Software-update HaarWeb: virusmelding! (update)

[Webmaster]

Beste leden en bezoekers,

Onze leden hebben melding gemaakt van een virusmelding op het moment dat zij HaarWeb bezochten: Trojaans paard

N.a.v. deze meldingen hebben wij vandaag onderzocht wat hier reden van kan zijn: het bleek dat een groot aantal files op onze server geïnfecteerd was (sinds 3 dagen (afgelopen zaterdag 02-01-2010)) door een virus zoals hier besproken. Met als gevolg dat veel van onze leden en bezoekers geconfronteerd werden met waarschuwingen vanuit hun virusscanner en in het ergste geval een besmette PC.

HaarWeb is vandaag 7 uur uit de lucht geweest om dit te kunnen onderzoeken en herstellen. Alle files op onze server zijn nu hersteld en wij hebben gelijk van de gelegenheid gebruik gemaakt om up te graden naar de meest recente versie van onze forumsoftware (van vBulletin 3.8.0. -> 3.8.4.). HaarWeb is nu helemaal clean en kan zonder verdere problemen weer bezocht worden.

De vraag is nu: hoe heeft dit kunnen gebeuren? In de 8 jaar dat HaarWeb nu bestaat is het nog nooit voorgekomen dat wij gehacked zijn of te kampen hebben gehad met virussen. Welnu, ik ben tot de conclusie gekomen dat de oorzaak mijn eigen PC moet zijn geweest. Een aantal dagen geleden werd ikzelf geconfronteerd met een virus genaamd 'SecurityTool'. Mijn virusscanner gaf dit niet aan, maar ik werd plots geconfronteerd met een 'applicatie' op mijn scherm wat overduidelijk niet op mijn PC thuishoorde.

Wat ik toen gedaan heb, is -blijkt nu achteraf- in mijn ogen de fout geweest: aangezien mijn PC sowieso niet helemaal stabiel meer was heb ik gebruikt gemaakt van de volgende optie in Windows: 'Laatst bekende juiste configuratie gebruiken' om mijn systeem terug te krijgen naar stabiele toestand. Dat lukte: geen enkele vreemde meldingen/applicaties meer op mijn scherm.

Echter... omdat alles weer werkte naar behoren stond ik er niet bij stil dat ik nog een volledige virusscan zou moeten draaien. Ik had de PC wel teruggezet naar een juist werkende toestand... maar naar alle waarschijnlijkheid sluimerde het trojaans paard nog fijn op de achtergrond.

Dus... vandaag een 4 uur durende scan gedraaid op mijn lokale PC en jawel: bingo . Mijn virusscanner gaf niet eerder aan dat ik te kampen had met een sluimerend virus, dus ik was mij van geen kwaad bewust. Het vervelende is nu dat dit nu net een virus betrof wat in staat was zichzelf toegang te verschaffen tot de HaarWeb Server vanaf mijn PC. Het heeft vervolgens een groot aantal bestanden aangetast, met alle gevolgen van dien.

Een deel van onze leden en bezoekers heeft daardoor te maken gehad met bijzonder vervelende gevolgen. De bron van al deze ellende is mijn eigen PC geweest en daarom bied ik hier mijn welgemeende excuses voor aan.

Tjonge, een goed begin van het jaar zeg!


Update 10-01-2010

Dit moet het meest hardnekkige virus zijn wat ik ooit ben tegengekomen, want vandaag bleek dat HaarWeb vanaf ongeveer 13:30 wederom besmet was met een zelfde soort virus!

Het bleek om een nieuwe variant te gaan van het bovenstaande virus. Doordat het om een nieuwe variant gaat (zie het kopje 'UPDATED ON 2010/01/08' op deze website: http://justcoded.com/article/gumblar...s-removal-tool) ... herkende de removal-tool die ik eerder had gebruikt het virus niet ... waardoor het leek of er niets of weinig aan de hand was in eerste instantie. Handmatige check leverde echter een heel ander -zeer vervelend- beeld op: 133 bestanden op de HaarWeb Server bleken besmet. Het is een actueel en bijzonder hardnekkig/vervelend virus waar veel website eigenaren/webmasters mee te kampen hebben de laatste maanden:

Citaat:

Gumblar, in case you were wondering, is the collective name for a family of website compromises which are particularly nasty. Using a variety of routes to infection, Gumblar will install traffic sniffers and backdoors on computers, and exploit stolen FTP data to compromise web servers and sites.

During the course of October it began to put a backdoor botnet to use as a malware host, something very rarely seen as botnets are usually used to distribute and attack rather than host malware. To make matters even more worrisome, Gumblar has been dynamically constructing the hosted malware at the time of access to ensure users are delivered different exploits dependent on factors such as browser type for example. Throw in the use of dynamic obfuscation and you start to understand why Gumblar is proving to be such a troublesome beast. Once a Gumblar family exploit has been successfully installed via a visit to a compromised site, it is able to intercept all web traffic in both directions.

"Gumblar is arguably one of the most insidious threats facing both Web surfers and website operators today" Mary Landesman, senior security researcher at ScanSafe, argues "disturbingly, in early November, we detected that the backdoor left in place on the compromised websites by the Gumblar attackers was being leveraged by other groups of attackers meaning that the sites were under their control. This exacerbates the seriousness of the situation".

Landesman admits that the implications of this evolutionary departure from the norm displayed by Gumblar when it comes to installing PHP backdoors on compromised websites and using them as the actual malware host are rather staggering. "When a typical outbreak of website compromises occur, there are generally only a few actual malware domains involved" Landesman explains, adding "in the case of Gumblar, conservatively there are at least 2,000 backdoored websites serving as actual malware hosts. As a result, there is no single or few points at which to target efforts to shutdown the source of malware".

Bron: http://www.daniweb.com/news/story239735.html#

Meer:
http://webwereld.nl/nieuws/58852/-gu...onficker-.html en ofcourse meer hier.

Direct daarop is HaarWeb offline gehaald, om verdere problemen bij onze bezoekers te voorkomen. Ik kan niet anders dan wederom mijn welgemeende excuses aan te bieden voor de herhaling van deze uiterst vervelende situatie.

Na een complete opschoningsactie van onze lokale computers en server is HaarWeb op dit moment weer veilig te gebruiken.