Gumblar stjæler FTP-kodeord for at sprede sig
En familie af ondsindede, slørede javascripts, som er blevet indsat på normalt harmløse websteder, har inden for den seneste måned toppet i statistikkerne for ondsindet software.
Imidlertid har der været tvivl om, hvordan disse javascripts blev indsat på siderne. Det har ikke været muligt at kæde angrebene sammen med sårbarheder i en bestemt webapplikation eller SQL-injektion.
Det fik sikkerhedseksperter til at fokusere på FTP-adgang til webserverne. Den teori ser nu ud til at være blevet bekræftet ifølge sikkerhedsfirmaet Trend Micro.
Infektionerne med disse javascript, som er dømt 'Gumblar', udløser en kæde af downloads af ondsindede programmer på de pc'er, som bliver inficeret gennem de kompromitterede hjemmesider.
Et af de sidste led i denne kæde er et spionprogram, som installerer sig selv som en driver på Windows-pc'er og kan aflytte netværkstrafik.
Programmet kan blandt andet opsnappe FTP-logins, og det er formentligt blevet brugt til at sprede Gumblar til websteder, som ellers ikke ville være sårbare over for eksempelvis SQL-injektion.
Denne metode kan også være mere effektiv, fordi det kan være sværere at opdage, at der er logget på en webserver fra en ukendt pc, end hvis en sårbarhed bliver udnyttet til at indskyde et script.
Kommentarer (3)
Imidlertid har der været tvivl om, hvordan disse javascripts blev indsat på siderne
Vi har tidligere været inde på referrer spam, hvor man kan lave en request til en referrer, hvor der i virkeligheden ligger malware.
Mange 'webmasters' er nysgerrige, og klikker på den link, der er angivet som referrer.
Dem der har adgang til, og klikker på linket er typisk administratorer, og vupti - ved at installere en keylogger, så har man et potentielt offer.
Derudover, så prøv at skelne mellem sårbarheder overfor SQL-injections, og (PHP) remote executions.
Kig også gerne på de(forsøg på) SSH attacks, der har floreret de sidste mange år, mindst siden 2002-4 stykker.
-
0 -
0
For nogle måneder siden havde vi en diskussion ovre i gruppen:
dk.edb.internet.webdesign.serverside.php
I det tilfælde var der ikke tale om at 'stjæle' et password, blot at udnytte default user/pass.
se gerne:
http://www.html.dk/nyhedsgrupper/dk_edb_internet_webdesign_serverside_ph...
Du stiller selv spørgsmålet:
Imidlertid har der været tvivl om, hvordan disse javascripts blev indsat på siderne
I det her tilfælde blev der installeret et PHP-script, som kunne 'ordne den sag'.
En ting er at sikre sig mod 'intrusion', og en anden ting er at opdage det(hurtigst muligt).
Lidt analogt med bygninger - man sikrer sig mod indbrud, men man laver også en tyveri/indbrudsalarm-
så lavede jeg sidste år en slags IDS, eller 'indbrudesalarm'.
http://w-o-p-r.dk/storm.monitor/index.asp
Det ligger til fri afbenyttelse, men det er nok lidt langhåret.
Kildetekster har jeg ikke lagt ud (endnu), da det er lavet i Delphi/Kylix, og bruger noget 3. parts komponent, så jeg er ikke sikker på det er frit(as in free beer).
Men om ikke andet kan man måske bruge det til nogle impulser over hvordan man etablerer en 'survaillance' over sit websted.
(Jeg har ikke til hensigt at lave en 'Adam og Eva' vejledning)
-
0
-
0
En anden tråd, der måske kan være til inspiration:
http://groups.google.com/group/dk.edb.internet.webdesign.serverside.php/...
(De angivne URI'er er slettet sidenhen)
-
0
-
0
Tilføj kommentar
