Beste leden en bezoekers,

Onze leden hebben melding gemaakt van een virusmelding op het moment dat zij HaarWeb bezochten: Trojaans paard (http://www.haarweb.nl/forum/showthread.php?t=24001)

N.a.v. deze meldingen hebben wij vandaag onderzocht wat hier reden van kan zijn: het bleek dat een groot aantal files op onze server geïnfecteerd was (sinds 3 dagen (afgelopen zaterdag 02-01-2010)) door een virus zoals hier (http://justcoded.com/article/gumblar-family-virus-removal-tool/) besproken. Met als gevolg dat veel van onze leden en bezoekers geconfronteerd werden met waarschuwingen vanuit hun virusscanner en in het ergste geval een besmette PC.

HaarWeb is vandaag 7 uur uit de lucht geweest om dit te kunnen onderzoeken en herstellen. Alle files op onze server zijn nu hersteld en wij hebben gelijk van de gelegenheid gebruik gemaakt om up te graden naar de meest recente versie van onze forumsoftware (van vBulletin 3.8.0. -> 3.8.4.). HaarWeb is nu helemaal clean en kan zonder verdere problemen weer bezocht worden.

De vraag is nu: hoe heeft dit kunnen gebeuren? In de 8 jaar dat HaarWeb nu bestaat is het nog nooit voorgekomen dat wij gehacked zijn of te kampen hebben gehad met virussen. Welnu, ik ben tot de conclusie gekomen dat de oorzaak mijn eigen PC moet zijn geweest. Een aantal dagen geleden werd ikzelf geconfronteerd met een virus genaamd 'SecurityTool (http://www.google.nl/search?q=SecurityTool)'. Mijn virusscanner gaf dit niet aan, maar ik werd plots geconfronteerd met een 'applicatie' op mijn scherm wat overduidelijk niet op mijn PC thuishoorde.

Wat ik toen gedaan heb, is -blijkt nu achteraf- in mijn ogen de fout geweest: aangezien mijn PC sowieso niet helemaal stabiel meer was heb ik gebruikt gemaakt van de volgende optie in Windows: 'Laatst bekende juiste configuratie gebruiken' om mijn systeem terug te krijgen naar stabiele toestand. Dat lukte: geen enkele vreemde meldingen/applicaties meer op mijn scherm.

Echter... omdat alles weer werkte naar behoren stond ik er niet bij stil dat ik nog een volledige virusscan zou moeten draaien. Ik had de PC wel teruggezet naar een juist werkende toestand... maar naar alle waarschijnlijkheid sluimerde het trojaans paard nog fijn op de achtergrond.

Dus... vandaag een 4 uur durende scan gedraaid op mijn lokale PC en jawel: bingo :mad:. Mijn virusscanner gaf niet eerder aan dat ik te kampen had met een sluimerend virus, dus ik was mij van geen kwaad bewust. Het vervelende is nu dat dit nu net een virus betrof wat in staat was zichzelf toegang te verschaffen tot de HaarWeb Server vanaf mijn PC. Het heeft vervolgens een groot aantal bestanden aangetast, met alle gevolgen van dien.

Een deel van onze leden en bezoekers heeft daardoor te maken gehad met bijzonder vervelende gevolgen. De bron van al deze ellende is mijn eigen PC geweest en daarom bied ik hier mijn welgemeende excuses voor aan.

Tjonge, een goed begin van het jaar zeg!


Update 10-01-2010

Dit moet het meest hardnekkige virus zijn wat ik ooit ben tegengekomen, want vandaag bleek dat HaarWeb vanaf ongeveer 13:30 wederom besmet was met een zelfde soort virus! :mad:

Het bleek om een nieuwe variant te gaan van het bovenstaande virus. Doordat het om een nieuwe variant gaat (zie het kopje 'UPDATED ON 2010/01/08' op deze website: http://justcoded.com/article/gumblar-family-virus-removal-tool) ... herkende de removal-tool die ik eerder had gebruikt het virus niet :( ... waardoor het leek of er niets of weinig aan de hand was in eerste instantie. Handmatige check leverde echter een heel ander -zeer vervelend- beeld op: 133 bestanden op de HaarWeb Server bleken besmet. Het is een actueel en bijzonder hardnekkig/vervelend virus waar veel website eigenaren/webmasters mee te kampen hebben de laatste maanden:

Gumblar, in case you were wondering, is the collective name for a family of website compromises which are particularly nasty. Using a variety of routes to infection, Gumblar will install traffic sniffers and backdoors on computers, and exploit stolen FTP data to compromise web servers and sites.

During the course of October it began to put a backdoor botnet to use as a malware host, something very rarely seen as botnets are usually used to distribute and attack rather than host malware. To make matters even more worrisome, Gumblar has been dynamically constructing the hosted malware at the time of access to ensure users are delivered different exploits dependent on factors such as browser type for example. Throw in the use of dynamic obfuscation and you start to understand why Gumblar is proving to be such a troublesome beast. Once a Gumblar family exploit has been successfully installed via a visit to a compromised site, it is able to intercept all web traffic in both directions.

"Gumblar is arguably one of the most insidious threats facing both Web surfers and website operators today" Mary Landesman, senior security researcher at ScanSafe, argues "disturbingly, in early November, we detected that the backdoor left in place on the compromised websites by the Gumblar attackers was being leveraged by other groups of attackers meaning that the sites were under their control. This exacerbates the seriousness of the situation".

Landesman admits that the implications of this evolutionary departure from the norm displayed by Gumblar when it comes to installing PHP backdoors on compromised websites and using them as the actual malware host are rather staggering. "When a typical outbreak of website compromises occur, there are generally only a few actual malware domains involved" Landesman explains, adding "in the case of Gumblar, conservatively there are at least 2,000 backdoored websites serving as actual malware hosts. As a result, there is no single or few points at which to target efforts to shutdown the source of malware".
Bron: http://www.daniweb.com/news/story239735.html#

Meer:
http://webwereld.nl/nieuws/58852/-gumblar-is-gevaarlijker-dan-conficker-.html en ofcourse meer hier (http://www.google.nl/search?hl=nl&client=firefox-a&rls=org.mozilla%3Anl%3Aofficial&q=Gumblar&btnG=Zoeken&meta=&aq=f&oq=).

Direct daarop is HaarWeb offline gehaald, om verdere problemen bij onze bezoekers te voorkomen. Ik kan niet anders dan wederom mijn welgemeende excuses aan te bieden voor de herhaling van deze uiterst vervelende situatie.

Na een complete opschoningsactie van onze lokale computers en server is HaarWeb op dit moment weer veilig te gebruiken.

Beste webmaster,

Wat vervelend dat dit je overkomen is! Het overkomt de beste onder ons, ook ik heb recentelijk zoiets gehad en mijn zeer gewaardeerde ESET virusscanner kon dit niet voorkomen. Gelukkig wel alles kunnen desinfecteren.

Online scanners die ik iedereen kan aanrader zijn als jullie vrezen voor besmettingEset online scanner (http://www.eset.com/onlinescan/), Panda antivirus (http://www.pandasecurity.com/homeusers/solutions/activescan/)
Of gratis antivirus van microsoft (http://www.microsoft.com/Security_Essentials/) of een test versie van panda, eset nod32 of hitmanpro.

Verdachte bestanden kan je uploaden naar virustotal (http://www.virustotal.com/nl/), wordt het gescanned door 40 verschillende scanner.

Tsja, het schijnt een browse-virus te zijn. Eens kijken of de helpdesk morgen mijn laptop kan schoonvegen.

Fijn dat ik weer durf in te loggen:D

Fijn dat ik weer durf in te loggen:D

Dat was nog een hels karwei om dat paard er af te krijgen!

Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triest:confused:wil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is:cool:

Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triest:confused:wil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is:cool:

Ik neem idd aan dat er niets aan de hand is. Mijn antivir heeft ook alles in quarantaine gezet, en ik krijg nu ook geen meldingen meer!

Ok wel vervelend allemaal dan.
Maar Limbo sinds vandaag heb ik weer een andere aparte probleem
Ik kan als ik www.haarweb.nl (http://www.haarweb.nl) in typ niet op de site komen zie hieronder:
Kan wel via google en dan op een link van haarweb binnenkomen erg vaag iemand een idee hoe dit kan komen?:eek:

Toegang verboden!

U hebt niet de toestemming om toegang te krijgen tot de gevraagde map. Er is of wel geen index document of de map is beveiligd tegen lezen.
Indien u van oordeel bent dat deze server in fout is, gelieve de webmaster (webmaster@limelight-studios.nl) te contacteren.
Error 403

www.limelight-studios.nl (http://haarweb.nl/)
Sun Jan 10 17:33:57 2010
Apache/2

Merkwaardig. Ik kan bijv. nu niet quoten en ook geen smileys aanklikken! What's up doc?

Hmm ok blijkbaar is de site nog niet helemaal herstelt ik wacht het maar even af :P

Ook ik heb het virus weer te pakken. Damn!

Zie de update in de eerste posting. Tot mijn grote frustratie en ergernis was het vandaag wederom raak.

Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??

Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??

Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?

Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?

Zojuist, voor de eerste keer sinds afgelopen woensdag toen mijn paard werd verwijderd door de helpdesk (ik kan het nl. niet zelf omdat het een laptop van de zaak is).

Zojuist, voor de eerste keer sinds afgelopen woensdag toen mijn paard werd verwijderd door de helpdesk (ik kan het nl. niet zelf omdat het een laptop van de zaak is).

Ik bedoel met 'wanneer' : op welk moment? M.a.w: welke pagina op HaarWeb open je?

Ik bedoel met 'wanneer' : op welk moment? M.a.w: welke pagina op HaarWeb open je?

De startpagina volgens mij. En anders de nieuwe berichten-pagina. Maar eerlijk gezegd heb ik daar niet op gelet. Het gaat om de pagina's die ik vanaf 21.20 heb bezocht. Dat zijn er maar een paar. Ik lees het morgen wel, ga nu hangen!

De startpagina volgens mij. En anders de nieuwe berichten-pagina. Maar eerlijk gezegd heb ik daar niet op gelet. Het gaat om de pagina's die ik vanaf 21.20 heb bezocht. Dat zijn er maar een paar. Ik lees het morgen wel, ga nu hangen!

Zowel de startpagina als de search-pagina zijn virusvrij (n.a.v. jouw melding heb ik zonet een inhoudelijke check gedaan in de code).
Graag hoorde ik van meer mensen een bevestiging of zij nog virusmeldingen krijgen.

Zowel de startpagina als de search-pagina zijn virusvrij (n.a.v. jouw melding heb ik zonet een inhoudelijke check gedaan in de code).
Graag hoorde ik van meer mensen een bevestiging of zij nog virusmeldingen krijgen.

Op dit moment krijg ik geen melding. Ik laat het wel weten als het anders is.

Ik had precies hetzelfde als limbo gisteren op mijn pc.
Ik kon er ook niet inkomen toen ik rechtstreeks naar haarweb ging. Het lukte wel om via een omweg binnen te komen.
Ik kreeg ook precies dezelfde melding als Limbo.

Vanaf vorige week maandag kon ik ook niet meer inloggen op mijn werk, en thuis lukte dat wel gewoon. Ik kreeg ook de melding van het virus en ik heb toen, stom van me op allow gedrukt. Ik weet het niet zeker of het door mij kwam, maar 2 uur later hadden we server problemen op mijn werk en moesten we allemaal uitloggen om het probleem te verhelpen.

Ik zeg verder niets, maar ben bang dat het ook door het virus kwam :eek:.

Maar ja wat wil je. Ik ben Hektor....prince of Troy :D.

Ik had precies hetzelfde als limbo gisteren op mijn pc.
Ik kon er ook niet inkomen toen ik rechtstreeks naar haarweb ging. Het lukte wel om via een omweg binnen te komen.
Ik kreeg ook precies dezelfde melding als Limbo.

Vanaf vorige week maandag kon ik ook niet meer inloggen op mijn werk, en thuis lukte dat wel gewoon. Ik kreeg ook de melding van het virus en ik heb toen, stom van me op allow gedrukt. Ik weet het niet zeker of het door mij kwam, maar 2 uur later hadden we server problemen op mijn werk en moesten we allemaal uitloggen om het probleem te verhelpen.

Ik zeg verder niets, maar ben bang dat het ook door het virus kwam :eek:.

Maar ja wat wil je. Ik ben Hektor....prince of Troy :D.


Oeps.... ;)

Oeps.... ;)

Je moet hektor niet quoten. Dadelijk heb je ook een virus of een paard binnen...:P

Je moet hektor niet quoten. Dadelijk heb je ook een virus of een paard binnen...:P

Kan er ook nog wel bij vandaag...

Ook ik kan weer normaal binnenkomen op haarweb:cool:
Al staat mijn anti-virus en andere beveiligingsvechters wel paraat je weet het nooit hier;):P

N.a.v. het uitblijven van verdere meldingen van onze leden in deze discussie kunnen wij er vanuit gaan dat HaarWeb na de afgelopen 2 bijzonder vervelende virusuitbraken compleet vrij is van virussen en volledig veilig te gebruiken is.

Ik heb verdergaande maatregelen getroffen om te voorkomen dat wij ooit nog met een dergelijke situatie geconfronteerd worden.

Bedankt voor jullie inbreng,

Graag gedaan. Laten we hopen dat dit idd de laatste keer was!