image

RAT infecteert 195.000 domeinen

dinsdag 6 augustus 2013, 14:28 door Redactie, 5 reacties

Een spambot die gehackte websites en geïnfecteerde computers gebruikt voor het versturen van spam heeft inmiddels 195.000 domeinen en IP-adressen gecompromitteerd. Het gaat met name om websites die kwetsbare versies van de WordPress, Joomla en Drupal contentmanagementsystemen (CMS) gebruiken.

De spamoperatie begint met een besmette Windowsgebruiker, die vanaf een spamserver allerlei spamgegevens downloadt, zoals template en e-mailadressen. De computer stuurt de data vervolgens door naar de gehackte websites, die de spam uiteindelijk versturen.

Scripts

Webmasters die willen controleren of de spamscripts op hun domein of website actief zijn, moeten volgens het Japanse anti-virusbedrijf Trend Micro zoeken naar de bestanden sm13e.php of sm14e.php, hoewel de naam kan veranderen.

Een andere mogelijkheid is om te zoeken naar de strings 'die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)' en ´die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)'. Zodra de spamscripts worden ontdekt krijgen webmasters het advies die te verwijderen en hun CMS te updaten.

Reacties (5)
06-08-2013, 15:37 door Anoniem
Misschien een nieuw idee: installeer een virus scanner op je server. Die kan dan mooi zoeken naar die besmette bestanden. (Oh nee, wat dom, er is geen malware op Linux.)

Malware scanners horen standaard te zijn op Linux servers. En die moeten niet alleen Windows malware detecteren.
06-08-2013, 21:05 door Anoniem
Meneer Anoniem, er is wel zeker malware voor linux. En vergeet niet dat de meeste websites linux draaien, en dat deze uiteindelijk gebruikt worden om malware te serveren...

De volgende tool wordt gebruikt om malware te scannen op linux webservers:
http://sourceforge.net/projects/smscanner/
06-08-2013, 22:56 door Anoniem
de PHP-scripts die genoemd worden zijn ook niet "besmet". Het zijn clear text bestanden die de instructies bevatten om spam te versturen. Een virus-scanner is hierbij geen oplossing, omdat er geen sprake is van een virus. En omdat het clear-text bestanden zijn, die door een ieder aan te passen zijn, staat niets een individu in de weg om een kleine aanpassing te maken en dus een nieuwe "versie" te maken. Het lijkt me een betere oplossing om servers beter te beveiligen en te voorzien van alarm-methodes die aangeven dat er nieuwe files zijn verschenen, of dat er aanpassingen zijn gemaakt in bestaande files (tripwire, aide etc).
En het moet opgemerkt worden. Soms is het (blind) vertrouwen in techniek een kwetsbaarheid op zich. Zoals "ik heb een malware scanner, dus mij gebeurd niets" of nog veel erger "ik weet niets van techniek, maar wordpress maakt het zo makkelijk dat ik ook een site kan opzetten"
07-08-2013, 14:29 door Anoniem
Sinds wanneer kan je met een RAT systemen installeren ?
07-08-2013, 21:43 door Anoniem
@21:05 door Anoniem

Sarcasme komt niet bij iedereen aan, bedankt dat je er me aan herinnert.

@22:56 door Anoniem
Een virus scanner is in tegenstelling tot wat de naam zegt, niet alleen voor de detectie van virussen, maar ook andere malware. Severs moeten uiteraard beveiligd worden, maar de ervaring leert dat dit niet of niet voldoende gebeurt.

Niet alle virusscanners detecteren Linux malware, en dat is een probleem dat de leveranciers moeten oplossen. Zoals het nu is, is het rommelig op zijn best. Elke "nieuwe" versie moet worden gedetecteerd. Het feit dat malware een script is, maakt niet uit.

Een virus scanner is geen oplossing voor slecht beheer, maar het helpt wel misbruik van lekke Linux servers te voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.