Aanvallen op OpenX v2.8.2 gemeld

Op zaterdag 10 april 2010 begonnen diverse gebruikers van OpenX v2.8.2 problemen te ervaren met hun ad server. Die problemen zijn nu herleid naar het security probleem waarover ik in december 2009 al schreef. Hieronder een verslag van de zoektocht naar de oorzaak en aanbeveling om dergelijke problemen te voorkomen

Eerste symptoom: statistieken verdwenen

De eerste symptomen waren dat de statistieken in OpenX verdwenen waren. Ik heb meldingen op het OpenX forum gezien en een paar mensen hebben contact met mij opgenomen. Gelukkig ware de statistieken niet echt weg, ze zaten nog steeds in de database en de uitlevering van banners ging gewoon door. Dit konden we vaststellen door de database te inspecteren en de tabellen te raadplegen waarin de statistieken worden bijgehouden.

Oorzaak: hacks in oudere versies

Terwijl we bezig waren dit probleem te onderzoeken, ontdekte mijn collega-OpenX consultant Matteo Beccati dat er een hack was geweest, gebruik makend van de security leak in OpenX v2.8.2 die lang geleden al was verholpen. Helaas had niet iedereen de tijd genomen om een upgrade uit te voeren, waardoor hun systeem kwetsbaar was voor dergelijke aanvallen.

Het bleek dat de aanvaller dit lek gebruikt had om een extra ‘administrator’ user aan te maken. Vervolgens werd via deze user een OpenX plugin veranderd die zorgt voor de beschikbare banner types. Deze plugin bevatte kwaadaardige code die een ‘backdoor’ in de server plaatst. Een bijwerking was dat een paar regels in de database werden veranderd, en dat resulteerde in het verdwijnen van de statistieken op het scherm.

Uit de logs die we hebben bestudeerd bleek dat het gaat om een geautomatiseerde aanval. De aanvallen die we hebben kunnen bestuderen kwamen allemaal van hetzelfde IP adres in Itali├ź.

Remedie: upgrade naar v2.8.3 of hoger

Wie nog met OpenX v2.8.2 of eerder werkt, en nog niet ge├»nfecteerd is, kan het beste zo snel mogelijk upgraden naar een meer recente versie. Als het nog even duurt voordat dit kan worden uitgevoerd, dan is het aan te raden om de bestandjes install.php en install-plugins.php uit de ‘www/admin’ directory van OpenX te verwijderen, aangezien dat de bestanden zijn die worden gebruikt voor de hacks.

Als het systeem echter al is aangevallen, dan heeft een upgrade geen zin. De gemuteerde plugin wordt dan namelijk gewoon meegenomen naar de nieuwe versie, en de eventuele veranderingen in de database ook. Het is dan noodzakelijk om eerst de kwaadaardige code te verwijderen.

Update

In latere maanden hebben we dergelijke hacks nog vaker gezien. De hacker heeft kennelijk bijgeleerd, want het probleem met de ontbrekende statistieken komt niet meer voor. Wel wordt nog steeds kwaadaardige code geplaatst. Als gevolg daarvan wordt de ad server of de site waarop de banners worden uitgeleverd na korte tijd door Google’s Safe Browsing tool als gevaarlijk bestempeld.

Niet alleen versie 2.8.2 is vatbaar voor dit probleem, dat geldt voor v2.8.0 en v2.8.1.

About Erik Geurts - onafhankelijk OpenX Source Specialist

Erik Geurts is een zeer ervaren onafhankelijk OpenX Source specialist, OpenX Source hosting provider en plugin ontwikkelaar. Hij is sinds eind 2003 actief betrokken bij de OpenX community, onder andere als trainer en consultant. Hij is ook eigenaar van een bedrijf dat hosting van de OpenX Source software verzorgt, en daarnaast geavanceerde plugins voor OpenX Source ontwikkelt. Erik Geurts heeft als OpenX consultant gewerkt voor honderden bedrijven in tientallen landen.

OpenX Source Ad Server