Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Malwarebytes geeft Firefox block naar IP-adres

28-08-2011, 09:45 door Anoniem, 17 reacties
Malwarebytes meldt om de paar minuten dat FF een opening naar een "malicious website" wil maken, hoe kan dit?
Zowel superantispyware/avg/malwarebytes vinden geen schadelijke software op de pc overigens.
Hieronder het log van malwarebytes:

05:57:41 marga MESSAGE Database updated successfully
05:57:44 marga MESSAGE IP Protection started successfully
09:17:33 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60285, Process: firefox.exe)
09:17:33 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60318, Process: firefox.exe)
09:17:42 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60331, Process: firefox.exe)
09:17:42 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60337, Process: firefox.exe)
09:23:35 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60367, Process: firefox.exe)
09:23:35 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60368, Process: firefox.exe)
09:27:05 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60383, Process: firefox.exe)
09:27:05 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60385, Process: firefox.exe)
09:28:01 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60393, Process: firefox.exe)
09:32:58 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60403, Process: firefox.exe)
09:32:58 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60415, Process: firefox.exe)
09:33:14 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60449, Process: firefox.exe)
09:33:22 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60450, Process: firefox.exe)
09:33:38 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60455, Process: firefox.exe)
09:33:38 marga IP-BLOCK 89.208.136.185 (Type: outgoing, Port: 60457, Process: firefox.exe)


bvd voor de hulp
Reacties (17)
28-08-2011, 10:02 door X-max
Dit is de IP-protection van MBAM en dit IP staat op de blacklist van HPhosts.
http://hosts-file.net/default.asp?s=89.208.136.185
28-08-2011, 11:34 door Spiff has left the building
Aanvullende informatie bovenop de informatie van X-max:
http://whois.domaintools.com/89.208.136.185
http://www.robtex.com/ip/89.208.136.185.html

Ik kan niet volledig beoordelen of dat herhaald contact proberen te maken met dat IP-adres op een of andere manier mogelijk toch een legitieme actie kan zijn.
Iemand anders hier?

@ topic-starter,
Je kunt ook Hitman Pro 3.5 nog gebruiken, zie:
http://www.surfright.nl/nl/hitmanpro

Vindt ook Hitman Pro niets, dan is een analyse van een HijackThis log wellicht een idee,
bijvoorbeeld via het HijackThis forum, het PCHelper forum, of het Computer!Totaal forum.
28-08-2011, 11:38 door Anoniem
Inmiddels ook meldingen van blokkeringen naar andere ip adressen, housecall gedraait , vind ook niks
Medlingen naar steeds zelfde ip blijven komen steeds met andere poort, iets in firefox misschien?
28-08-2011, 11:41 door choi
Het betreft een Russisch IP adres waarop een aantal stat counters worden gehost: http://www.onthesamehost.com/89.208.136.185/
MBAM blokkeert dit adres omdat het op een of andere blocklist voorkomt.

Gebeurt dit ook als Firefox gesloten is?
Als het alleen gebeurt als Firefox geopend is welke pagina staat op dat moment open?

Als het adres wordt benaderd als er geen browsers actief zijn dan is dat wel reden om de zaak verder uit te zoeken.
Het zou dan betekenen dat er op de achtergrond een proces actief is dat Firefox gebruikt, of zich voordoet als Firefox om contact te maken met een server.

/edit
In het laatste geval zou een goede firewall/HIPS combinatie z.a Comodo (met D+) een eventueel kwaadaardige proces kunnen onderscheppen en blokkeren.
Verwijderen kan dan naderhand handmatig gebeuren met de informatie van Comodo.
28-08-2011, 14:50 door Spiff has left the building
Door Anoniem: Inmiddels ook meldingen van blokkeringen naar andere ip adressen, housecall gedraait , vind ook niks
Heb je Hitman Pro inmiddels al geprobeerd?

Medlingen naar steeds zelfde ip blijven komen steeds met andere poort, iets in firefox misschien?
Heb je mogelijk ongebruikelijke add-ons/ plug-ins geïnstalleerd die het fenomeen mogelijk kunnen verklaren?
Zijn je add-ons/ plug-ins gegarandeerd safe?
28-08-2011, 16:52 door Anoniem
hitman pro vondt ook niks, housecall vondt achteraf wel een trojan verstopt in een muziek file...nu gedelete...
Bewijst maar weer eens dat geen enkel programma failsafe is!, na malwarebyte,superanti en hitmanpro en ook nog eens avg die er al opstond niks gevonden te hebben, pakt housecall wel een trojan!
Nu kom ik erachter dat de website "herstelderepubliek.wordpress.com"de dader is van de melding, elke keer als ik daar opzit komt de melding.
En daar draait inderdaad een statcounter mee volgens de site en volgens ghostery (statcounter)
Blijkbaar toch niks ernstigs dan?
28-08-2011, 18:15 door Spiff has left the building
Door Anoniem: [...] Nu kom ik erachter dat de website "herstelderepubliek.wordpress.com"de dader is van de melding, elke keer als ik daar opzit komt de melding.
En daar draait inderdaad een statcounter mee volgens de site en volgens ghostery (statcounter)
Blijkbaar toch niks ernstigs dan?
Ook http://www.robtex.com/ip/89.208.136.185.html, dat ik eerder al vermeldde, laat zien dat het counters betreft.
De typering "malicious website" lijkt me voor een simpele counter nogal overdreven. Of het betreffende IP-adres terecht op een blocklist staat, en MBAM daarom terecht steeds melding maakt, ik weet het niet. Ik durf niet te zeggen hoe onschuldig of al dan niet serieus het is.

Netjes overigens dat je met behulp van HouseCall een trojan hebt kunnen ontdekken. Als het tenminste werkelijk een trojan was, en geen false positive. Heb je het betreffende bestand nog gescand via VirusTotal?
28-08-2011, 18:47 door choi
Vreemd geval

In ieder geval kan ik zo op het eerste gezicht geen verdachte dingen op die website zien (er vanuit gaande dat die inderdaad de boosdoener is).
De combinatie met dat muziek bestand kan ik echter niet plaatsen

Op http://herstelderepubliek.wordpress.com draaien de volgende scripts:
s0.wp.com
s1.wp.com
edge.quantserve.com
pixel.quantserve.com
s2.wp.com
b.scorecardresearch.com
s.stats.wordpress.com
platform.twitter.com
www.facebook.com
static.ak.fbcdn.net

Geen van de statcouters waar ik het eerder over had worden op die site gebruikt. Ook worden geen van de scripts gehost op het eerder genoemde adres.

Ik ben benieuwd om welke trojan het gaat en of het geen false positive betrof van Housecall.
Vreemd geval, maar zonder nadere informatie kan ik er verder geen chocola van maken.

Als je zin hebt kan je het betreffende bestand (niet groter dan 5MB) uploaden naar:
http://www.threatexpert.com/submit.aspx

Post dan de pagina naar de analyse op het forum.

/edit
Als het bestand groter is dan 5 MB upload het naar de sandbox van Sunbelt:
http://www.sunbeltsecurity.com/sandbox/
28-08-2011, 20:06 door Anoniem
Door Anoniem: hitman pro vondt ook niks, housecall vondt achteraf wel een trojan verstopt in een muziek file...nu gedelete...
Bewijst maar weer eens dat geen enkel programma failsafe is!, na malwarebyte,superanti en hitmanpro en ook nog eens avg die er al opstond niks gevonden te hebben, pakt housecall wel een trojan!
Nu kom ik erachter dat de website "herstelderepubliek.wordpress.com"de dader is van de melding, elke keer als ik daar opzit komt de melding.
En daar draait inderdaad een statcounter mee volgens de site en volgens ghostery (statcounter)
Blijkbaar toch niks ernstigs dan?
uit ervaring kan ik bevestigen dat housecall erg goed is in het opsporen van trojans..bij mij heeft ie al aardig wat trojans gepakt.En House Call zag de trojans nog voordat mijn standaard virusscanner (voorheen mcafee,nu norton) ze zag.
28-08-2011, 21:22 door Bitwiper
Als ik met Firefox en NoScript (dus Javascript uit) naar http://herstelderepubliek.wordpress.com/ ga en de source bekijk dan zie ik daarin (source code wat "beautified" om het te laten passen):

<li id="text-3" class="widget widget_text">
<h2 class="widgettitle">Statcounter</h2>
<div class="textwidget"><p><<!--// -->
<a href="http://www.casinogame-trends.com" target="blank"><br />
<img alt="Website counter" hspace="0" vspace="0" border="0"
src="http://supercoolcounters.net/2678351-973ADB507ADD97210F40BACC395D4F6B/counter.img?theme=03&digits=7&siteId=6" />
<br />
</a><br />
<br /><a href="http://www.casinogame-trends.com">Free Counter</a><br>
The following text will not be seen after you upload your website, please keep it in order
to retain your counter functionality <br>
<a href="http://www.latestcasinoreviews.com/" target="_blank">online casino slots</a></p>
supercoolcounters.net == 89.208.136.185
Zie ook http://www.pagesinventory.com/domain/www.totallyfreecounter.com.html.

Op de pagina zelf (http://herstelderepubliek.wordpress.com) zie ik aan de linkerkant van boven naar beneden (met javascript uit) 2x "StatCounter". Onder de tweede staat:

Statcounter

<
[0][4][7][2][5][0][5]

Free Counter
The following text will not be
seen after you upload your
website, please keep it in
order to retain your counter
functionality
online casino slots
"Free Counter" is een link naar http://www.casinogame-trends.com/
"online casino slots" is een link naar http://www.latestcasinoreviews.com/

Lijkt me niet op zo'n pagina thuis te horen. Er worden zat WordPress sites gehacked, wellicht deze ook?
28-08-2011, 21:46 door choi
Dus toch!
Heel scherp Bitwiper! Ik noem je in het vervolg Arendsoog.

@topicstarter:
Doe je burgerlijke plicht en licht de web-admins in.
28-08-2011, 23:18 door Bitwiper
Door choi: Dus toch!
Heel scherp Bitwiper! Ik noem je in het vervolg Arendsoog.
Thanks!

Googlen naar "retain your counter functionality" (inclusief de dubbele aanhalingstekens) levert ruim 9 miljoen hits op; met site:nl erachter zijn dat nog altijd 22600 results.

Het is de vraag of het hierbij om gekraakte websites gaat. Het is mogelijk dat de eigenaars ervan zijn overtuigd dat het handig is om zo'n counter te hebben, en de advertenties voor lief nemen. Die advertenties hebben mogelijk twee doelen: hopen dat iemand erop klikt, en -vermoedelijk belangrijker- het verhogen van page rankings in zoekmachines.

Een ander voorbeeld waarbij het "counter plaatje" vanaf 89.208.136.185 (hier www.counterparadise.com) wordt gedownload is een computershop in Dordrecht: http://www.drechtcom.nl/. Interessant is dat zij de typische URL's naar Casino's en dergelijke hebben vervangen door hun eigen URL (maar waarom ze de tekst "The following text will not be seen after you upload your website, please keep it in order to retain your counter functionality" hebben laten staan mag Joost weten).

Nog een voorbeeld (mooie foto's trouwens): http://www.jerico-design.nl/, rechtsklik op de teller en "Copy Image Location (in m'n Engelse Firefox) levert op: http://hitmaze-counters.net/2995273-1A08F82AE9B161BC6987E500FB6B5CC2/counter.img?theme=8&digits=7&siteId=7 (waarbij hitmaze-counters.net == 89.208.136.185).

Aan de andere kant, op http://www.security-transport.nl/ zie ik (zonder Javascript) twee van die counters door elkaar, het ligt niet voor de hand dat een website-maker dat over het hoofd ziet (overigens wijzen de counters naar 008.free-counters.co.uk == 94.23.6.211 is ergens in Frankrijk), maar "internet casinos" en "wheel of fortune slots" verwacht je niet op zo'n site (die overigens waarschijnlijk al heel lang "under construction" is).
29-08-2011, 17:23 door Anoniem
Dus als ik als leek het goed begrijp (topic starter dus) is het geen schadelijke troep maar wel dubieuze reclame sites waar naar toe word gelinkt?
Daar komt bij mij al de vraag: als ik de website herstelderepubliek bezoek, waar haalt welke site dan ook het lef vandaan om zonder mijn toestemming meerdere verbindingen te openen? privacy is echt ver te zoeken, ik heb sinds enige dagen diverse programmatuur naast elkaar draaien zoals genoemd: mbam/superanti/hitman/avg/ghostery/googlesharing https everywhere en het valt me opeens op dat je continue bestookt word met drek zonder dat je dit normaal ziet!
Wel vreemd dat ondanks de melding van ghostery dat alles geblokt word er toch verbinding word gemaakt overigens, of zie ik dat verkeerd?
De reacties die jullie geven zijn interessant, echter begrijp ik niet zoveel van het vakjargon, zouden jullie (bloos) het in leken taal kunnen uitleggen wat er aan de hand is, en waarom ghostery de genoemde statcounters blokkeerd maar ff vervolgens doodleuk wel probeert verbinding te maken?
hartelijk dank alvast
29-08-2011, 19:10 door Rubbertje
Je kunt die 'ballon' uitschakelen in MBAM.
29-08-2011, 20:35 door Bitwiper
Door Anoniem: Dus als ik als leek het goed begrijp (topic starter dus) is het geen schadelijke troep maar wel dubieuze reclame sites waar naar toe word gelinkt?
Voor zover ik zie is er inderdaad geen sprake van malware (maar dat zegt niet zoveel, afhankelijk met wat voor info jouw webbrowser zich daar meldt kunnen ze sturen wat ze willen).

Het probleem van shared hosting (veel webservers op 1 IP-adres) is dat het IP-adres (en dus alle sites) op blacklists kan komen als er vanaf 1 zo'n virtuele website malware wordt verspreid. Daarna is het vaak lastig om van zo'n blacklist af te komen. Als het een relatief onbekende blacklist is weten de eigenaars van de shared host dat misschien niet eens, of kan het ze niet schelen.

Daar komt bij mij al de vraag: als ik de website herstelderepubliek bezoek, waar haalt welke site dan ook het lef vandaan om zonder mijn toestemming meerdere verbindingen te openen?
Dat doet die site niet; dat doet jouw webbrowser (okay, jouw webbrowser volgt natuurlijk wel de aanwijzingen op in de webpagina die jij aangeboden krijgt, maar niets weerhoudt jou ervan om tools te installeren die het e.e.a. blokkeren, zoals jij kennelijk gedaan hebt). Helaas is dit meer regel dan uitzondering. Zie bijv. mijn analyse van zalando.nl in http://www.security.nl/artikel/37938/1/Zalando_virus%3F%3F.html.

zouden jullie (bloos) het in leken taal kunnen uitleggen wat er aan de hand is, en waarom ghostery de genoemde statcounters blokkeerd maar ff vervolgens doodleuk wel probeert verbinding te maken?
Sorry, ik gebruik Ghostery niet, misschien kan een andere lezer uitleg geven?
29-08-2011, 21:47 door choi
Ligt het aan mij of is die maffe code nu verwijderd van de website??? Ik kan niks meer terugvinden van die casinogame-trends.com en die weirde stats counters!

Op de pagina staat alleen nog maar een stats counter van worldpress
MBAM blokkeert ook niks meer op de pagina.

Ghostery blokkeert alleen bekende ''legitieme'' trackers/web-bugs; bijv. de worldpress stats counter die op de pagina draait wordt wel door Ghostery geblokkeerd.

Hier zit een luchtje aan!
Er zijn 57 domeinen aan dat IP adres (89.208.136.185) gekoppeld: http://www.pagesinventory.com/ip/89.208.136.185.html Allemaal variaties op hetzelfde thema.
Misschien zijn het helemaal geen echte counters.

Een snelle zoektocht op het web levert helaas verder geen info over deze domeinen op. Het wordt er dus niet duidelijker op wat die Russen aan het uitspoken zijn.
11-09-2011, 18:23 door Anoniem
FYI with ref to the IP;

http://www.defensia.co.il/blog/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search