26 maja 2010
Czy Twoja witryna na pewno nie zawiera złośliwego kodu?
Jak wiemy, komputerowi przestępcy manipulują wynikami zwracanymi przez wyszukiwarki internetowe, starając się wypromować własne serwisy stworzone z myślą o rozprzestrzenianiu złośliwego oprogramowania lub też nielegalnej dystrybucji rozmaitych specyfików. W celu oszukania popularnych wyszukiwarek oraz internautów, crackerzy uciekają się bardzo często do infekowania tysięcy przypadkowych witryn internetowych. Zobaczmy więc, jak wyglądają i jak zachowują się takie zainfekowane serwisy.
W ostatnim czasie komputerowym przestępcom udało się zainfekować tysiące stron internetowych wykorzystujących najnowszą wersję systemu WordPress. Lista witryn jest naprawdę długa, oto zaledwie kilka przykładów:
- Mindtouch.com (strona domowa popularnego otwartego narzędzia)
- chapters.asmconline.org (American Society of Military comptrollers)
- blog.woodward.edu
- content.hks.harvard.edu
- cima.ned.org (National Endowment for Democracy)
- scripts.mit.edu
- web.mit.edu
- people.oregonstate.edu
- whi.wts.edu
- blogs.hartwick.edu
We wszystkich powyższych przypadkach, intruzom udało się wstrzyknąć do katalogu wp-includes złośliwy skrypt PHP, którego zachowanie różni się w zależności od źródła odwiedzin:
- W przypadku wykrycia znanych robotów wysyłanych przez popularne wyszukiwarki, prezentowana jest lista specjalnie dobranych słów kluczowych (np. viagra, movie downloads, itd.) co ma na celu wpłynięcie na rankingi tworzone przez wyszukiwarki.
- W przypadku wykrycia odwiedzin przez typowego internautę, następuje przekierowanie do witryny kontrolowanej przez przestępców, a zawierającej najczęściej malware lub też handlującej popularnymi specyfikami.
Oto kilka tego rodzaju skryptów umieszczonych na witrynach, których administratorzy prawdopodobnie nawet nie zdają sobie sprawy z zaistniałej sytuacji (poniższe adresy należy odwiedzać z dużą dozą ostrożności):
- http://chapters.asmconline.org/wp-includes/dh1h6/exqdmid.php?gottnci=282270
- http://badminton.mit.edu/wp-includes/js/codepress/images/numbers.php?p=vente-viagra-en-ligne
- http://blog.woodward.edu/SGA/wp-includes/js/crop/queeHoriz.php?p=buy-cialis
Po odwiedzeniu jednego z powyższych adresów, zostaniemy przekierowani na stronę o typowej dla takich sytuacji tematyce:
Jak możemy odnaleźć strony dotknięte atakiem? Poniższe przykładowe kwerendy pozwolą na odnalezienie tysięcy niepożądanych skryptów obecnych na wielu najrozmaitszych witrynach:
W wynikach odnajdziemy między innymi witryny działające w domenie edu.pl. Dokładną postać kodu używanego w tego typu atakach, wszyscy zainteresowani mogą odnaleźć tutaj. Wszystkich administratorów witryn korzystających z systemu WordPress, zachęcam więc do sprawdzenia, czy też przypadkiem ostatnie zmasowane ataki nie dotknęły również zarządzanych przez nich serwisów. Wielu administratorów niestety nie zdaje sobie w ogóle sprawy z zagrożeń obecnych na ich witrynach, dzięki czemu przestępcy spokojnie pomnażają swe zyski...
[źródło]
Subskrybuj:
Komentarze do posta (Atom)