensoren staan die dreigingen waarnemen en maakte aan de hand van het aantal waargenomen infecties deze schatting. Het bedrijf waarschuwde de nieuwssite voor de besmetting. Via onbevestigde bronnen zouden er bij één bedrijf 500 infecties hebben plaatsgevonden.
Een aanvaller wist gisteren de inloggegevens van het CMS te bemachtigen en plaatste vervolgens een script op de nieuwssite. Via dat script werden mensen met een verouderde installatie van Adobe Reader en Java geïnfecteerd. In tegenstelling tot wat gisteren werd beweerd, vond de infectie niet tussen 11:30 en 12:30 plaats, maar tussen 11:30 en 13:40. Het kwaadaardige script werd uiteindelijk zelf door NU.nl gevonden en verwijderd.
Formatteren
Tijdens de aanval werd een nieuwe variant van de Sinowal Trojan geïnstalleerd. Volgens Erik Loman van het beveiligingsbedrijf Surfright, tevens maker van HitmanPro, kan nog geen enkel programma de malware verwijderen als die geïnstalleerd is. Er zou inmiddels een bètaversie van HitmanPro ontwikkeld zijn die Sinowal wel kan verwijderen. "Die wordt nu getest", aldus Loman tegenover Security.nl. "Zodra die klaar is wordt die beschikbaar gesteld."
De malware infecteert de Master Boot Record (MBR) van de harde schijf, die wordt gebruikt om Windows te laden. Hierbij plaatst Sinowal een aantal 'hooks' om de harde schijf heen. Wie de MBR onderzoekt krijgt een schone versie gepresenteerd. "Het is juist die hook die erg ingewikkeld is." Doordat de malware zich in de MBR verstopt, is het formatteren van de harde schijf niet voldoende, aangezien de malware dan vanuit de MBR de schone Windows opnieuw kan besmetten.
"Wie kennis van zaken heeft kan vanaf een boot cd opstarten en dan het commando fix mbr draaien. Dan is het ook opgelost, aangezien vanaf de CD-rom wordt opgestart en niet vanaf de geïnfecteerde MBR", laat Loman weten. "Veel mensen kunnen dat echter niet."
Waakhond
De werking van de nieuwe Sinowal was gisteren al duidelijk. De rootkit is echter beschermd door een digitale waakhond, die de geïnfecteerde MBR weer terug plaatst als die door beveiligingssoftware wordt verwijderd. "Daarom duurde de bestrijding zolang, aangezien we de waakhond moesten uitschakelen."
Sinowal zou al sinds 2006 bestaan, maar het gaat hier om een geheel nieuwe variant. "Wat ook interessant aan deze variant is dat de droppers een tijdcode gebruiken." Deze code zorgt ervoor dat de malware pas na een bepaalde tijd de MBR infecteert. "Dat doet ie op zijn eigen gemak. Hij kiest zelf wanneer hij gaat infecteren." Daardoor kan de infectie ook pas na een paar uur plaatsvinden.
Reacties (38)
Vreemd dat het Nationale Cyber Security Centrum niets op de website heeft staan over dit incident.
Waarschuwingsdienst.nl heeft een bericht staan maar geen advies.
Hoe los ik het op?
Waarschuwingsdienst.nl onderzoekt op dit moment de malware. Zodra wij meer informatie hebben over de manier waarop je je pc kunt schonen, publiceren wij dit via deze alert. Als je gisteren NU.nl hebt bezocht, raden we je dan ook aan de berichtgeving hierover in de gaten te houden.
Waarschuwingsdienst.nl onderzoekt op dit moment de malware. Zodra wij meer informatie hebben over de manier waarop je je pc kunt schonen, publiceren wij dit via deze alert. Als je gisteren NU.nl hebt bezocht, raden we je dan ook aan de berichtgeving hierover in de gaten te houden.
Tweakers.net suggereert dat HitmanPro het virus in ieder geval kan detecteren:
http://tweakers.net/nieuws/80689/honderdduizend-bezoekers-nu-punt-nl-wellicht-besmet-met-trojan.html
en een linkje naar de HitmanPro site:
http://www.surfright.nl/nl/
http://tweakers.net/nieuws/80689/honderdduizend-bezoekers-nu-punt-nl-wellicht-besmet-met-trojan.html
en een linkje naar de HitmanPro site:
http://www.surfright.nl/nl/
Hier een test om te controleren of je besmet kan zijn geraakt:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
Door Anoniem: Waarschuwingsdienst.nl heeft een bericht staan maar geen advies.
Lijkt me zeer verstandig zolang niet zeker is welk product het daadwerkelijk detecteerd. Maar wellicht was het handiger om meteen te vermelden minimaal de gewoonlijk aanbevolen maatregelen te volgen in geval van een besmetting.
15-03-2012, 14:10 door
SirDice
De malware infecteert de Master Boot Record (MBR) van de harde schijf, die wordt gebruikt om Windows te laden. Hierbij plaatst Sinowal een aantal 'hooks' om de harde schijf heen. Wie de MBR onderzoekt krijgt een schone versie gepresenteerd.
Geinig. Dat deed Lamer Exterminator vroeger ook.http://en.wikipedia.org/wiki/Lamer_Exterminator
Door Anoniem: Hier een test om te controleren of je besmet kan zijn geraakt:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
Dit werkt alleen als je je software in de tussentijd niet geüpdated of verwijderd hebt.http://sijmen.ruwhof.net/js/nu.nl-infectietest/
Trendmicro blokt op het moment ook nu.nl
Malicious website blocked
http://www.nu.nl/
Zou er weer een probleem zijn?
Malicious website blocked
http://www.nu.nl/
Zou er weer een probleem zijn?
15-03-2012, 14:59 door
X-max
"Wie kennis van zaken heeft kan vanaf een boot cd opstarten en dan het commando fix mbr draaien. Dan is het ook opgelost, aangezien vanaf de CD-rom wordt opgestart en niet vanaf de geïnfecteerde MBR", laat Loman weten. "Veel mensen kunnen dat echter niet."
Dit is niet geheel zonder risico, als de computer namelijk beschikt over een 'Factory MBR' die de 'Disc 2 Disc' recovery aanstuurt zal hiermee overschreven worden door een non-factory standaard MBR van Windows.Bij onder andere Acer en HP computers zal dit dus resulteren in een niet meer werkende 'Disc 2 Disc' recovery functie.
Met TDSSKiller en aswMBR van Avast is deze infectie prima te verwijderen.
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=4793
http://blog.pcwebplus.nl/?p=1733
15-03-2012, 15:01 door
tegenlicht
Hitman pro detecteert het virus waarschijnlijk als het een actief proces is. Het virus genereert bestanden die aan de opstartlijst worden toegevoegd om de volgende keer weer met de besmetting door te gaan. Deze bestanden worden niet herkend door hitmanpro.
Inmiddels is NOD32 met een update gekomen, die het virus inclusief alle gegenereerde bestanden kan verwijderen.
Let op, het gaat om update 6969. Detectie vind alleen plaats indien je een volledige systeemscan uitvoert.
Wat mij heel veel heeft geholpen is het gebruik van WinPatrol. Zeer goede tool die letterlijk blaft op het moment dat een proces iets toevoegd aan de opstartlijst. Ik zag gister dus ook dat er een proces was wat iedere minuut een vreemd exe bestand aan mijn opstartlijst wilde toevoegen.
Inmiddels is NOD32 met een update gekomen, die het virus inclusief alle gegenereerde bestanden kan verwijderen.
Let op, het gaat om update 6969. Detectie vind alleen plaats indien je een volledige systeemscan uitvoert.
Wat mij heel veel heeft geholpen is het gebruik van WinPatrol. Zeer goede tool die letterlijk blaft op het moment dat een proces iets toevoegd aan de opstartlijst. Ik zag gister dus ook dat er een proces was wat iedere minuut een vreemd exe bestand aan mijn opstartlijst wilde toevoegen.
15-03-2012, 15:10 door
SirDice
Door X-max:
Ik vermoed dat dit sowieso al om zeep geholpen wordt door de malware."Wie kennis van zaken heeft kan vanaf een boot cd opstarten en dan het commando fix mbr draaien. Dan is het ook opgelost, aangezien vanaf de CD-rom wordt opgestart en niet vanaf de geïnfecteerde MBR", laat Loman weten. "Veel mensen kunnen dat echter niet."
Dit is niet geheel zonder risico, als de computer namelijk beschikt over een 'Factory MBR' die de 'Disc 2 Disc' recovery aanstuurt zal hiermee overschreven worden door een non-factory standaard MBR van Windows.Door Anoniem: Vreemd dat het Nationale Cyber Security Centrum niets op de website heeft staan over dit incident.
Je moet die partij niet al te serieus nemen.
15-03-2012, 15:18 door
Korakies
Wat ik mij nu afvraag; ben ik in voldoende mate beschermt tegen dit soort bedreigingen als ik de browser (Firefox) in de sandbox omgeving draai?
Een snelle test via http://sijmen.ruwhof.net/js/nu.nl-infectietest/ leerde wel dat ik niet besmet ben. Maar komt dit nu omdat ik geen Java draai en Adobe heb geïnstalleerd, of komt het omdat de sandbox het waarschijnlijk heeft gestopt?
Een snelle test via http://sijmen.ruwhof.net/js/nu.nl-infectietest/ leerde wel dat ik niet besmet ben. Maar komt dit nu omdat ik geen Java draai en Adobe heb geïnstalleerd, of komt het omdat de sandbox het waarschijnlijk heeft gestopt?
15-03-2012, 15:31 door
X-max
Door SirDice: Ik vermoed dat dit sowieso al om zeep geholpen wordt door de malware.
Ik heb al diverse keren sinowal varianten getest, aangezien deze vooral bij de ING klanten een ware plaag waren en eigenlijk nog steeds veelvoorkomend is.Bij een geïnfecteerde MBR blijft de 'disc 2 disc' recovery intact en is nog gewoon te gebruiken.
Bij Acer is dit met de toetscombinatie ALT+F10 en bij HP als ik het goed heb alleen F10.
15-03-2012, 15:44 door
SirDice
Door X-max:
Bij een geïnfecteerde MBR blijft de 'disc 2 disc' recovery intact en is nog gewoon te gebruiken.
Aha. Dan maakt de malware waarschijnlijk een kopietje. Om die kopie, nadat het z'n eigen zaken heeft geregeld, te starten.Door SirDice: Ik vermoed dat dit sowieso al om zeep geholpen wordt door de malware.
Ik heb al diverse keren sinowal varianten getest, aangezien deze vooral bij de ING klanten een ware plaag waren en eigenlijk nog steeds veelvoorkomend is.Bij een geïnfecteerde MBR blijft de 'disc 2 disc' recovery intact en is nog gewoon te gebruiken.
15-03-2012, 15:52 door
X-max
Door SirDice:
Aha. Dan maakt de malware waarschijnlijk een kopietje. Om die kopie, nadat het z'n eigen zaken heeft geregeld, te starten.
Dat klopt, ik heb daar ergens een analyse van in een PDF bestand maar die kon ik zo snel niet vinden. Het heeft ook te maken met user-mode & kernel-mode als ik het mij goed herinner.Aha. Dan maakt de malware waarschijnlijk een kopietje. Om die kopie, nadat het z'n eigen zaken heeft geregeld, te starten.
15-03-2012, 15:54 door
[Account Verwijderd]
[Verwijderd]
Raar, dat er een site uit India wordt genoemd. Als ik accent6.in google, dat komt er een ip adres naar voren uit een ander land (urlQuery). Misschien ook een gehackte site?
Wie kan dat uitleggen?
Wie kan dat uitleggen?
Hi, zou iemand deze digibeet even iets kunnen ophelderen please?
Ik had de oude kwetsbare Java en Adobe software en dus volgens de test op http://sijmen.ruwhof.net/js/nu.nl-infectietest/ waarschijnlijk besmet.
Maar ik ben op Linux Mint. Weet iemand of mijn computer besmet kan zijn of niet?
Ze zeggen dat Linux inmuner is in het algemeen, maar ik was gisteravond nog in internetbankieren, paypal en alles, dus ik moet het *echt* 100% zeker weten :(
Ik had de oude kwetsbare Java en Adobe software en dus volgens de test op http://sijmen.ruwhof.net/js/nu.nl-infectietest/ waarschijnlijk besmet.
Maar ik ben op Linux Mint. Weet iemand of mijn computer besmet kan zijn of niet?
Ze zeggen dat Linux inmuner is in het algemeen, maar ik was gisteravond nog in internetbankieren, paypal en alles, dus ik moet het *echt* 100% zeker weten :(
Gaat het hier nu om de MBR of de bootloader? Ik gebruik namelijk Linux en vraag me dus af of het OS-specifiek is.
Groetjes, Wendy
Groetjes, Wendy
Je kan adobe reader ook zo instellen dat die niets met internet mag doen, helpt dat dan ook niet?
Maar goed tot welke javaclient en adobe versie zijn we nu concreet kwetsbaar. Want dat antwoord zie ik nog nergens.
Rootkits rommelen altijd met usermode en kernal mode...ze zullen wel moeten.
15-03-2012, 16:46 door
Erik Loman
Door tegenlicht: Hitman pro detecteert het virus waarschijnlijk als het een actief proces is. Het virus genereert bestanden die aan de opstartlijst worden toegevoegd om de volgende keer weer met de besmetting door te gaan. Deze bestanden worden niet herkend door hitmanpro.
HitmanPro detecteert Sinowal gewoon als geïnfecteerde MBR en niet als actief proces.HitmanPro detecteert ook de smoke loader (als actief proces) die via de Run key start.
Zie ook deze screenshot: https://twitter.com/#!/erikloman/status/180327481935540224/photo/1
In tegenstelling tot wat gisteren werd beweerd, vond de infectie niet tussen 11:30 en 12:30 plaats, maar tussen 11:30 en 13:40.
Ik heb machines die om 10:50 verbinding met nu.nl zochten en vlak daarna de malware downloaden. Daarvoor heb ik geen hits.
Peter
Door Anoniem: Maar goed tot welke javaclient en adobe versie zijn we nu concreet kwetsbaar. Want dat antwoord zie ik nog nergens.
Volgens waarschuwingsdienst.nl:Uit een analyse van Sijmen Ruwhof blijkt dat systemen die gebruik maken van Adobe Reader tussen versie 8 en 9.3 of Java tussen versie 5 en 5.0.23 en tussen versie 6 en 6.0.27 kwetsbaar zijn voor deze aanval.
Link: http://www.waarschuwingsdienst.nl/Risicos/Actuele+dreigingen/Virussen+en+wormen/WD-2012-025+Nieuwssite+NU.nl+verspreidde+malware.html
Als je binnen Adobe Reader NL, mits je adobe wilt blijven gebruiken (ik heb hier versie 9.50) javascript en het tonen van een pdf in je browser wil uitschakelen en wat extra beveiliging wil aanbrengen doe je het volgende:
[ ] uitvinken (sommige settings zijn wat overdone maar voor de zekerheid zeg maar)
[v] aanvinken
[Algemeen]
[ ] Webkoppelingen van URL's maken
INTERNET:
<bewerken>
<voorkeuren>
<Internet>
[ ] pdf in browser tonen
[ ] snelle webweergave toestaan
[ ] speculatief downloaden op de achtergrond toestaan
JAVASCRIPT:
<bewerken>
<voorkeuren>
<javascript>
[ ] Acobat Java script inschakelen
En zet het volgende aan voor de meest recente update als je dat wilt:
BEHEER
<bewerken>
<voorkeuren>
<Beheer>
Automatisch controleren op nieuwe opmerkingen en verzameling gegevens formuliergegevens (servergebaseerd)
Elk uur (dit is default)
[v] Meldingspictogram in systeemvak weergeven
de rest uit.
[Betrouwbaarheidsbeheer]
<bewerken>
<voorkeuren>
<Betrouwbaarheidsbeheer>
[Instellingen wijzigen]
[v] Alle websites blokkeren !!!!!!!!!!
[Beveiliging]
<bewerken>
<voorkeuren>
<Beveiliging>
[v] handtekening verifieren
[Beveiliging uitgebreid]
<bewerken>
<voorkeuren>
<Beveiliging uitgebreid>
[v] uitgebreide beveiliging inschakelen
[v] logbestand maken
[Autoupdates]
<bewerken>
<voorkeuren>
<Updater>
[v] Updates automatisch downloaden, maar laat mij kiezen wanneer deze worden geinstalleerd
[Multimedia vertrouwen (verouderd)
<bewerken>
<voorkeuren>
<Multimedia vertrouwen (verouderd)>
[ ] Multimediabewerkingen toestaan
***************
Note: Sumatra pdf kan niet altijd elke pdf lezen en dan moet je een andere pdf reader gebruiken.
******************
[ ] uitvinken (sommige settings zijn wat overdone maar voor de zekerheid zeg maar)
[v] aanvinken
[Algemeen]
[ ] Webkoppelingen van URL's maken
INTERNET:
<bewerken>
<voorkeuren>
<Internet>
[ ] pdf in browser tonen
[ ] snelle webweergave toestaan
[ ] speculatief downloaden op de achtergrond toestaan
JAVASCRIPT:
<bewerken>
<voorkeuren>
<javascript>
[ ] Acobat Java script inschakelen
En zet het volgende aan voor de meest recente update als je dat wilt:
BEHEER
<bewerken>
<voorkeuren>
<Beheer>
Automatisch controleren op nieuwe opmerkingen en verzameling gegevens formuliergegevens (servergebaseerd)
Elk uur (dit is default)
[v] Meldingspictogram in systeemvak weergeven
de rest uit.
[Betrouwbaarheidsbeheer]
<bewerken>
<voorkeuren>
<Betrouwbaarheidsbeheer>
[Instellingen wijzigen]
[v] Alle websites blokkeren !!!!!!!!!!
[Beveiliging]
<bewerken>
<voorkeuren>
<Beveiliging>
[v] handtekening verifieren
[Beveiliging uitgebreid]
<bewerken>
<voorkeuren>
<Beveiliging uitgebreid>
[v] uitgebreide beveiliging inschakelen
[v] logbestand maken
[Autoupdates]
<bewerken>
<voorkeuren>
<Updater>
[v] Updates automatisch downloaden, maar laat mij kiezen wanneer deze worden geinstalleerd
[Multimedia vertrouwen (verouderd)
<bewerken>
<voorkeuren>
<Multimedia vertrouwen (verouderd)>
[ ] Multimediabewerkingen toestaan
***************
Note: Sumatra pdf kan niet altijd elke pdf lezen en dan moet je een andere pdf reader gebruiken.
******************
15-03-2012, 21:26 door
[Account Verwijderd]
[Verwijderd]
15-03-2012, 21:29 door
[Account Verwijderd]
[Verwijderd]
15-03-2012, 22:26 door
Erik Loman
Nog een stukje geschreven op Tweakers:
http://gathering.tweakers.net/forum/list_message/37862947#37862947
http://gathering.tweakers.net/forum/list_message/37862947#37862947
16-03-2012, 08:18 door
SirDice
Door Anoniem: Raar, dat er een site uit India wordt genoemd. Als ik accent6.in google, dat komt er een ip adres naar voren uit een ander land (urlQuery). Misschien ook een gehackte site?
Een domeinnaam hoeft niet perse uit het zelfde land te komen als het IP adres. Je kunt een .com registreren en die vervolgens laten verwijzen naar een Nederlandse hoster met een Nederlands IP adres. Op een zelfde manier kun je dus een Indiaas domein hebben en dat later verwijzen naar bijv. een Russisch IP adres.
Door Sophos werd de payload al op het moment dat de nu.nl site gecompromitteerd werd gedecteerd en geblokkeerd.
Ik heb het volgende overzicht:
14-3-2012 11:18:20 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:18:21 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=23648, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
14-3-2012 11:18:27 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=269, op=GET, dstname=mops63jger . info, arg=/01O9Kss (deny vanwege contenttype application/java-archive)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet.class (deny vanwege *.class)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet/class.class (deny vanwege *.class)
14-3-2012 11:20:05 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:20:06 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=242, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
- Geen link meer op nu.nl naar exploit site. Veel nu.nl bezoeken maar geen links naar evil websites
14-3-2012 11:36:31 - disp=Allow, src_ip=x.x.x.147, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13324, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:40:04 - disp=Allow, src_ip=x.x.x.100, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13424, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:47:15 - disp=Allow, src_ip=x.x.x.94, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13257, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
- aanvallers veranderen de code om te detecteren welke plug-in aan te vallen continu want Sophos vind niks meer maar aanval gaat door.
14-3-2012 11:49:42 - disp=Allow, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13385, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
14-3-2012 11:49:59 - disp=Allow, src_ip=x.x.x.55, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13310, sent_bytes=666, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 11:52:08 - disp=Allow, src_ip=x.x.x.25, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13317, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 12:00:23 - disp=Allow, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13314, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
Hier stop mijn detectie want nu.nl werd toegevoegd aan blacklist firewall.
14-3-2012 11:18:20 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:18:21 - disp=Allow, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=23648, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
14-3-2012 11:18:27 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=269, op=GET, dstname=mops63jger . info, arg=/01O9Kss (deny vanwege contenttype application/java-archive)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet.class (deny vanwege *.class)
14-3-2012 11:18:28 - disp=Deny, src_ip=x.x.x.135, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=0, sent_bytes=195, op=GET, dstname=mops63jger . info, arg=/Applet/class.class (deny vanwege *.class)
14-3-2012 11:20:05 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=246, sent_bytes=634, op=GET, dstname=mops63jger . info, arg=/i.php
14-3-2012 11:20:06 - disp=Allow, src_ip=x.x.x.98, dst_ip=66.199.232.98, dst_port=80, rcvd_bytes=242, sent_bytes=633, op=GET, dstname=mops63jger . info, arg=/1O9K
- Geen link meer op nu.nl naar exploit site. Veel nu.nl bezoeken maar geen links naar evil websites
14-3-2012 11:36:31 - disp=Allow, src_ip=x.x.x.147, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13324, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:40:04 - disp=Allow, src_ip=x.x.x.100, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13424, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
14-3-2012 11:47:15 - disp=Allow, src_ip=x.x.x.94, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13257, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (sophos op client detecteerd Mal/ExpJS-N)
- aanvallers veranderen de code om te detecteren welke plug-in aan te vallen continu want Sophos vind niks meer maar aanval gaat door.
14-3-2012 11:49:42 - disp=Allow, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13385, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 11:49:56 - disp=Deny, src_ip=x.x.x.65, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
14-3-2012 11:49:59 - disp=Allow, src_ip=x.x.x.55, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13310, sent_bytes=666, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 11:52:08 - disp=Allow, src_ip=x.x.x.25, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13317, sent_bytes=640, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e (Alleen plug-in detectie script opgevraagd geen exploit geserveerd)
14-3-2012 12:00:23 - disp=Allow, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=13314, sent_bytes=667, op=GET, dstname=accent6 . in, arg=/index.php?0acb5dbb36f93141b027d416261af42e
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:27 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=303, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=266, op=GET, dstname=accent6 . in, arg=//images/r/f3d091bce8d6b08df676c3bd7801e936.jar (deny vanwege *.jar)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=196, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt.class (deny vanwege *.class)
14-3-2012 12:00:28 - disp=Deny, src_ip=x.x.x.66, dst_ip=188.95.50.57, dst_port=80, rcvd_bytes=0, sent_bytes=202, op=GET, dstname=accent6 . in, arg=/Tli/NRJKSumt/class.class (deny vanwege *.class)
Hier stop mijn detectie want nu.nl werd toegevoegd aan blacklist firewall.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
