Combell Tech: opgelet voor hackers via Iframe injection

Hacking, injection, malware en andere vormen van misbruik zijn geen nieuwe fenomenen, elke internetgebruiker komt er al vrij snel mee in aanraking. De methoden die gebruikt worden variëren en evolueren ook heel sterk en op de koop toe zijn erg trendgebonden. Evolutie is voor hackers essentieel omdat zij verwikkeld zijn in een aanhoudende inhaalrace met service providers die de impact van het misbruik willen inperken.

Elke hackpoging heeft een bepaald motief en het tijdperk waarbij prestige in underground hackerskringen het enige motief was, behoort stilaan tot het verleden. Hackers gebruiken hun acties om een bepaalde boodschap op grote schaal te verspreiden. Dit kan politiek getint zijn, maar kan ook puur commercieel gericht zijn.

Een nieuwe trend

De nieuwste trend op vlak van misbruik via het internet is het injecteren van iframes in de verschillende bestanden op webhosting pakketten. Dit iframe is niet zichtbaar op de website maar zorgt voor trafiek op de achtergrond naar een bepaalde site. Dit is dus een weldoordachte strategie om op bepaalde sites extra bezoekers te lokken en eventueel ook extra Google Adwords inkomsten te verwerven.

Deze manier van hacken heeft ook nog 2 extra motieven:

  • Het infecteren van uw computer via een codelek in Adobe Acrobat
  • Het bekomen van uw lokale wachtwoorden

Kenmerken

U kan deze vormen van misbruik vrij makkelijk herkennen. In de broncode van gehackte sites vindt u steeds een iframe terug onder volgende vorm:

Iframe injection

Hoe komt dit op uw hosting terecht?

Onderzoek toont aan dat deze werkwijze niet het gevolg is van slechte beveiliging: het is niet de server of het netwerk dat gehackt wordt, maar bepaalde accounts op een server. In het verleden waren vooral websites met codelekken een doelwit, maar nu worden ook sterk beveiligde websites getroffen.

Blijkbaar slagen deze hackers erin om het FTP wachtwoord van het hosting pakket te achterhalen om zo toegang te krijgen. Het is duidelijk dat hackers op deze manier de spreekwoordelijke sleutels van de voordeur in handen hebben.

Hoe komt men aan de FTP gegevens?

De werkelijke oorzaak van het probleem is geen hostingprobleem, maar een probleem op de computer van de getroffen personen. Blijkbaar verwijst men via deze iframes door naar pagina’s waar een malafide PDF file aanboden worden. Door een codelek in Adobe Acrobat slaagt men erin om een sniffingtool op uw computer te installeren, gemaskeerd onder de vorm van een schijnbaar onschuldige PDF.

Op CVE-2008-2992 kan u nalezen dat het om een zogenaamde “Stack-based buffer overflow in Adobe Acrobat and Reader 8.1.2” gaat. De sniffer die zo geïnstalleerd wordt, kan probleemloos uw FTP wachtwoord doorsturen naar de hackers in kwestie en op deze manier hebben zij toegang tot uw pakket.

Hoe beveiligt u zich hier tegen?

Als hoster kunnen wij u moeilijk beschermen tegen deze hack aangezien het uw lokale computer is die geïnfecteerd werd. Het is belangrijk dat u zo snel mogelijk afstapt van Adobe Acrobat versie 8.1.2 ( of ouder) en meteen de nieuwste versie installeert.

Wanneer u vermoedt getroffen te zijn door iframe injection, dan dient u op z’n minst volgende stappen te ondernemen:

  • Gebruik uw virusscanner om het virus te neutraliseren
  • Nadat het virus verwijderd werd dient u zo snel mogelijk uw FTP wachtwoord aan te passen
  • Verwijder de iframes uit uw broncode
  • Wanneer uw site geblokkeerd werd door Google, gebruik dan hun Webmaster Tool om uit hun blacklist te raken.

Klanten die een uniek IP op hun hosting hebben kunnen ons een aanvraag sturen om de firewall strikter in te stellen. Dit lukt natuurlijk enkel wanneer u via uw internetprovider een vast IP hebt. Op die manier laten wij enkel FTP connecties toe vanuit uw vast IP en kunnen hackers niet inloggen op uw hosting pakket. Dit neemt niet weg dat uw lokale computer nog steeds geïnfecteerd is.

Conclusie

Door een combinatie van injectie op de server en de infectie van u computer wordt een spiraaleffect gecreëerd dat steeds meer mensen in de val lokt. Onze vaststellingen zijn dat het Adobe Acrobat virus enkel FTP gegevens doorstuurt, maar wie weet evolueert het virus in de nabije toekomst en kan men nog veel meer schade aanrichten.