Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Twee vreemde bestanden op website

17-04-2018, 08:12 door JanAnoniem, 31 reacties
Vanmorgen trof ik in de root van de website http://verbodengeschriften.nl, die ik voor een klant beheer, de verborgen bestanden .gitignore en .gitattributes aan. Die heb ik er zelf niet neergezet en het NoNonsenseForum ken ik niet. Wat is hier aan de hand? Ik heb die bestanden nooit eerder gezien. Ik heb de laatste tijd op die website niets bijzonders gedaan en die bestanden kunnen niet van een CMS zijn want dat heb ik nooit gebruikt. Ik blijf er een vreemd gevoel bij houden en zou het verklaard willen zien. Dit zijn de eerste 10 regels van .gitignore:

# ignore files that aren't part of NoNonsenseForum:
# (in this folder we want to ignore the site's data -- RSS feeds, subforums and configuration)
*
!.gitignore
!.gitattributes

# server
!.htaccess
!robots.txt
!favicon.default.ico
Reacties (31)
17-04-2018, 08:22 door Anoniem
Iemand heeft de site source onder versiebeheer gezet (google maar eens op "git" ). Zodat alle wijzigingen zijn te zien en je oudere versies kan terughalen. Blijkbaar wil men zich indekken tegen slecht beheer van de inhoud. Lijkt me heel verstandig.
17-04-2018, 08:24 door Anoniem
Als je googlet op de bestandsnamen dan kom je al vrij snel bij malware van buitenlandse mogendheden uit. Ik vertrouw dit niet! Beste is je server opnieuw van scratch af aan op te bouwen.
Of je doen zelf een beetje onderzoek - dat kan natuurlijk ook

Trobi
17-04-2018, 08:38 door Anoniem
https://git-scm.com/
https://nl.wikipedia.org/wiki/Git_%28software%29

Als jij noch je klant git gebruiken dan moet je toch eens kijken wie dat wel doet. "Downloaden van github" valt er ook onderr. github zijn wat handige jongens die git verhercentraliseerd in gebruik hebben om advertentieinkomsten naar zich toe te trekken.
17-04-2018, 08:43 door Anoniem
Waarschijnlijk heeft iemand NoNonsenseForum op de website gezet. Als jij 100% zeker de enige bent die de website beheert en toegang heeft dan zou ik me zorgen maken, anders niet.
17-04-2018, 08:44 door Anoniem
De .gitignore file vertelt GIT welke files wel en welke niet moeten worden beheerd.

Ze zijn niet schadelijk. Hoe die files er komen kun je het beste vragen aan iedereen die er files kan uploaden. Het is mogelijk dat iemand forum software heeft getest, maar niet de 'onzichtbare' files die met een puntje beginnen heeft opgeruimd.

GIT is een versioncontrol system, daarmee kun je wijzigingen in files opslaan en terughalen, vooral gebruikt door programeurs. NoNonsenseForum kun je hier vinden https://github.com/Kroc/NoNonsenseForum. Ik zou zelf nooit forum software gebruiken die maar een paar versies kent en al 3 jaar niet meer in ontwikkeling is daar zitten vast beveiligings problemen in.
17-04-2018, 08:51 door Anoniem
Hallo Jan,

Ik heb hier ook niet super veel verstand van maar ik heb net ongeveer 5 minuten besteed aan het googlen van 'gitignore' en 'NoNonsenseForum'. Heel verhelderend, zou je ook eens moeten proberen.

Spoiler: gitignore is een bestand voor git (je weet wel, het versiebeheersysteem) om aan te geven welke mappen wel en niet moeten worden gesynchroniseerd. Vrij standaard dus voor dingen die met git worden bewaard, zoals bijvoorbeeld...NoNonsenseForum (https://github.com/Kroc/NoNonsenseForum). Gebruikt die website die je beheert toevallig dit als forum?
17-04-2018, 09:01 door bollie
https://git-scm.com/docs/gitignore
17-04-2018, 09:10 door Anoniem
Al eens opgezocht wat dat voor bestanden zijn? Al gekeken sinds wanneer de bestanden er staan? Al gekeken wie s eigenaar van de bestanden is? Al in logbestanden gekeken? Kan je shared hosting provider verklaren hoe de bestanden daar komen, als je zeker weet dat jij het niet was? Als je beheerder bent, waarom heb je dan niet al de juist informatie beschikbaar om misbruik uit te sluiten? Beheerder spelen en geen moeite doen is wel erg onprofessioneel.
17-04-2018, 10:13 door JanAnoniem
Door Anoniem: Als je googlet op de bestandsnamen dan kom je al vrij snel bij malware van buitenlandse mogendheden uit. Ik vertrouw dit niet! Beste is je server opnieuw van scratch af aan op te bouwen.
Of je doen zelf een beetje onderzoek - dat kan natuurlijk ook

Trobi

Ik kom niet bij malware van buitenlandse mogendheden uit. Hoe jij wel?
17-04-2018, 10:14 door JanAnoniem
Door Anoniem: Waarschijnlijk heeft iemand NoNonsenseForum op de website gezet. Als jij 100% zeker de enige bent die de website beheert en toegang heeft dan zou ik me zorgen maken, anders niet.

Het is 100% zeker: alleen ik beheer die website.
17-04-2018, 10:17 door JanAnoniem
Door Anoniem: Hallo Jan,

Ik heb hier ook niet super veel verstand van maar ik heb net ongeveer 5 minuten besteed aan het googlen van 'gitignore' en 'NoNonsenseForum'. Heel verhelderend, zou je ook eens moeten proberen.

Dat had ik al gedaan voordat ik mijn vraag hier postte.
17-04-2018, 10:28 door Anoniem
Door JanAnoniem:
Door Anoniem: Waarschijnlijk heeft iemand NoNonsenseForum op de website gezet. Als jij 100% zeker de enige bent die de website beheert en toegang heeft dan zou ik me zorgen maken, anders niet.

Het is 100% zeker: alleen ik beheer die website.

Dan lijkt het alsof iemand anders het er ongeoorloofd heeft kunnen neerzetten.

Jij beheert de website, maar ook de server dan?

Eerste paar dingen die ik zou doen:
- voordat je iets aanpast, kopieer alle bestanden, logs, databases, configuratiebestanden zodat je de huidige 'gehackte' (moet nog blijken maar noem het even zo) situatie vastlegd is.
- vergelijk alles met je backups, dan is te zien wat er veranderd is.
- dan is het moeilijkste om te achterhalen HOE het gedaan is. Even server schoon installeren lost het probleem niet op (ja je bent de onverwachte bestanden kwijt maar de kwetsbaarheid kan er nog zijn...).
17-04-2018, 10:59 door Anoniem
Het eerst wat je kunt doen is de bestanden op de server op datum sorteren. Als er malware opstaat is die vaak geupload, en de datum is dan relatief recent. Inspecteer vervolgens die bestanden (ook als ze bijvoorbeeld de extensie .txt hebben). Kijk of er php code of een script in staat en probeer te volgen wat het doet.

Je kunt bijvoorbeeld de datum van installatie zien in nieuw aangemaakte directories. Kijk of dat binnen de normale tijden valt waarop jij zelf of de site eigenaar werk op de server verricht.

Als een crimineel software heeft geinstalleerd, dan gaat dat vaak gepaard met meerdere scripts (achterdeurtjes), waarlangs hij weer naar binnen kan.

Met een tool als Midnight Commander kun je timestamps zien en bestanden snel inhoudelijk bekijken.

Voordat je begint eerst een forensische kopie (zoek op: "forensic copy") maken.

Tenslotte: iedereen die toegang heeft tot de server moet zijn eigen PC grondig scannen met meerdere scanners. Vaak worden wachtwoorden gestolen via malware op besmette computers. Ook die van vorige beheerders of eigenaren.
17-04-2018, 11:30 door JanAnoniem
@10:28 door Anoniem,

"Jij beheert de website, maar ook de server dan?"

De server wordt beheerd door provider Hosting2GO, al kan ik natuurlijk zelf ook enige dingen configureren.
17-04-2018, 11:39 door JanAnoniem
@10:59 door Anoniem,

Ik zie op de ftp-server geen vreemde veranderingen: geen toegevoegde of verwijderde bestanden of gewijzigde datums.

Alleen IK heb toegang tot de server en ik heb mijn computer altijd in topconditie. Die wordt elke dag gescanned op virus en malware. En in de map php zie ik geen vreemde dingen.
17-04-2018, 11:41 door Krakatau - Bijgewerkt: 17-04-2018, 11:42
Door JanAnoniem: @10:59 door Anoniem,

Ik zie op de ftp-server geen vreemde veranderingen: geen toegevoegde of verwijderde bestanden of gewijzigde datums.

Alleen IK heb toegang tot de server en ik heb mijn computer altijd in topconditie. Die wordt elke dag gescanned op virus en malware. En in de map php zie ik geen vreemde dingen.

Wat voor datum staat er bij de GIT-bestanden? En welke eigenaar? Heb je recent het weergeven van verborgen bestanden (die beginnen met een punt) aangezet en nu pas die GIT-bestanden gezien? (Die er allang opstonden). Is er ook een .git directory aanwezig?
17-04-2018, 11:57 door JanAnoniem
Doordat ik de bewuste bestanden bij ontdekking direct heb verplaatst van de ftp-server naar mijn computer is de datum gewijzigd naar die dag. Ik kijk geregeld op de server en daarbij zijn mij nooit vreemde dingen opgevallen. Verborgen bestanden, zoals bv. .htaccess, heb ik altijd zichtbaar. Er is geen git-map aanwezig en evenmin zijn andere vreemde wijziging te zien in de mappen- en bestandenstructuur.
17-04-2018, 12:24 door Anoniem
Door JanAnoniem: @10:28 door Anoniem,

"Jij beheert de website, maar ook de server dan?"

De server wordt beheerd door provider Hosting2GO, al kan ik natuurlijk zelf ook enige dingen configureren.

Dan heeft de provider volledige toegang en die kan besluiten extra software voor alle sites toe te voegen. Als je slechts een site afneemt, heb je daar niet zoveel over te vertellen. Vraag dus aan de provider of ze deze software hebben toegevoegd.

Wil je niet dat iemand bij je server kan, overweeg dan een VPS (Virtual Private Server) of een dedicated server.

Bij VPS heeft de provider wel nog het beheer over de machine en hypervisor en soms ook kernels en bepaalde extra software die voor VM's (Virtual Machines) nodig zijn. In principe kan de provider het beheer overnemen, bijvoorbeeld door het user/wachtwoordbestand aan te passen.
17-04-2018, 12:25 door Krakatau
Door JanAnoniem: @10:28 door Anoniem,

"Jij beheert de website, maar ook de server dan?"

De server wordt beheerd door provider Hosting2GO, al kan ik natuurlijk zelf ook enige dingen configureren.

Bel hen op en vraag wat ze kunnen zien in hun logbestanden.
17-04-2018, 12:29 door JanAnoniem
Ik had de provider al gevraagd wat zij ervan dachten, maar die weet niets anders te melden dan dat ze in de logs zien dat het bestand er neer werd gezet. Overigens heb ik goede ervaringen met die provider.
17-04-2018, 12:39 door Krakatau
Door JanAnoniem: Ik had de provider al gevraagd wat zij ervan dachten, maar die weet niets anders te melden dan dat ze in de logs zien dat het bestand er neer werd gezet. Overigens heb ik goede ervaringen met die provider.

Dan kunnen toch ook zien vanaf welk IP-adres het er werd neergezet. En wanneer.
17-04-2018, 12:40 door JanAnoniem
Ik heb zojuist alle xferlog-bestanden van de ftp-server gedownload en erin gezocht naar de twee verdachte bestanden. Ik zie daarin alleen de acties die ik zelf heb uitgevoerd: verplaatsen naar mijn computer en later terugzetten op de server om ze de provider te laten zien en tot slot verplaatste ik ze weer naar mijn computer.
17-04-2018, 12:42 door JanAnoniem - Bijgewerkt: 17-04-2018, 12:47
Door Krakatau:
Door JanAnoniem: Ik had de provider al gevraagd wat zij ervan dachten, maar die weet niets anders te melden dan dat ze in de logs zien dat het bestand er neer werd gezet. Overigens heb ik goede ervaringen met die provider.

Dan kunnen toch ook zien vanaf welk IP-adres het er werd neergezet. En wanneer.

Dat heeft de provider gedaan en toen zagen zij alleen mijn acties die ik hierboven (12:40) beschrijf.
17-04-2018, 12:48 door Krakatau
Door JanAnoniem:
Door Krakatau:
Door JanAnoniem: Ik had de provider al gevraagd wat zij ervan dachten, maar die weet niets anders te melden dan dat ze in de logs zien dat het bestand er neer werd gezet. Overigens heb ik goede ervaringen met die provider.

Dan kunnen toch ook zien vanaf welk IP-adres het er werd neergezet. En wanneer.

Dat heeft de provider gedaan en toen zagen zij alleen mijn acties die ik hierboven beschrijf.

Dan ga je er nooit achter komen. Het zijn sowieso onschuldige bestanden. Bovendien gebruik je alleen statische HTML. Laat het maar rusten.
17-04-2018, 12:52 door JanAnoniem - Bijgewerkt: 17-04-2018, 12:54
Ook ik heb de indruk dat ik mij geen zorgen hoef te maken, al is er wel iets gebeurd wat niet deugt. Voor de zekerheid heb ik het ftp-wachtwoord gewijzigd en sterker gemaakt en de provider gevraagd hoe ik i.p.v. ftp sftp kan gebruiken. Maar ik krijg zojuist de mededeling: SFTP is op ons hostingpakket niet beschikbaar.
17-04-2018, 12:59 door Anoniem
Er wordt kennelijk aan gewerkt:
GET / HTTP/1.1
Host: verbodengeschriften.nl

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

Magic: HTML document text\012 exported SGML document text
Size: 366
Md5: 2807d2607746d808131318d2d758cc43
Netherlands
AS34233 Superior B.V. 83.137.194.106
HTTP/1.1 301 Moved Permanently
Content-Type: text/html; charset=iso-8859-1

Date: Tue, 17 Apr 2018 10:56:30 GMT
Server: Apache
Location: https://verbodengeschriften.nl/
Cache-Control: max-age=1209600
Expires: Tue, 01 May 2018 10:56:30 GMT
Content-Length: 366
Connection: close


--- Additional Info ---
Magic: HTML document text\012 exported SGML document text
Size: 366
Md5: 2807d2607746d808131318d2d758cc43
Sha1: 130eb7ad9a21954a63569dcaf0c56c095da6b699
Sha256: 7f089db039ae93e2aa7f26bd8c6d5742f517a05e24653cac9bfd744ca7e635c3
GET / HTTP/1.1
Host: verbodengeschriften.nl
Unknown
0.0.0.0



luntrus
17-04-2018, 13:06 door Krakatau - Bijgewerkt: 17-04-2018, 13:06
Door JanAnoniem: Ook ik heb de indruk dat ik mij geen zorgen hoef te maken, al is er wel iets gebeurd wat niet deugt. Voor de zekerheid heb ik het ftp-wachtwoord gewijzigd en sterker gemaakt en de provider gevraagd hoe ik i.p.v. ftp sftp kan gebruiken. Maar ik krijg zojuist de mededeling: SFTP is op ons hostingpakket niet beschikbaar.

Ho! Geen secure FTP? Dat is erg kwalijk! Want met regulier FTP gaat de gebruikersnaam en het wachtwoord in plaintext over internet :-(
17-04-2018, 13:08 door Anoniem
JanAnoniem:
De server wordt beheerd door provider Hosting2GO, al kan ik natuurlijk zelf ook enige dingen configureren.

JanAnoniem:
Alleen IK heb toegang tot de server

Hier spreek je jezelf tegen. Als je alleen webhosting afneemt ben je zeker niet de enige die toegang heeft tot de server, de provider is degene die ook toegang heeft. En elke klant heeft toegang tot de eigen site. Elke site op de server kan worden besmet door onzorgvuldig handelen van websitebeheerders. Als daarbij root toegang wordt verkregen kan de hele server, dus alle sites die erop worden gehost worden besmet.

Maar goed, dit geval lijkt veel meer op een provider die wat software installeert dan een malwarebesmetting.

Overigens: logbestanden van alleen ftp zegt niet veel, de software kan op geheel andere wijze op de server terecht komen. Alleen bij logbestanden op server-netwerkniveau kun je mogelijk iets zeggen over andere toegang.

Krakatau:
Bovendien gebruik je alleen statische HTML.

Het maakt niet uit of de website alleen HTML gebruikt als er wel PHP op is geinstalleerd. Als daar een lek in zit kan de site alsnog worden besmet. PHP wordt meestal in voorspelbare directories geinstalleerd, vaak ook toegankelijk als de hele site er niet naar linkt. Alleen als PHP uitvoeren daadwerkelijk is uitgeschakeld is het veilig.
17-04-2018, 13:11 door JanAnoniem - Bijgewerkt: 17-04-2018, 13:17
Dat dacht ik ook!

Voor de zekerheid ben ik een back-up van de website aan het ftp-en zodat illegaal gewijzigde bestanden eventueel overschreven worden.
17-04-2018, 14:06 door JanAnoniem - Bijgewerkt: 17-04-2018, 14:06
@13:08 door Anoniem,

"Hier spreek je jezelf tegen. Als je alleen webhosting afneemt ben je zeker niet de enige die toegang heeft tot de server, de provider is degene die ook toegang heeft. En elke klant heeft toegang tot de eigen site. Elke site op de server kan worden besmet door onzorgvuldig handelen van websitebeheerders. Als daarbij root toegang wordt verkregen kan de hele server, dus alle sites die erop worden gehost worden besmet."

Als je het zo bedoelt, dat begrijp ik wel. En de provider levert shared hosting.
17-04-2018, 14:31 door Anoniem
Je kan een hash trekken van de files en deze uploaden naar Virustotal.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.