Blog over PC Beveiliging
Berichten tagged FTP
Trojan-Downloader.JS.Gumblar.x
06 feb
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.
Bescherm uw FTP inloggegevens tegen trojans
27 sep
FTP, oftewel File Transfer Protocol, is de standaard methode voor het uploaden van scriptbestanden naar een webserver. Er zijn meerdere bekende FTP programma’s; CoffeeCup Direct FTP, TransSoft FTP Control 4, Core FTP, GlobalScape CuteFTP, FileZilla, Far Manager (met FTP plugin), FlashFXP, SmartFTP, FTP Navigator en Total Commander. Het probleem met het FTP protocol is echter dat de gebruikersnaam en het wachtwoord als ‘plain text’ worden verstuurd.
Verschillende Trojans, zoals bijvoorbeeld de Daurso Trojan, stelen deze inloggegevens en misbruiken deze informatie. Uw site wordt geïnjecteerd met Malware of is in z’n geheel niet meer voor u bereikbaar. Veiliger is het om andere protocollen te gebruiken zoals SFTP, FTPS of SCP.
SFTP (Secure File Transfer Protocol) is FTP over SSH (Secure shell) en FTPS (File Transfer Protocol SSL)is FTP over SSL (Secure Sockets Layer). SSH en SSL zijn encryptie-protocollen die communicatie op het Internet beveiligen. Het grote voordeel van SFTP ten opzichte van FTP is dat alle pakketen, zowel de control sessie als de data sessie, versleuteld worden door een encrytpie methodiek (AES, 3DES etc.). SFTP vindt plaats over de SSH poort; TCP poort 22 en staat standaard aan als OpenSSH wordt geïnstalleerd. FTPS daarintegen geeft de mogelijkheid of de data sessie wel of niet versleuteld moet worden. Omdat reeds versleutelde data niet opnieuw versleuteld hoeft te worden kan dit bandbreedte besparen. FTPS vindt plaats over TCP/UDP 990 poort voor de control sessie en TCP/UDP 989 poort voor de data sessie.
Een verwant van SFTP is SCP (Secure Copy). SCP kan worden gebruikt om bestanden tussen verschillende systemen op een veilige manier te kopiëren (RCP commando op Linux / Unix). SCP gebruikt ook SSH, standaard over TCP poort 22.
Bij het gebruik van een up-to-date pc met geschikte AV software en een verstandige gebruiker achter het toetsenbord is de kans behoorlijk klein op dit soort diefstallen tengevolge van een dergelijk infectie. Maarja, voorkomen is beter dan genezen..
PC Beveiligen weblog ge-update
04 aug
Dinsdag 4 augustus omstreeks 17:00 was het blog tijdelijk offline. Dit vanwege een noodzakelijke update. Het betrof hier onder meer een veiligheidsupdate in verband met de recente website-hacks met het Geert Wilders potret. Doelwit waren ondermeer blogs die draaien onder WordPress (zoals deze dus). Vrijwel alle veiligheidsmaatregelen voor dit blog waren al ingesteld, waardoor de meeste hacks geen effect hadden, maar een algemene update van WordPress dicht veiligheidslekken die anders niet gedicht werden.
Vanwege de vele ‘plugins’ kon er geen automatische update plaatsvinden en moest dit volledig met de hand gebeuren met behulp van een FTP programma. Een redelijk ingewikkeld proces waarbij vooraf niet alleen alle files van de server ge-backupped moeten worden, maar tevens de SQL-database (waar alle info instaat). Dat backuppen van de SQL-database gebeurd weer met PHP-MyAdmin in plaats van een FTP server.
Maar goed, om een lang verhaal kort te maken.. De volledige update is geslaagd en alle plugins zijn weer ge-reactiveerd.