Asprox Virus - Beskyt din hjemmeside og Wordpress Blog
25. July, 2008 skrevet af SaugstrupI disse dage er medierne fulde med historier om den slemme Asprox virus, som installerer sig på hjemmesider på nettet via SQL injection. Det er en rigtig slem virus, som besøgende på inficerede hjemmesider risikerer at blive ramt af. Den går efter netbankkoder og alt andet helligt.
Som indehaver af en hjemmeside (fx en Wordpress Blog), skal du selvfølgelig passe på dine besøgende, så de ikke kommer i vanskeligheder fordi de har besøgt dine sider.
Men hvordan undersøger du om dine sider er ramt, hvordan beskytter du dig præventivt og hvordan rydder du op, hvis din hjemmeside er ramt af denne virus? Til sidst også et Bonus-afsnit om Wordpress sikkerhed.
Sådan undersøger du om din hjemmeside er inficeret:
Der er både en let og en svær måde at tjekke om din hjemmeside er inficeret med Asprox.
Den svære: Tjek hele dit sites kode igennem, eller brug fx Xenu til at tjekke alle dine udgående links og se om noget er forkert. Det er et script som kalder en .js fil som du skal holde øje med. Det ser i koden ud nogenlunde som på dette billede.
Den lette: Hvis dit site er godt opdateret i Google, kan du vælge at stole på Googles kopi af dit site i stedet. Det er noget lettere. Gå ind på Google.dk og skriv en søgesætning som denne, hvor du erstatter mit domæne med dit. Det skal gerne være rent og pænt, hvis du ikke har javascrips kørende på dine sider. Hvis der bliver fundet noget a la ngg.js, b.js eller m.js, er der grund til bekymring. Se fx hér hvordan det helst ikke skal se ud. (og klik ikke videre fra Google til selve siden med mindre du synes virusangreb på din PC er sjovt).
Den lette løbende kontrol: Du kan bruge Google Alerts til dagligt at holde øje med din hjemmeside eller dine hjemmesider. Bed systemet dagligt om at søge efter: “script src=http:” .js site:saugstrup.org hvor du igen sætter dit eget domæne i stedet for mit. På den måde får du besked automatisk, når google opdager en .js på din hjemmeside.
Sådan beskytter du din hjemmeside mod Asprox angreb
Der er to metoder til beskyttelse af din hjemmeside, den nødvendige og overbygningen.
Den nødvendige: Hold altid din hjemmeside opdateret med de seneste sikkerhedsopdateringer. Hvis du bruger Wordpress som CMS eller blog, så skynd dig at opdatere til version 2.6. Husk også at holde alle plugins og tilføjelsesprogrammer opdaterede.
Overbygningen: Denne er lidt avanceret og på eget ansvar. Du kan vælge at blokere adgangen til din hjemmeside for de domæner som er kendte for at inficere hjemmesider med virusen. Det gør du i .htaccess filen. Tag fx udgangspunkt i disse lister over domæner og skab tilføjelsen til din .htaccess med dette værktøj.
Sådan fjerner du Asprox fra din hjemmeside eller Wordpress blog
Når du er blevet ramt af en SQL-injection, så skal du have slettet det, som er blevet sprøjtet ind i databasen. Derefter skal du sikre dig at det ikke kan ske igen. Det gør du ved at opdatere fx Wordpress og alle plugins, ved at skifte brugernavne og adgangskoder til logins og evt til databaselogins (husk at opdatere wp-config-filen). Du bør også installere et sikkerhedsplugin, og sørge for backup af din database løbende.
Jeg går med vilje ikke i detaljer om hvordan du fjerner problemet igen, da det kan variere en del fra sag til sag, og fordi det kan smutte, hvis du ikke ved hvordan du gør.
Når du har fjernet skidtet, så skal du også overveje at gøre Google opmærksom på at din side nu er ok via et Reconsideration Request
Bonus: Sådan opdager du angreb på din Wordpress hurtigt:
Denne artikel har handlet om Asprox, og nogen vil sikkert sige at den virus slet ikke er så udbredt eller så farlig eller at den ikke rammer Wordpress blogs typisk. Om de har ret eller ej er faktisk ikke så vigtigt. Det vigtige er at du kommer mere på forkant med beskyttelsen af din Wordpress Blog, så du ikke udsætter dine besøgende for virus, grimme links og andre ondartetheder nu eller i fremtiden.
Godt, lad os så få indført lidt mere automatisk overvågning af din blog med Google Alerts, nu hvor vi er i gang!
Jeg har set en del til angrebne Wordpress Blogs (og har behandlet dem), og hér er nogle typiske ting at kigge efter: Piller, Porno, Poker, .js og iframes! Det er de typiske resultater af angreb med SQL injection mv. Dit site bliver fx fyldt med skjulte links til slemme sider, eller dine besøgende bliver præsenteret for iframes, som forsøger sig med installation af virus.
Her er et forlag til søgesætninger, som du bør sætte på i Google Alerts for at holde øje med den slags injektioner på din blog:
- viagra site:dinhjemmeside.dk
- cialis site:dinhjemmeside.dk
- poker site:dinhjemmeside.dk
- casino site:dinhjemmeside.dk
- sex site:dinhjemmeside.dk
- porn site:dinhjemmeside.dk
- “script src=http:” .js site:dinhjemmeside.dk
- “iframe src=http:” site:dinhjemmeside.dk
Du kan også lige se nærmere på dette værktøj til at tjekke dine udgående links for snavs.
Resumé: Top 3 tiltag
- Hold din Wordpress opdateret
- Hold dine plugins opdaterede
- Hold øje med dine udgående links, scripts og iframes med Google Alerts
Spørgsmål, gode råd og erfaringer kom frit frem! 
24. Jul, 2008 klokken 14:06
Super artikel Anders! god med noget fokus på den slags, og forhåbentlig vil folk tage ansvaret og tjekke deres sites, falder desværre næsten dagligt over sites/kode hvor der er mulighedfor SQL injections, derfor kan viruses/backdoors som denne også sprede sig med lynets hast ligepludselig.
Hvis man har databaseadgang kan man med fordel også lige søge alle sine brugerinputs tabeller igennem for <script fx
select * from din_tabel WHERE dit_felt LIKE ‘%<script%’; så burde man sådan set fange det meste.
Tror ikke det er helt nok at søge efter .js da javascript også vil blive afviklet hvis filen har en anden filendelse
24. Jul, 2008 klokken 14:11
Tak, Martin!
Man kunne godt ønske sig et bedre tool, ikke? Sådan en webservice, der holdt øje med det hele for en - for den liste af sites, som man havde angivet som sine egne.
24. Jul, 2008 klokken 14:24
Det er jo bare lappeløsninger det her? Hvilket hul bruger den til at komme ind ad? hvad gør den når den er kommet ind osv?
Det der svarer jo til at min krimi kun indeholder sidste kapital der fortæller hvem morderen er.
Op på hesten igen!
24. Jul, 2008 klokken 14:31
“Du kan bruge Google Alerts til dagligt at holde øje med din hjemmeside eller dine hjemmesider. Bed systemet dagligt om at søge efter: “script src=http:” .js site:saugstrup.org”
Hvad nu hvis jeg for eksempel bruger Google Analytics? Så vil jeg modtage en mail hver gang alerts kommer forbi.
Er der ikke noget mere konkret eller skifter den navn hele tiden?
24. Jul, 2008 klokken 14:43
Mike, tak for din kommentar. Næste gang er du velkommen til at kommentere uden at være anonym.
Du har ret i at jeg kunne skrive meget mere om Asprox og hvordan den virker og hvilket hul den bruger osv. Sagen er bare at det ikke er interessant i denne forbindelse. Det interessante er at løse problemerne, så du ikke længere kommer til at servere virus for dine besøgende. Resumet til sidst opsumerer hvordan du gør det. Denne blog bevæger sig nogle gange ud i nogle ret tekniske områder, men forsøger hele tiden at holde fast i: Hvad betyder det for mig og min blog og hvordan gør jeg helt konkret? Kan du følge mig? Der er i øvrigt masser af links til indholdsrige sider i mit indlæg som linker videre endnu osv, så bare klik løs!
24. Jul, 2008 klokken 14:47
Hej Allan
Jeg er ikke 100% sikker på at jeg forstår dine spørgsmål rigtigt, så sig lige til, hvis jeg går galt i byen.
Google Alerts besøger ikke din hjemmeside - det gør googles almindelige webcrawler - uanset om du kører med Google Alerts eller for den sags skyld Analytics.
Google Alerts laver bare en automatisk søgning i Googles egen søgemaskine, så den berører ikke dit site direkte.
Ja, den skifter navn hele tiden. Prøv at se nærmere på dette site, som jeg også linker til i indlægget:
http://www.dynamoo.com/blog/labels/Asprox.html
24. Jul, 2008 klokken 14:50
Bravo Anders! Mere er der ikke at sige om den sag.
24. Jul, 2008 klokken 14:52
@saugstrup:
OK, så har jeg misforstået Alerts en smule. Så lærte jeg også noget i dag.
Google Analytics bruger også .js, så derfor vil den stump kode resultere i en mail fra Alerts.
Det er selvfølgelig en mindre pris at betale i forhold til at opdatere en virus på hjemmesiden.
24. Jul, 2008 klokken 15:08
Tak, Rosenstand!
24. Jul, 2008 klokken 15:08
Ok, Allan, nu forstår jeg.
Det er muligt at du får sådan en advarsel, men det sker sikkert kun første gang. Næste gang tror jeg kun der meldes om nye forekomster, så det går nok, som du også skriver.
24. Jul, 2008 klokken 16:39
Thumbs up!
24. Jul, 2008 klokken 19:03
Jeg takker mange gange for den super grundige artikel Anders. Tak herfra igen…
24. Jul, 2008 klokken 20:30
troede du var på ferie
Lækkert arbejde
24. Jul, 2008 klokken 20:39
God artikel Anders.
-> Riisager: Anders bor i grækenland = han er altid på ferie
24. Jul, 2008 klokken 20:40
LOL ja
24. Jul, 2008 klokken 23:33
Vil du ikke nok gå over til at præcisere, hvilket WordPress, der er tale om? Det er nemlig altid de self hostede bloggere fra WordPress.org, der samler problemer op.
Bloggere fra WordPress.com får aldrig problemer.
Det er lidt irriterende for WordPress.com bloggerne med alle de falske advarsler, som .org folkene fra WordPress giver anledning til. Hos .com delen af WordPress har bloggene altid været rene.
Det er galt med nuanceringen i pressen også. Selv de specialiserede IT-magasiner, som burde vide, hvad der er hvad, kan ikke skelne de to selskaber fra hinanden.
25. Jul, 2008 klokken 00:32
Tak skal i ha’!
Riisager, Lars har helt ret: Man er altid på ferie, når man bor i Grækenland! Det var meningen at jeg skulle have været på strandferie med familien tredie dag træk i dag, men min dreng er ved at få sine canine-tænder, så vi valgte at smutte hjem for nu - og vende tilbage til vandkanten snarest!
Tak for de pæne ord fra alle!
25. Jul, 2008 klokken 00:38
ikke_nogen, jeg ved ikke om den hostede version af wordpress også kan blive ramt - sikkert ikke.
Her på bloggen er det altid wordpress.org, vi snakker om. Jeg kan godt følge dig i at alle nyhederne om wordpress.org kan være forstyrrende, når man ikke selv har en wordpress installation at lege med. I er i en meget anderledes situation både hvad angår muligheder/begrænsninger og sikkerhed/risiko.
Samtidig er jeg fortrøstningsfuld, for jeg ved, at hvis du mener det med blogging alvorligt, skal du nok ende på en rigtig wordpress installation, så du kan alt det du gerne vil kunne.
25. Jul, 2008 klokken 01:53
Fantastisk, fantastisk post. Tak for det.
25. Jul, 2008 klokken 12:04
Genial artikel, Anders.
25. Jul, 2008 klokken 12:04
Rigtig rigtig god artikel. Det er faktisk super fedt med en overskuelig måde at tjekke sin Wordpress for virus og andet skidt. Jeg har lavet mange WP-installationer og enkelte har faktisk været ramt af hackere og virus-angreb, og jeg er enig med mange af kommentarerne her - det handler sulme om at sikre sine installtioner og så ellers tænke sig om og evt. købe noget antivirus-software til pc’en.
God sommmer og god weekend derude!
25. Jul, 2008 klokken 14:40
Tak, Niels og Hans!
Specielt metoden med at sætte Google Alerts op som sql injection-vagt kan jeg lide fordi det bare skal gøre en gang og så gør maskinerne arbejdet for os.
Løbende opdatering af Wordpress og plugins bliver forhåbentlig let lettere en dag, så vi ikke skal bruge så mange manuelle minutter på den slags.
26. Jul, 2008 klokken 11:07
Jeg takker for en super god og grundig gennemgang Anders
27. Jul, 2008 klokken 10:01
Tak, Dennis! Så den anden dag på din blog at du også var stødt på hjemmesideangreb - den post med den hackede sommerhushjemmeside. Det er “oppe i tiden” at smadre hjemmesider, lader det til.
27. Jul, 2008 klokken 17:24
Tak for fin artikel.
29. Jul, 2008 klokken 07:37
Super artikkel, det var lige hvad jeg sad og ledte efter
29. Jul, 2008 klokken 07:52
Selv tak, Kim!
Allan, godt at du kan bruge den. Jeg kan afsløre fra statistikkerne, at du bestemt ikke er den eneste, der har søgt den slags informationer i de sidste dage
29. Jul, 2008 klokken 11:57
Super vigtig artikel endda… Se lige denne nyhed om Asprox:
http://ing.dk/artikel/89835
4. Aug, 2008 klokken 16:55
Tak for en fin gennemgang af Asprox.
Jeg har selv været inficeret af den. Den lagde scripts ind på 7 hjemmesider, jeg administrerer - på 4 forskellige servere!
Jeg har nu fjernet skidtet ved at gennemgå al HTML - og fået min pc renset effektivt for spyware!
Men jeg kan jo se, at der er rigtig mange danske hjemmesider, der er inficeret:
Søger man f.eks.
“script src=http” ngg.js
på Google, får man over 17.000 inficerede sider (på dansk). Mange af dem er uden advarslen: “Dette websted kan beskadige din computer”. Er dette ikke et kæmpeproblem? Her er det vel kun et fuldt opdateret virus/spywareprogram, der hindrer, at maskinen inficeres?
Og hvad gør disse scripts egentlig, hvis de ikke bliver hindret i at afvikle sig på maskinerne?
4. Aug, 2008 klokken 18:04
Hej Erik og velkommen til!
Ja, det er virkeligt et omfattende problem. Jeg er fx to gange stødt på ngg.js bare ved at surfe almindeligt rundt på den danske del af internettet. Der er tale om en stor udbredelse.
Mht effekten af at få asprox virus på sin computer, så er jeg ikke eksperten at spørge (måske en anden som læse med vil byde ind?), men et godt gæt er at det handler om at stjæle dine adgangskoder samt at bruge din computer som zombie i et botnet, som fx kan bruges til at sprede virus eller andet ondt.
7. Aug, 2008 klokken 04:35
Det er vist lige præcis det eksperterne siger den gør Anders, i hvert fald de danske eksperter - hvis man kigger lidt på fx Symatec thread advisory, så står der at Asprox er en trojan som bruges til at skabe zombie netværk - så langt så godt, men de vurderer den til ikke at være voldsom skadelig for den smittebærende maskine, så det er lidt svært at sige hvem der har ret jo.
Du er forresten omtalt på comon hvis du ikke har opdaget det :), comon.dk/news/asprox-angrebet.haerger.ogsaa.i.danmark_37000.html
7. Aug, 2008 klokken 09:16
Ja Martin, det så jeg i statistikkerne, kan du tro. Denne lille blog fik pludselig godt 1500 helt nye besøgende på et par dage.