Kom ihåg mig?

Malware virus som drabbat många stora webhotell?

 
Ämnesverktyg Visningsalternativ
Oläst 2016-03-07, 09:51 #1
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Standard Malware virus som drabbat många stora webhotell?

För något år sedan hade Crystone väldiga problem med att de fick in spamlänkar i koden så jag fick flytta ett 50-tal konton därifrån då de inte verkar lyckats lösa säkerhetsluckan.
Hände till och från under ca 2 månader i deras Dknet-miljö.

Förstörde inget så man kunde gå in och rensa bort koden men den var åter igen efter en vecka samt flera nya mappar och html-filer.
Googles virusvarning i sökresultat gillade det inte direkt.

Länkarna är i till "Louis Vuitton" och liknande och jag har sett ett hundratal andra hemsidor som också blivit hackad med detta utspritt över olika kända webhotell.

Flyttade allt till Azure som fungerat felfritt men jag har ändå vissa ASP-komponenter som jag behöver och använder då mig av Loopia för att länka dem.

Nu fick jag även en liknande sak hos Loopia fast jag hittar ingen logik i detta.
  1. Jag skickar formulärdata till Loopia från flera olika hemsidor.
  2. Första gången men enbart från en domän så lägger den till nedan spamkod och ersätter alla href-länkar. Dock inte efter att sidan besökts en gång för då fungerar den som den ska.
  3. Övriga domäner/hemsidor fungerar felfritt även fast de pekar mot exakt samma .asp-sida hos Loopia.
  4. "Visa källa" visar även att koden tillhör sidan på Loopia och inte något annat ställe

Nu det oklara.
  1. Denna skräpkod finns inte alls i själva filen på webhotellet
  2. Har endast upptäckt det när det länkas från en specifik hemsida
  3. Jag provade länka till en egen server istället för Loopia och där fungerar det helt felfritt
  4. Borde inte vara något på klientsidan då det uppstår från flera olika datorer, webbläsare, mobiler

Teori
Kan det vara något djupare hack där den känner av typ avsändarlänken och "on the flight" lägger till koden? Känns dock väldigt ologiskt.

Jag har endast upplevt detta i Windows miljö med Classic ASP.
FTP-kontot har haft väldigt säkra lösenord på minst 15 tecken.
Någon som har erfarenhet av detta och vet hur man skyddar sig?

Skräpkoden som läggs till och inte verkar göra något direkt:

<span id="alinz">

<ul>
<li>
<div name="LcOkne" id="FQfMnG">


</div><script language="JavaScript">var _0x6977=["\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\ x49\x64","\x73\x74\x79\x6C\x65","\x46\x51\x66\x4D\ x6E\x47","\x64\x69\x73\x70\x6C\x61\x79","\x6E\x6F\ x6E\x65"];document[_0x6977[0]](_0x6977[2])[_0x6977[1]][_0x6977[3]]=_0x6977[4]</script>
</li>
</ul>
Olis är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-07, 16:09 #2
nim nim är inte uppkopplad
Medlem
 
Reg.datum: Oct 2014
Inlägg: 248
nim nim är inte uppkopplad
Medlem
 
Reg.datum: Oct 2014
Inlägg: 248
Citat:
FTP-kontot har haft väldigt säkra lösenord på minst 15 tecken.
FTP är ett klartext protokoll, så du kan ha lösenord på 100 tecken och folk kan komma åt det ändå.

Oavsett, kolla igenom loopia koden ännu en gång. Kanske är några JS filer som är ändrade eller tillagda.
Kolla senast ändrad datum & tid
nim är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-08, 08:22 #3
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Citat:
Ursprungligen postat av nim Visa inlägg
FTP är ett klartext protokoll, så du kan ha lösenord på 100 tecken och folk kan komma åt det ändå.

Oavsett, kolla igenom loopia koden ännu en gång. Kanske är några JS filer som är ändrade eller tillagda.
Kolla senast ändrad datum & tid
Tack för feedbacken.

Tänkte att i princip alla attacker sker via någon automatiserad BOT och Brute Force så då bra med långt lösenord.
Själv försöker jag vara noga med att ha SSL på i FTP-klienten där det går.

Crystones attack har jag mer förståelse för då det var ett mer eller mindre avvecklat system som säkerligen inte blivit patchad på ett tag och där var hela servern infekterad. Inte bara min del. Samt att man direkt hittade fysiska filer och kod.

Men det på Loopia hittar jag ingen som helst logik och första gången jag stött på något liknande.

Inga konstiga JS-filer och inga filers ändringsdatum som är konstiga.
Allt ser schysst och bra ut på själva servern. (Även från hemsidorna som länkar dit)

Känns nästan som HOST/DNS-hack eller något mot deras CACHE-server.
Olis är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-08, 10:34 #4
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Citat:
Ursprungligen postat av Olis Visa inlägg
Tack för feedbacken.

Tänkte att i princip alla attacker sker via någon automatiserad BOT och Brute Force så då bra med långt lösenord.
Själv försöker jag vara noga med att ha SSL på i FTP-klienten där det går.
Nej, 99% av alla lyckade attacker sker genom dålig kod hos sajten. Att det händer dig hos 2 olika leverantörer gör det ytterst sannolikt att hacket sker genom säkerhetsbrister i din egen kod.

Det är möjligt att det är global.asa-filerna som producerar HTML-koden (jag har inte gjort något under Windows på 10+ år så minns inte ens vad dessa filer gör), men oavsett om du upplever att problemet försvann har du inte osannolikt kvar ett säkerhethål som isåfall gör att de inom kort kommer lägga tillbaka filen (eller något nytt/annat).
Clarence är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-08, 11:48 #5
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Citat:
Ursprungligen postat av Clarence Visa inlägg
Nej, 99% av alla lyckade attacker sker genom dålig kod hos sajten. Att det händer dig hos 2 olika leverantörer gör det ytterst sannolikt att hacket sker genom säkerhetsbrister i din egen kod.

Det är möjligt att det är global.asa-filerna som producerar HTML-koden (jag har inte gjort något under Windows på 10+ år så minns inte ens vad dessa filer gör), men oavsett om du upplever att problemet försvann har du inte osannolikt kvar ett säkerhethål som isåfall gör att de inom kort kommer lägga tillbaka filen (eller något nytt/annat).
Ja visst beror många av intrång på hål i koden som injections och liknande och även där tror jag nog 99% är BOTar som scannar sidor och inte riktade attacker.

Men de jag råkat ut för är knappast detta. Framförallt om en hel server drabbas eller om de fysiskt kan ladda upp filer och skapa kataloger.
Renodlade HTML-sidor kan inte ställa till så mycket direkt som skedde i första fallet.

Tror det snarare handlar om icke patchade system och komponenter som man som användare till webhotell inte kan påverka eller ha kontroll över.

Därför jag tycker det är fascinerande hur de lyckas genomföra denna typ av attack då för ca 1-2 år sedan var på var och varannan sida på flera av de största webhotellen i Sverige som borde har en väldigt hög säkerhet.
Ett hundratal sidor jag hittade med liknande spamlänkar och som inte var sidor som jag låg bakom. Ganska osynligt hack då länkarna ofta ligger dold på sidan eller på någon undersida som sen i sin tur länkas från spamforum och liknande. Antar att det var någon form av SEO-spam.
Olis är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-08, 08:26 #6
nim nim är inte uppkopplad
Medlem
 
Reg.datum: Oct 2014
Inlägg: 248
nim nim är inte uppkopplad
Medlem
 
Reg.datum: Oct 2014
Inlägg: 248
Om du har en lokal kopia av din kod kan det vara bra att ladda upp den.
nim är inte uppkopplad   Svara med citatSvara med citat
Oläst 2016-03-08, 08:51 #7
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Olis Olis är inte uppkopplad
Nykomling
 
Reg.datum: Mar 2016
Inlägg: 4
Har eventuellt hittat det.

Dolda global.asa filer!
Innehållande vb-encodat script som jag dock inte kan översätta vad det gör.

Provade flytta dem och upplever att det försvann då.

Får hoppas luckan där de fick in dessa filer är tilltäppt.
Olis är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 2 (0 medlemmar och 2 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 22:53.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017