Haarweb Forum

Haarweb Forum (http://www.haarweb.nl/forum/index.php)
-   Mededelingen (http://www.haarweb.nl/forum/forumdisplay.php?f=19)
-   -   Software-update HaarWeb: virusmelding! (update) (http://www.haarweb.nl/forum/showthread.php?t=24016)

Webmaster 5 januari 2010 21:16

Software-update HaarWeb: virusmelding! (update)
 
Beste leden en bezoekers,

Onze leden hebben melding gemaakt van een virusmelding op het moment dat zij HaarWeb bezochten: Trojaans paard

N.a.v. deze meldingen hebben wij vandaag onderzocht wat hier reden van kan zijn: het bleek dat een groot aantal files op onze server geïnfecteerd was (sinds 3 dagen (afgelopen zaterdag 02-01-2010)) door een virus zoals hier besproken. Met als gevolg dat veel van onze leden en bezoekers geconfronteerd werden met waarschuwingen vanuit hun virusscanner en in het ergste geval een besmette PC.

HaarWeb is vandaag 7 uur uit de lucht geweest om dit te kunnen onderzoeken en herstellen. Alle files op onze server zijn nu hersteld en wij hebben gelijk van de gelegenheid gebruik gemaakt om up te graden naar de meest recente versie van onze forumsoftware (van vBulletin 3.8.0. -> 3.8.4.). HaarWeb is nu helemaal clean en kan zonder verdere problemen weer bezocht worden.

De vraag is nu: hoe heeft dit kunnen gebeuren? In de 8 jaar dat HaarWeb nu bestaat is het nog nooit voorgekomen dat wij gehacked zijn of te kampen hebben gehad met virussen. Welnu, ik ben tot de conclusie gekomen dat de oorzaak mijn eigen PC moet zijn geweest. Een aantal dagen geleden werd ikzelf geconfronteerd met een virus genaamd 'SecurityTool'. Mijn virusscanner gaf dit niet aan, maar ik werd plots geconfronteerd met een 'applicatie' op mijn scherm wat overduidelijk niet op mijn PC thuishoorde.

Wat ik toen gedaan heb, is -blijkt nu achteraf- in mijn ogen de fout geweest: aangezien mijn PC sowieso niet helemaal stabiel meer was heb ik gebruikt gemaakt van de volgende optie in Windows: 'Laatst bekende juiste configuratie gebruiken' om mijn systeem terug te krijgen naar stabiele toestand. Dat lukte: geen enkele vreemde meldingen/applicaties meer op mijn scherm.

Echter... omdat alles weer werkte naar behoren stond ik er niet bij stil dat ik nog een volledige virusscan zou moeten draaien. Ik had de PC wel teruggezet naar een juist werkende toestand... maar naar alle waarschijnlijkheid sluimerde het trojaans paard nog fijn op de achtergrond.

Dus... vandaag een 4 uur durende scan gedraaid op mijn lokale PC en jawel: bingo :mad:. Mijn virusscanner gaf niet eerder aan dat ik te kampen had met een sluimerend virus, dus ik was mij van geen kwaad bewust. Het vervelende is nu dat dit nu net een virus betrof wat in staat was zichzelf toegang te verschaffen tot de HaarWeb Server vanaf mijn PC. Het heeft vervolgens een groot aantal bestanden aangetast, met alle gevolgen van dien.

Een deel van onze leden en bezoekers heeft daardoor te maken gehad met bijzonder vervelende gevolgen. De bron van al deze ellende is mijn eigen PC geweest en daarom bied ik hier mijn welgemeende excuses voor aan.

Tjonge, een goed begin van het jaar zeg!


Update 10-01-2010

Dit moet het meest hardnekkige virus zijn wat ik ooit ben tegengekomen, want vandaag bleek dat HaarWeb vanaf ongeveer 13:30 wederom besmet was met een zelfde soort virus! :mad:

Het bleek om een nieuwe variant te gaan van het bovenstaande virus. Doordat het om een nieuwe variant gaat (zie het kopje 'UPDATED ON 2010/01/08' op deze website: http://justcoded.com/article/gumblar...s-removal-tool) ... herkende de removal-tool die ik eerder had gebruikt het virus niet :( ... waardoor het leek of er niets of weinig aan de hand was in eerste instantie. Handmatige check leverde echter een heel ander -zeer vervelend- beeld op: 133 bestanden op de HaarWeb Server bleken besmet. Het is een actueel en bijzonder hardnekkig/vervelend virus waar veel website eigenaren/webmasters mee te kampen hebben de laatste maanden:

Citaat:

Gumblar, in case you were wondering, is the collective name for a family of website compromises which are particularly nasty. Using a variety of routes to infection, Gumblar will install traffic sniffers and backdoors on computers, and exploit stolen FTP data to compromise web servers and sites.

During the course of October it began to put a backdoor botnet to use as a malware host, something very rarely seen as botnets are usually used to distribute and attack rather than host malware. To make matters even more worrisome, Gumblar has been dynamically constructing the hosted malware at the time of access to ensure users are delivered different exploits dependent on factors such as browser type for example. Throw in the use of dynamic obfuscation and you start to understand why Gumblar is proving to be such a troublesome beast. Once a Gumblar family exploit has been successfully installed via a visit to a compromised site, it is able to intercept all web traffic in both directions.

"Gumblar is arguably one of the most insidious threats facing both Web surfers and website operators today" Mary Landesman, senior security researcher at ScanSafe, argues "disturbingly, in early November, we detected that the backdoor left in place on the compromised websites by the Gumblar attackers was being leveraged by other groups of attackers meaning that the sites were under their control. This exacerbates the seriousness of the situation".

Landesman admits that the implications of this evolutionary departure from the norm displayed by Gumblar when it comes to installing PHP backdoors on compromised websites and using them as the actual malware host are rather staggering. "When a typical outbreak of website compromises occur, there are generally only a few actual malware domains involved" Landesman explains, adding "in the case of Gumblar, conservatively there are at least 2,000 backdoored websites serving as actual malware hosts. As a result, there is no single or few points at which to target efforts to shutdown the source of malware".
Bron: http://www.daniweb.com/news/story239735.html#

Meer:
http://webwereld.nl/nieuws/58852/-gu...onficker-.html en ofcourse meer hier.

Direct daarop is HaarWeb offline gehaald, om verdere problemen bij onze bezoekers te voorkomen. Ik kan niet anders dan wederom mijn welgemeende excuses aan te bieden voor de herhaling van deze uiterst vervelende situatie.

Na een complete opschoningsactie van onze lokale computers en server is HaarWeb op dit moment weer veilig te gebruiken.

tellmemore 5 januari 2010 21:42

Beste webmaster,

Wat vervelend dat dit je overkomen is! Het overkomt de beste onder ons, ook ik heb recentelijk zoiets gehad en mijn zeer gewaardeerde ESET virusscanner kon dit niet voorkomen. Gelukkig wel alles kunnen desinfecteren.

Online scanners die ik iedereen kan aanrader zijn als jullie vrezen voor besmettingEset online scanner, Panda antivirus
Of gratis antivirus van microsoft of een test versie van panda, eset nod32 of hitmanpro.

Verdachte bestanden kan je uploaden naar virustotal, wordt het gescanned door 40 verschillende scanner.

Limbo 5 januari 2010 22:02

Tsja, het schijnt een browse-virus te zijn. Eens kijken of de helpdesk morgen mijn laptop kan schoonvegen.

agatha 6 januari 2010 11:21

Fijn dat ik weer durf in te loggen:D

Limbo 6 januari 2010 14:49

Citaat:

Oorspronkelijk geplaatst door agatha (Bericht 235244)
Fijn dat ik weer durf in te loggen:D

Dat was nog een hels karwei om dat paard er af te krijgen!

jord-y 9 januari 2010 23:23

Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triest:confused:wil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is:cool:

Limbo 10 januari 2010 14:35

Citaat:

Oorspronkelijk geplaatst door jord-y (Bericht 235893)
Hallo na velen andere heb ik ook de melding gehad van de !#~#@# trojan horse de mensen die virussen uitvinden moeten ze per direct hun geslachtsdeel eraf hakken gewoonweg triest:confused:wil nu wel weten of me pc nu niet besmet is? of hoe kan ik dat zeker weten?
Na het bezoeken van haarweb.nl gaf mijn eset nod32(legale volledige versie) meerdere files aan die besmet waren met de trojan horse en gelijk in quarentine gezet werden en daarna handmatig verwijderd.
Verder kon ik de site half zien,maar werd geblokt door gelukkig al sinds een korte tijd me internet settings stuk strenger ingesteld te hebben
Betekend dit dat mijn pc verder niet beschadigd is?
Alsnog gelukkig dat dit opgelost is:cool:

Ik neem idd aan dat er niets aan de hand is. Mijn antivir heeft ook alles in quarantaine gezet, en ik krijg nu ook geen meldingen meer!

jord-y 10 januari 2010 18:35

Heel vaag
 
Ok wel vervelend allemaal dan.
Maar Limbo sinds vandaag heb ik weer een andere aparte probleem
Ik kan als ik www.haarweb.nl in typ niet op de site komen zie hieronder:
Kan wel via google en dan op een link van haarweb binnenkomen erg vaag iemand een idee hoe dit kan komen?:eek:

Toegang verboden!

U hebt niet de toestemming om toegang te krijgen tot de gevraagde map. Er is of wel geen index document of de map is beveiligd tegen lezen.
Indien u van oordeel bent dat deze server in fout is, gelieve de webmaster te contacteren.
Error 403

www.limelight-studios.nl
Sun Jan 10 17:33:57 2010
Apache/2

Limbo 10 januari 2010 18:59

Merkwaardig. Ik kan bijv. nu niet quoten en ook geen smileys aanklikken! What's up doc?

jord-y 10 januari 2010 19:29

Hmm ok blijkbaar is de site nog niet helemaal herstelt ik wacht het maar even af :P

Limbo 10 januari 2010 22:19

Ook ik heb het virus weer te pakken. Damn!

Webmaster 10 januari 2010 22:24

Zie de update in de eerste posting. Tot mijn grote frustratie en ergernis was het vandaag wederom raak.

Limbo 10 januari 2010 22:26

Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??

Webmaster 10 januari 2010 22:34

Citaat:

Oorspronkelijk geplaatst door Limbo (Bericht 235999)
Weet je zeker dat haarweb nu paardvrij is? Waarom kreeg ik dan zojuist de hele tijd virusmeldingen??

Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?

Limbo 10 januari 2010 22:36

Citaat:

Oorspronkelijk geplaatst door Webmaster (Bericht 236000)
Ja, alle files zijn nu double-checked. Wanneer precies krijg je de virusmelding Limbo? Wat gebeurt er als je je browser-cache leegt en daarna HaarWeb bezoekt?

Zojuist, voor de eerste keer sinds afgelopen woensdag toen mijn paard werd verwijderd door de helpdesk (ik kan het nl. niet zelf omdat het een laptop van de zaak is).


Alle tijden zijn GMT +2. Het is nu 09:21.

Forumsoftware: vBulletin®, versie 3.8.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Produced by Limelight Studios. Copyright © 2001-2024 Stichting HaarWeb.