Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: trojan ftp joomla  (gelezen 1990 keer)

Offline johande

  • Lid
trojan ftp joomla
« Gepost op: 2013/01/22, 07:42:39 »
Ik heb een PC ubuntu 12.04 waarmee ik een joomla site beheer. De Joomla site is blijkbaar gehacked en de ftp paswoorden gewijzigd. Ik krijg de geresette cpanel/ftp pasworden pas terug als de oorzaak gevonden is. Omdat ik ervan uitging dat ubuntu vrij secure was, betwijfel ik dat ik de oorzaak ben. Kan ik mijn PC scannen en de logs doorsturen naar de hoster?
Er is ook een 2de man die de joomla site beheerd en die werkt op een windows PC, ik heb hem ook gevraagd om zijn pc te scannen.

Maar ik ben eigelijk ook wel geinteresseerd in te checken of mijn PC virus en malwarevrij is...
« Laatst bewerkt op: 2013/01/22, 09:16:15 door johande »

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: trojan ftp joomla
« Reactie #1 Gepost op: 2013/01/22, 09:35:42 »
Wat vaak gebeurt is het volgende: de wachtwoorden van bv filezilla worden als plaintext opgeslagen (soms wel eens handig overigens). Er is malware die hier specifiek op zoek gaat en daarmee vrij spel krijgt, want als je het ftp-wachtwoord hebt dan kun je zo ongeveer alles. En uiteraard komt die malware alleen voor op dat andere OS, maar dat zal evident zijn lijkt me.

Het kan natuurlijk een andere oorzaak hebben, maar bovenstaand is een persoonlijke ervaring bij een kennis van mij.

Offline johande

  • Lid
Re: trojan ftp joomla
« Reactie #2 Gepost op: 2013/01/22, 09:45:18 »
maw: ik kan er 99% zeker van zijn dat de oorzaak niet bij mijn ubuntu pc ligt?

Offline Bloom

  • Lid
Re: trojan ftp joomla
« Reactie #3 Gepost op: 2013/01/22, 09:47:33 »
Ja. Ik ben er nu al zeker van dat de tweede man met Windows spyware op zijn pc heeft.

Spyware op Windows pc's is de vaakst voorkomende manier waarop Linux servers gehackt kunnen worden, doordat de hackers gewoon de logins voor ssh en/of ftp kunnen halen van die Windows pc's.

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: trojan ftp joomla
« Reactie #4 Gepost op: 2013/01/22, 10:25:10 »
Spyware op Windows pc's is de vaakst voorkomende manier waarop Linux servers gehackt kunnen worden, doordat de hackers gewoon de logins voor ssh en/of ftp kunnen halen van die Windows pc's.
Als het al de oorzaak is (zeker weten doen we het niet), dan is het altijd heel vervelend dat Joomla als open source-pakket hierdoor toch een slechte naam krijgt. Want het is voor een niet-techneut moeilijk te bevatten hoe zoiets werkt:  dat er op een op zich veilig systeem (Joomla gehost op Linux) zo maar ingebroken kan worden door een bewezen onveilig systeem (dat andere OS met z'n miljoen-miljard virussen). Het is alsof je de voordeur barricadeert met 16 sloten en de achterdeur openlaat...

Offline johande

  • Lid
Re: trojan ftp joomla
« Reactie #5 Gepost op: 2013/01/23, 06:09:06 »
Een scan met Clamtk leverd hetvolgende op. Moet ik mij zorgen maken?
Moet deze lijst deleten?


ClamTk, v4.44
Tue Jan 22 21:40:42 2013
ClamAV Signatures: 1643076
Directories Scanned:
/bin
/boot
/boot/grub
/boot/grub/locale
/etc
/etc/ConsoleKit/seats.d
.....
/var/log/cups
/var/log/fsck
/var/log/installer
/var/log/samba

Found 36 possible threats (194629 files scanned).

/usr/lib/codecs/wms10dmod.dll                                                                           PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/atrac3.acm                                                                              PUA.Win32.Packer.BorlandDelphi-18     
/usr/lib/codecs/cinevfw.dll                                                                             PUA.Win32.Packer.Armadillo-42         
/usr/lib/codecs/m3jpegdec.ax                                                                            PUA.Win32.Packer.NspackDotnetNor-1     
/usr/lib/codecs/ViVD2.dll                                                                               PUA.Win32.Packer.Upx-57               
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/6/E4/C8390d01                                       PUA.Script.Packed-2                   
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/_CACHE_001_                                         PUA.Phishing.Bank                     
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/F/DA/334E5d01                                       PUA.JS.Obfus-2                         
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/9/B6/77AE0d01                                       PUA.JS.Xored                           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/DVDFab.exe                                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/unins000.exe                                        PUA.Win32.Packer.Vip                   
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/dbghelp.dll                                         PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/ctadp32.acm                                                                             PUA.Win32.Packer.NspackDotnetNor-1     
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/avformat.dll                                        PUA.Win32.Packer.InterplaysMveFi       
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFileMover.exe                         PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFab2Dto3D.exe                            PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabAddonBluRay.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2DVD.exe                        PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2Mobile.exe                     PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2DVD.exe                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2Mobile3D.exe                   PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2BluRay.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2BluRay.exe                     PUA.Win32.Packer.Asprotect-2           
/usr/lib/codecs/VFCodec.dll                                                                             PUA.Win32.Packer.BorlandDelphi-13     
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2Mobile.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabDVD2Mobile.exe                        PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabDVD2DVD.exe                           PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabAddonDVD.exe                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/vso_hwe.dll                                         PUA.Win32.Packer.Vip                   
/opt/teamviewer/teamviewer/7/wine/drive_c/Program Files/TeamViewer/Version7/TeamViewer_Desktop.exe      PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/psiv.dll                                                                                PUA.Win32.Packer.Starforce-1           
/usr/lib/codecs/mcdvd_32.dll                                                                            PUA.Win32.Packer.BorlandDelphi-18     
/usr/lib/codecs/tssoft32.acm                                                                            PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/wmvadvd.dll                                                                             PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/WCMV.dll                                                                                PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/wmsdmod.dll                                                                             PUA.Win32.Packer.Msvcpp               
---------------------------------------------------------------------------------------------------------------------------------------------------

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: trojan ftp joomla
« Reactie #6 Gepost op: 2013/01/23, 07:55:18 »
Ze zijn allemaal van het type pua = Possible Unwanted Applications: http://www.clamav.net/lang/en/faq/pua/. Als in: we weten het eigenlijk niet maar voor de zekerheid geven we het maar aan als mogelijk gevaarlijk. Blijkbaar reageert clam wat overgevoelig zodat het valse positieven oplevert; je kunt je de gevoeligheid ook terugschroeven.

Hier wat meer achtergrond:

Citaat
Scanning PUA is for paranoids as it always gather false positives: these softwares/scripts behave like a virus but are seldom true virusses  IMHO detection of "broken executables" (--detect-broken=yes) is more accurate.

Edit: Detection of Possibly Unwanted Applications is off by default in clamav.
http://forums.linuxmint.com/viewtopic.php?f=90&t=108883

Offline johande

  • Lid
Re: trojan ftp joomla
« Reactie #7 Gepost op: 2013/01/23, 08:24:57 »
ok bedankt. Die Clamtk scant dus echt alles? Rootkits, Malware, Trojans,...
of moet ik daarvoor naar een betalende software op zoek gaan?

Werkt een online scan (zoals trendmicro) ook op een Ubuntu PC?

Offline Soul-Sing

  • Lid
Re: trojan ftp joomla
« Reactie #8 Gepost op: 2013/01/23, 09:18:23 »
ok bedankt. Die Clamtk scant dus echt alles? Rootkits, Malware, Trojans,...
of moet ik daarvoor naar een betalende software op zoek gaan?

Werkt een online scan (zoals trendmicro) ook op een Ubuntu PC?

er zijn feitelijk weinig windowsachtige scanners aanwezig voor linux. de scanners die er zijn zoals clamav en chkrootkit en rkunter geven bijzonder veel false positives. dus daar ligt de kwaliteit van het OS niet. wel zouden de logs een enorme bron van informatie en kennis kunnen zijn, je moet ze wel kunnen "lezen", en intepreteren. denk aan auth.logs, syslogs ed. natuurlijk ook wireshark/tcpdump.
forward verkeer via ssh/ftp over andere poorten, en gebruik keys. of twee factor auth. via een eigen wachtwoord en die van bijv, yubikey.

Re: trojan ftp joomla
« Reactie #9 Gepost op: 2013/01/23, 13:19:23 »
Kijk niet alleen naar de clients waarmeem  je Joomla benaderd maar ook naar Joomla zelf.

Ik heb zelf een tweetal jaren een Joomla site beheerd. Dat was ondanks de gebruiksvriendelijkheid niet altijd een onverdeeld genoegen. Les 1 die ik heb geleerd: maak direct na installatie van Joomla en nieuw administrator account aan en verwijder het standaard adminstrator account. Het veranderen van het wachtwoord van de standaard adminstrator is niet genoeg. Er zijn scriptkiddies die daar omheen kunnen.

Misschien kende je deze al (of is dat in de huidige release geen probleem meer) anders heb je er misschien iets aan.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: trojan ftp joomla
« Reactie #10 Gepost op: 2013/01/23, 14:09:04 »
Een scan met Clamtk leverd hetvolgende op. Moet ik mij zorgen maken?
Moet deze lijst deleten?


ClamTk, v4.44
Tue Jan 22 21:40:42 2013
ClamAV Signatures: 1643076
Directories Scanned:
/bin
/boot
/boot/grub
/boot/grub/locale
/etc
/etc/ConsoleKit/seats.d
.....
/var/log/cups
/var/log/fsck
/var/log/installer
/var/log/samba

Found 36 possible threats (194629 files scanned).

/usr/lib/codecs/wms10dmod.dll                                                                           PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/atrac3.acm                                                                              PUA.Win32.Packer.BorlandDelphi-18     
/usr/lib/codecs/cinevfw.dll                                                                             PUA.Win32.Packer.Armadillo-42         
/usr/lib/codecs/m3jpegdec.ax                                                                            PUA.Win32.Packer.NspackDotnetNor-1     
/usr/lib/codecs/ViVD2.dll                                                                               PUA.Win32.Packer.Upx-57               
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/6/E4/C8390d01                                       PUA.Script.Packed-2                   
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/_CACHE_001_                                         PUA.Phishing.Bank                     
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/F/DA/334E5d01                                       PUA.JS.Obfus-2                         
/home/johan/.mozilla/firefox/y0h9y7er.default/Cache/9/B6/77AE0d01                                       PUA.JS.Xored                           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/DVDFab.exe                                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/unins000.exe                                        PUA.Win32.Packer.Vip                   
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/dbghelp.dll                                         PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/ctadp32.acm                                                                             PUA.Win32.Packer.NspackDotnetNor-1     
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/avformat.dll                                        PUA.Win32.Packer.InterplaysMveFi       
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFileMover.exe                         PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFab2Dto3D.exe                            PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabAddonBluRay.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2DVD.exe                        PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2Mobile.exe                     PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2DVD.exe                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2Mobile3D.exe                   PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2BluRay.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabBluRay2BluRay.exe                     PUA.Win32.Packer.Asprotect-2           
/usr/lib/codecs/VFCodec.dll                                                                             PUA.Win32.Packer.BorlandDelphi-13     
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabFile2Mobile.exe                       PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabDVD2Mobile.exe                        PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabDVD2DVD.exe                           PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/Options/DVDFabAddonDVD.exe                          PUA.Win32.Packer.Asprotect-2           
/home/johan/.wine/drive_c/Program Files/DVDFab 8 Qt/vso_hwe.dll                                         PUA.Win32.Packer.Vip                   
/opt/teamviewer/teamviewer/7/wine/drive_c/Program Files/TeamViewer/Version7/TeamViewer_Desktop.exe      PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/psiv.dll                                                                                PUA.Win32.Packer.Starforce-1           
/usr/lib/codecs/mcdvd_32.dll                                                                            PUA.Win32.Packer.BorlandDelphi-18     
/usr/lib/codecs/tssoft32.acm                                                                            PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/wmvadvd.dll                                                                             PUA.Win32.Packer.Msvcpp               
/usr/lib/codecs/WCMV.dll                                                                                PUA.Win32.Packer.SetupExeSection       
/usr/lib/codecs/wmsdmod.dll                                                                             PUA.Win32.Packer.Msvcpp               
---------------------------------------------------------------------------------------------------------------------------------------------------

Ik zou die individuele bestanden even controleren bij https://www.virustotal.com/ of http://virusscan.jotti.org/nl
Als een groot deel van de scanners daar aangeeft dat het foute boel is, dan is dat waarschijnlijk ook zo.