Archief - Combell & Malware

Een klant van mij heeft zijn website hosten bij Combell. Het is ondertussen al de 3e keer dat er malware op deze website terecht komt. Indien ik bij Google de 'safe browsing' pagina van het Combell netwerk opvraag lijkt het alsof exact dezelfde malware ook op vele andere sites van hen terug te vinden is.

Na telefonisch contact met Combell de eerste keer dat er malware op mijn klant's website terrecht kwam, gaven ze wel toe dat er 'problemen waren bij verschillende websites van verschillende klanten', maar toen ik over malware begon verliep het allemaal extreem vaag.

De malware code nestelt zich in verschillende pagina's: .js, .html, .php,... en is een pain in the ass om te verwijderen omdat de code op vele pagina's lichtjes verschilt van elkaar. Een stukje van deze code ziet er als volgt uit:


Ik vraag mij vooral af of de code wel degelijk verspreid wordt via Combells eigen netwerk of via de PC's bij mijn klant die toegang hebben tot de backend van de website.

Als er meer klachten zijn bij combell dan is er veel kans dat het aan probleem aan de combell zijde ligt.

Anders je klant even inlichten en vragen voor een volledige scan van hun systeem.

Pc's met toegang zijn na de eerste keer al volledig opgekuist geweest.

Het lijkt me eigenlijk ook vrij onwaarschijnlijk dat die malware erop is geraakt via spyware dat op één van die PC's zou staan.

Ik heb zelf ook een stel websites bij Combell staan, en heb nooit problemen gehad met malware. Toch niet op de sites op Combell.
De problemen die er zijn geweest waren uiteindelijk mijn fout, waar ik een querystring parameter niet goed valideerde, en er een gelijkaardig script in mijn Sql Server belandde (en naar de client werd gestuurd bij elke pagina).
Jij zegt echter dat html pagina's ook aangepast zijn, wat de sql inject eerder onwaarschijnlijk maakt. Aangezien de aard van de aanpassing (duidelijk gericht op webservers) zou ik toch denken aan een drive-by attack van je site.
Heb je al eens door je server logs geploegd, op zoek naar mogelijk requests die de oorzaak kunnen zijn? Heb je een cms geïnstalleerd op je sites die mogelijk kwetsbaar zijn?

Menno

Het klopt inderdaad dat bepaalde van onze klanten malware draaien op hun hosting account. Dit komt omdat hun applicaties gehackt zijn en op die manier misbruikt worden.

Voor alle duidelijkheid: de hackers hebben enkel toegang tot de account van de klant en kunnen de server of het netwerk niet misbruiken. Dit komt door de geavanceerde beveiliging op onze systemen.

Dit niveau van isolatie zorgt ervoor dat de hackpogingen blijven hangen op accountniveau en er dus nooit een algemeen gevaar is. Wij stellen vast dat heel wat van onze gehackte klanten zelf niet doorhebben dat hun account misbruikt wordt en daardoor bereikt dit nieuws ons niet altijd tijdig.

Javascript & Iframe injectie, defacing en andere vormen van abuse zijn geen nieuwe fenomenen en worden als sinds jaar en dag toegepast. In de meeste gevallen is het slechte code die het de hackers makkelijk maakt om accounts te misbruiken.

Wij proberen onze klanten zoveel mogelijk te sensibiliseren voor het gevaar van slecht beveiligde code, maar dit is natuurlijk niet evident.

Niettegenstaande de oorzaak vaak bij de developer van de site ligt, merken wij dat er een nieuwe vorm van gevaar lonkt: wij merken steeds vaker Javascript & Iframe injectie waarbij er geen enkel spoor van geforceerde hacking gevonden kan worden.

Na onderzoek bleek dat hackers het netwerk van de klant konden sniffen door middel van een bug in Adobe Acrobat. Op die manier kregen zij de FTP gegevens in handen en konden ze zonder al te veel moeite Javascript en Iframes injecteren.

Aangezien dit probleem zo'n proporties aannam, hebben wij besloten hierover een gedetaileerde blogpost over te schrijven. U vindt deze post terug op Combell Tech: opgelet voor hackers via Iframe injection - Combell blog

Via deze weg willen wij duidelijk maken dat er geen structureel probleem is bij Combell: er bevinden zich geen virussen of andere malware op ons netwerk of op onze servers. Het gaat hier over verschillende losstaande gevallen van hacking.

Bij onduidelijkheid of verdere vragen, zijn wij steeds bereid u te woord te staan op [email protected] of via +32.92187979

Gezien de aard van de post laat ik bovenstaande in zijn geheel staan, dus niet komen neuten over reclame aub.

Combell, bedankt voor de nuttige uitleg! Mocht ik hierover nog vragen hebben neem ik met jullie rechtstreeks contact op. De eerste keer dat ik met jullie contact opnam werd er nogal vaag geantw, nu wordt alles toch al een beetje duidelijker.