image

Malware infecteert duizenden Linux- en BSD-servers

woensdag 29 april 2015, 15:37 door Redactie, 27 reacties

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben duizenden Linux- en BSD-servers ontdekt die met malware besmet zijn geraakt en worden gebruikt voor het versturen van grote aantallen spamberichten. Mumblehard, zoals de malware heet, zou al sinds 2009 actief zijn.

Het gaat voornamelijk om webservers die zeer waarschijnlijk via lekken in de populaire contentmanagementsystemen Joomla en WordPress werden gehackt. Vervolgens installeerden de aanvallers Mumblehard op de systemen. Daarnaast zou de malware zich ook hebben verspreid via illegale versies van een programma genaamd DirectMailer. De software kost normaal 240 dollar, maar op internet werden illegale versies met de Mumblehard-backdoor aangetroffen.

Yellsoft

DirectMailer wordt ontwikkeld door het softwarebedrijf Yellsoft. Yellsoft verkoopt software die net als Mumblehard in de programmeertaal Perl is geschreven en wordt gebruikt voor het versturen van bulkmail. De onderzoekers van ESET vermoeden dat Yellsoft mogelijk bij de malware betrokken is. Zo blijkt dat het IP-adres van de C&C-server die de besmette Linux- en BSD-machines aanstuurt zich in dezelfde reeks bevindt als de webserver van yellsoft.net.

De tweede link waar de onderzoekers naar wijzen is het bestaan van de illegale versies van DirectMailer waar de Mumblehard-backdoor in zat verstopt. De eerste versie van Mumblehard dateert van 2009. Yellsoft bestaat sinds 2004. "Het is onduidelijk of ze tussen 2004 en 2009 bij kwaadaardige activiteiten waren betrokken", zo laten de onderzoekers in hun rapport (pdf) over de malware weten.

Infecties

Mumblehard werd ontdekt nadat een systeembeheerder had geklaagd dat zijn server wegens spam op een blacklist terecht was gekomen. Tijdens het onderzoek dat ESET uitvoerde wisten onderzoekers de botnetserver te "sinkholen", waarbij het verkeer van besmette machines naar een server van het anti-virusbedrijf liep. Op deze manier zagen de onderzoekers gedurende een periode van zeven maanden bijna 8900 unieke IP-adressen voorbijkomen die besmet waren. Beheerders die willen weten of hun server is gecompromitteerd krijgen het advies om naar ongevraagde cronjobs voor alle gebruikers te zoeken.

Reacties (27)
29-04-2015, 16:01 door Eric-Jan H te D
Een lichte glimlach verschijnt om mijn mond. Niet dat ik van bash(ing) houd hoor.
29-04-2015, 16:24 door [Account Verwijderd] - Bijgewerkt: 29-04-2015, 16:25
[Verwijderd]
29-04-2015, 16:39 door Anoniem
Door Eric-Jan H te A: Een lichte glimlach verschijnt om mijn mond. Niet dat ik van bash(ing) houd hoor.
Klinkt als de reactie van een blinde aanhanger van een falend (web)platform ongeacht hoeveel (via afpersing vanuit een monopolie verkregen) geld er tegenaan gesmeten wordt en dat te crashen is met het sturen van een enkele simpele standaard HTTP-header.
Misschien een idee om wat minder (pass the) hash te roken?

Ontopic: dus als ik het goed lees installeerde men zelf (illegale dan wel twijfelachtige) software dat de malware bevatte?
Storm in een glaswater dus.
29-04-2015, 16:49 door Eric-Jan H te D
Door Krakatau:Houd die glimlach maar in want Linux en BSD zijn hier secundair: het gaat hier primair om PHP zwaktes.

tJa datzelfde geldt ook voor de meeste aanvallen op het MS-platform. Het is meestal niet het OS dat gecompromitteerd is maar de user-space. Zeker als je met een normaal gebruikersaccount werkt.
29-04-2015, 16:54 door grizzler - Bijgewerkt: 29-04-2015, 16:55
Targets zijn Linux en BSD besturingssystemen. Specifiek. Er worden ELF binaries gebruikt, als wrappers voor de perl scripts, die INT aanroepen doen om het besturingssysteem te identificeren. Met andere woorden, dit spul werkt niet onder Windows, alleen BSD en Linux.

Even goed, een kleine 9.000 servers geïnfecteerd sinds 2009. Indrukwekkend, hoor (not).
29-04-2015, 17:12 door [Account Verwijderd]
[Verwijderd]
29-04-2015, 17:37 door [Account Verwijderd] - Bijgewerkt: 29-04-2015, 17:40
[Verwijderd]
29-04-2015, 17:39 door Eric-Jan H te D
Door Krakatau:Aha, dus je trekt dat suggestieve bash(ing) nu zelf in?

Ik trek niks in. Ik houd er gewoon niet van.
29-04-2015, 19:04 door Anoniem
Ik krijg de indruk dat de meeste reageerders een Linux systeem hebben gelet op de reacties. En dan dit. Ik krijg geen glimlach maar een vette brede van oor tot oor grijns op mijn gezicht.
29-04-2015, 21:06 door Eric-Jan H te D
Door Anak Krakatau:wat zou jij vinden als jouw av-boer ermee zou ophouden

AV-boeren houden er niet mee op "They just fade away"
29-04-2015, 21:11 door [Account Verwijderd]
[Verwijderd]
29-04-2015, 21:12 door [Account Verwijderd]
Ik kan me de reacties wel een beetje voorstellen.. Net als Mac gebruikers zijn ze volledig gefixed op het feit dat Linux en IOS "niet gehacked kan worden".
Het zijn ook altijd de reacties als "blij dat ik Linux heb" als er weer eens een windows lek gepatched wordt.

Vandaar de reacties en ik sluit me erbij aan.
29-04-2015, 21:31 door Anoniem
Alles kan gehacked worden, dat blijkt wel weer. Hoe het gehacked wordt en op welk besturingssysteem maakt me niet zoveel uit.
Echter sinds ik ongeveer 4 jaar over gestapt ben op Xubuntu en Ubuntu heb ik nog nooit weer malware/virussen gehad.
Daarom gebruik ik Linux. (en omdat het gratis is natuurlijk)
29-04-2015, 21:33 door Anoniem
Man man man, hier winnen we de oorlog niet mee. Zogenaamde "experts" die maar "BSD" blijven roepen terwijl het volgens de malware zelf over FreeBSD gaat -- er zijn daarnaast nog NetBSD, OpenBSD, DragonFly BSD, en ook het aloude BSD, waar dezelfde binaire code niet 1-2-3 overzetbaar is. Dit is dus nodeloos verwarrend, en het maakt uit.

Dat is anders dan bij "linux" waar het niet uitmaakt welke distributie je gebruikt want de kernel en de code die programmabestanden inleest zodat ze uitgevoerd kunnen worden zijn daar eigenlijk allemaal hetzelfde -- zolang we het over dezelfde CPUfamilie hebben, tenminste. De perl code heeft alleen een reeds-geinstalleerde perl interpreter nodig, maar voor dit gerommel met ELF-headers is het wel nog even belangrijk.

Dan een zooitje maken van welk OS het nu precies over gaat is oftewel onkunde (handig, van "onderzoekers") of moedwillig zand in de ogen strooien. Informatief is het niet, want nu weet ik niet in hoeverre die andere leden van dezelfde familie ook vatbaar zijn, en daarmee verdoen deze "experts" mijn tijd. Stelletje sensatiebeluste prutsers.
29-04-2015, 21:44 door karma4
Door NedFox: Ik kan me de reacties wel een beetje voorstellen.. Net als Mac gebruikers zijn ze volledig gefixed op het feit dat Linux en IOS "niet gehacked kan worden".
Het zijn ook altijd de reacties als "blij dat ik Linux heb" als er weer eens een windows lek gepatched wordt..

Vandaar de reacties en ik sluit me erbij aan ===== ++++++++++
Dat gefixed zijn dat hun omgeving zo goed zou zijn en alles aan iets anders te wijten zou zijn is nu net een groot gevaar voor nieuwe gevallen. Beter van de eigen sterkte uitgaan dan van mogelijke zwakte van een ander.
29-04-2015, 22:08 door Anoniem
Op https://github.com/JayMaree/DetectMumblehard is code verschenen om je server te scannen voor deze backdoor.

~ Wc Eend
29-04-2015, 23:05 door Anoniem
Door NedFox: Ik kan me de reacties wel een beetje voorstellen.. Net als Mac gebruikers zijn ze volledig gefixed op het feit dat Linux en IOS "niet gehacked kan worden".
Het zijn ook altijd de reacties als "blij dat ik Linux heb" als er weer eens een windows lek gepatched wordt.

Vandaar de reacties en ik sluit me erbij aan.

Voor dit soort OS Flamebait Trolling dien je op te schuiven naar een zekere It zustersite waar dit soort misplaatste reacties schering en inslag zijn.
Mocht je er niet al een account hebben maak er dan gauw een aan.

Mac gebruikers hier
a) houden zich niet (al teveel) bezig met Windows (tenzij ze het erbij draaien op hun Mac)
b) hebben eigenlijk helemaal geen zin in rellerij naar Windows (omdat ze zich er over het algemeen niet mee bezig houden of druk zijn met zinvollere zaken)

Als het al voorkomt (ik laat het niet na ze daar ook op aan te spreken) staat het in geen enkele verhouding tot wat er in omgekeerde zin gebeurt, namelijk de puberale klier opmerkingen vanuit Windows (heel soms linux) hoek als er een keer wat op OS X aan kwetsbaarheden gevonden wordt.

Security.nl is een security site en geen Os flamewar site.
Een leuke site dus waar lezers samenkomen met een gemeenschappelijke interesse, namelijk security
en een gemeenschappelijk doel hebben: securityproblemen aanpakken.

Kortom, mannetjes als jij verzieken hier onnodig de sfeer wat betreft die gemeenschappelijke interesse en dat gemeenschappelijke doel.

kssssjjjttt,..
kapnah
30-04-2015, 09:02 door Anoniem
vreemd er staat op deze pagina dat het in 2013 was gevonden.
http://www.virusradar.com/en/Linux_Mumblehard/detail
en vervolgens spreken ze over een ontdekking in 2015 op de andere sites.
30-04-2015, 09:47 door potshot
Door Anoniem:
Door NedFox: Ik kan me de reacties wel een beetje voorstellen.. Net als Mac gebruikers zijn ze volledig gefixed op het feit dat Linux en IOS "niet gehacked kan worden".
Het zijn ook altijd de reacties als "blij dat ik Linux heb" als er weer eens een windows lek gepatched wordt.

Vandaar de reacties en ik sluit me erbij aan.

Voor dit soort OS Flamebait Trolling dien je op te schuiven naar een zekere It zustersite waar dit soort misplaatste reacties schering en inslag zijn.
Mocht je er niet al een account hebben maak er dan gauw een aan.

Mac gebruikers hier
a) houden zich niet (al teveel) bezig met Windows (tenzij ze het erbij draaien op hun Mac)
b) hebben eigenlijk helemaal geen zin in rellerij naar Windows (omdat ze zich er over het algemeen niet mee bezig houden of druk zijn met zinvollere zaken)

Als het al voorkomt (ik laat het niet na ze daar ook op aan te spreken) staat het in geen enkele verhouding tot wat er in omgekeerde zin gebeurt, namelijk de puberale klier opmerkingen vanuit Windows (heel soms linux) hoek als er een keer wat op OS X aan kwetsbaarheden gevonden wordt.

Security.nl is een security site en geen Os flamewar site.
Een leuke site dus waar lezers samenkomen met een gemeenschappelijke interesse, namelijk security
en een gemeenschappelijk doel hebben: securityproblemen aanpakken.

Kortom, mannetjes als jij verzieken hier onnodig de sfeer wat betreft die gemeenschappelijke interesse en dat gemeenschappelijke doel.

kssssjjjttt,..
kapnah

'b) hebben eigenlijk helemaal geen zin in rellerij naar Windows (omdat ze zich er over het algemeen niet mee bezig houden of druk zijn met zinvollere zaken)'

bwahahaha!!

want oh wat zijn we toch volwassen heh?!
in tegenstelling tot ms gebruikers bedoel je..
jááááren lang werd door linux en osx gebruikers windows gebruikers beschimpt,uitgelachen en belachelijk gemaakt.
dat je dat niet wil zien of je niet meer kan 'herinneren' is je eigen manco.
na de bash vernedering kwam eindelijk aan het licht wat velen al dachten en vermoeden..linux is eigenlijk een os voor paranoide ouwe wijven die overal spoken zien maar dus 20 jaar met een lek os gepronkt hebben.
en al die tijd maar arrogant doen ..egg all over your face zou ik zeggen.
30-04-2015, 14:00 door [Account Verwijderd]
Jammer Kapnah dat je niet goed geinformeerd bent..
Er zijn talloze (tientallen) posts hier (allemaal anoniem natuurlijk) die het tegendeel bewijzen.


Ook jammer dat je niet de essentie van mijn post ziet : security ligt in de meeste gevallen bij de gebruikers; en daar zit het pijn-punt : Mac en Linux/Unix gebruikers zijn zó overtuigt van hun superieur OS dat ze vaak helemaal niet patchen. "Mij kan toch niks overkomen, ik gebruikt IOS/UNIX/Linux".

https://www.security.nl/posting/424866/18-jaar+oud+SMB-lek+in+alle+Windowsversies+ontdekt
30-04-2015, 14:21 door Anoniem
Vandaag, 09:47 door potshot :

jááááren lang werd door linux en osx gebruikers windows gebruikers beschimpt,uitgelachen en belachelijk gemaakt.
dat je dat niet wil zien of je niet meer kan 'herinneren' is je eigen manco.
Living in the past
Je moet de werkelijkheid niet verwarren met wat reclame campagnes uit een ver verleden :
"Hi I'm a Mac / Hi I'm Windows / Hi I'm Linux"

Een ooit grappig bedachte campagne die destijds kennelijk bij sommigen zo'n gevoelige snaar heeft geraakt dat zij hun leven naar die reclames zijn gaan inrichten.
Oefff,.. (sterke marketing!;)

De suggestie dat Windows gebruikers op security.nl (voortdurend) worden "beschimpt,uitgelachen en belachelijk gemaakt" klopt van geen kanten. Totale kletspraat.

Time to grow up
Probeer nou ook eens wat meer inhoudelijk interessante bijdragen te geven en hier niet alleen te reageren als je denkt dat er te trollen valt.
Daar is recent al een keer een opmerking over gemaakt.
https://www.security.nl/posting/424422#posting424453

want oh wat zijn we toch volwassen heh?!
Probeer het tenminste.

egg all over your face zou ik zeggen
Geen zinnig argument voor een discussie.
Denk je aan de huisregels?
https://www.security.nl/rules
30-04-2015, 14:54 door Anoniem
Door NedFox: Jammer Kapnah dat je niet goed geinformeerd bent..
Er zijn talloze (tientallen) posts hier (allemaal anoniem natuurlijk) die het tegendeel bewijzen.
Ik draai hier al jaren mee en maak me (onder andere) sterk voor een OS Flamebait vrije site (het is namelijk een Security site en geen OS Fan/Flamesite).
Dat gaat nooit helemaal lukken (realistisch blijven) maar het resultaat is er al een paar jaar behoorlijk naar als je het vergelijkt met andere sites.

Verder denk ik dat je niet goed gelezen hebt, ik had het over de verhouding van het onderlinge Flame drierichtingsverkeer.
Ik zal jou erop aanspreken als niet Mac gebruiker en ik zal als Mac gebruiker ook een andere Mac gebruiker erop aanspreken als hij/zij loopt te stangen. Dat laatste komt erg weinig voor.

Ook jammer dat je niet de essentie van mijn post ziet : security ligt in de meeste gevallen bij de gebruikers; en daar zit het pijn-punt : Mac en Linux/Unix gebruikers zijn zó overtuigt van hun superieur OS dat ze vaak helemaal niet patchen. "Mij kan toch niks overkomen, ik gebruikt IOS/UNIX/Linux".

https://www.security.nl/posting/424866/18-jaar+oud+SMB-lek+in+alle+Windowsversies+ontdekt

De essentie van dit topic kan bij van alles liggen, in ieder geval niet bij Mac OS X.
Apple zit volgens mij allang niet meer op de servermarkt.
Mac OS X erbij halen was gewoon off-topic en had meer weg van het willen creëren van een onzinnige discussie die je nu hebt en met het risico dat deze post gelocked gaat worden (gefeliciteerd!).

Het idee dat Mac gebruikers zouden denken dat zij superieur aan anderen zijn alleen al. Hallo, wakker worden, het zijn maar apparaten en devices! Je druk maken over het merkje van je kleding of je apparaatje, kom nou toch.

Omdat ik mij omgeef met Mac gebruikers praat ik je bij deze een beetje bij.
Mac gebruikers zijn vanwege allerlei dingen blij met die Mac. Vooral het gebruikersgeMac, gebrek aan malware dreiging het design ook maar zeker niet primair alleen vanwege het merkje. Het zal best voorkomen dat zij desgewenst wel eens een opmerken maken dat ze erg blij zijn dat ze geen gedoe hebben met virussen en malware dreigingen (geen 350.000.000 knocks aan the door).
Mag toch? Gebeurt niet continu op deze site, non issue dus.

Laat je niet zo leiden door hele oude reclame campagne's (of iets nieuwere als het gaat over gestang van MS en Google).
Geen Mac gebruiker die het interessant vindt dat jij liever naar een Windows of Linux interface kijkt, prima, als je er maar plezier van hebt.
Wat je met de Windows SMB link beoogde is me een raadsel. Het zal wel.

Zullen we het weer over security hebben?
Veel interessanter


P.s. @16:01 eerste reageerder : trots op je klier-actie?
Wat zijn we ermee opgeschoten?
Niets!
30-04-2015, 15:12 door Webxorcist
Linux is een Kernel en we hebben het hier over een PHP lek. Niets meer, niets minder. Kunnen de fanboys zich vervoegen tot Tweakers a.u.b.?
30-04-2015, 19:24 door [Account Verwijderd]
[Verwijderd]
30-04-2015, 21:54 door karma4
Door Krakatau: ... Ik kan me niet voorstellen dat Linux gebruikers niet patchen: het is zo gemakkelijk, het kost geen tijd en er zijn vrijwel nooit reboots nodig.

Ah we hebben het over security en dit is nu net het wezenlijke waar het om draait. Linux machines zijn gewoon OS-systemen met applicaties. En dat updaten/bijhouden is door de hele ketting van de afhankelijkheden een logisch probleem.
Dat is de reden dat zoiets achterblijft (niet de techniek van het OS). JAVA PHP en meer is lood om oud ijzer.
Routers alle apparatuur inbegrepen het blijft vanzelf achter omdat er te veel van rondzwerft dat geen tijd kost zodat het zoveel tijd kost dat je het negeert.

Dat is nu net iets dat je wel moet kunnen voorstellen.
30-04-2015, 23:36 door Anoniem
Het is niet alleen arrogant om een ander OS aan te vallen op een kwetsbaarheid en te menen dat jouw favoriete OS onfeilbaar en foutloos is. Het is ook nog eens dom om te denken dat je systeembeveiliging wel voldoende genoeg is.

Echter, waarom je Unix kan prijzen is de kwaliteit van de code door zijn conservatieve karakter; systeem en software worden telkens verder verbeterd tot bijna alle bugs er uit zijn in plaats van telkens vervangen door iets wat weer van scratch opgebouwd is om een hype in te vullen. Ook de afwezigheid van niet noodzakelijke features help bij stabiliteit en veiligheid. Dit conservatieve karakter zorgt dat opgedane kennis over het OS lang actueel blijft waardoor beheerders weer minder snel fouten maken in systeeminstellingen. Het systeem is consequent.

Apple lukt het om een relatief conservatief en gebruikersonvriendelijk iets als FreeBSD om te toveren tot een grafish en zeer gebruikersvriendelijk product. Dat maakt Apple juist bijzonder, niet dat er zogenaamd geen virussen op kunnen komen.

Microsoft deed het met Windows XP en 7 erg goed op het gebied van kwaliteit maar is weer een glijdende schaal vanaf Windows 8 en het recentelijk voortdurende drama met constant mislukte Windows updates. Probleem is dat je bij Windows niet kan kiezen voor kwaliteit of voor features. Bij Linux of Unix kan je wel kiezen tussen bv Ubuntu Qubes of FreeBSD of OpenBSD. En bij Unix of Linux kun je ervoor kiezen alle crap en troep die je niet nodig hebt niet te installeren of mee te compileren.

Over OpenBSD gesproken, het staat het team achter dit OS alleen maar goed dat ze toegeven dat ze fouten maken en mensen zijn maar wel laten zien dat ze er alles aan om het OS en hun andere projecten veiliger te maken. Daar kunnen de grote namen nog behoorlijk wat van leren betreft mentaliteit.
01-05-2015, 03:04 door Anoniem
Wat betreft patchen / security / operating systems

Alert (TA15-119A) : Top 30 Targeted High Risk Vulnerabilities
1
Use application whitelisting to help prevent malicious software and unapproved programs from running.

Application whitelisting is one of the best security strategies as it allows only specified programs to run, while blocking all others, including malicious software.

2
Patch applications such as Java, PDF viewers, Flash, web browsers and Microsoft Office.

Vulnerable applications and operating systems are the target of most attacks. Ensuring these are patched with the latest updates greatly reduces the number of exploitable entry points available to an attacker.

3
Patch operating system vulnerabilities.

Vulnerable applications and operating systems are the target of most attacks. Ensuring these are patched with the latest updates greatly reduces the number of exploitable entry points available to an attacker.

4
Restrict administrative privileges to operating systems and applications based on user duties.

Restricting these privileges may prevent malware from running or limit its capability to spread through the network.
https://www.us-cert.gov/ncas/alerts/TA15-119A

Over de volgorde van belangrijkheid hierboven kan je twisten.
Wat mij betreft is de dreiging van ongepatchte 3rd party software het grootst.

Binnen operating systems is het meestal wel zo dat deze automatisch gaan (tenzij de gebruiker dat heeft veranderd, het vertikt op de computer af en toe te herstarten, update meldingen standaard wegklikt).

De praktijk laat zien dat als je een willekeurige (consumenten)pc erbij pakt die dat juist de 3rd party software niet up to date is, in de top staan :

JAVA, OFFICE , ADOBE READER , PLUGINS (FLASH, JAVA, READER, SILVERLIGHT, OFFICE), BROWSERS, VLC en andere MEDIA players.

Van de 4 bovengenoemde punten zal het verreweg het vaakst wel goed zitten met de update status van het OS (tenzij,.. genoemd).
Effectieve maatregelen als goed firewall beheer en effectief accountbeheer met de juiste privileges komen verreweg het minst voor, vermoedelijk vanwege gebrek aan kennis bij de gebruiker.
Verreweg het meest komt voor het niet updaten van 3rd party software, dat is een OS onafhankelijk probleem, of anders gezegd een OS afhankelijk probleem omdat deze programma's niet mee worden genomen in de update routine van het OS zelf waardoor de gebruiker in de veronderstelling zou kunnen verkeren dat dat allemaal wel automatisch is afgedekt en gebeurt.

Maar goed, we hebben het hier over infecties van LINUX en BSD (geen Mac OS X / iOS ;) ) servers via 3rd party software (again!).
Dat is percentueel niet vergelijkbaar slecht gesteld met (mag ik hopen) de update en security status van veel consumenten pc's (los van het OS en de al dan niet intrinsieke kwetsbaarheden van het OS of het dreigingslevel dat het wel of niet heeft).

Moraal van het verhaal (if any) de invloed van niet up to date 3rd party software vormt in de praktijk het grootste security risico.
Waarom is dat zo, waarom zelfs op servers en wat kunnen/gaan we daar aan doen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.