09 czerwca 2010

Kolejne masowe infekcje tysięcy witryn internetowych

środa, czerwca 09, 2010 | Autor: \m/ojtek
W trakcie surfowania po Internecie nasz system może zostać praktycznie w każdej chwili wystawiony na działania złośliwego kodu i wcale nie musi się to odbyć podczas przeglądania rosyjskich witryn wypełnionych po brzegi produkcjami pretendującymi do nagród filmowych AVN. Komputerowi przestępcy uciekają się bowiem w ostatnim czasie coraz chętniej do infekowania przypadkowych witryn internetowych. Właśnie miały miejsce kolejne masowe infekcje tego typu.

Ogromna ilość witryn został w ostatnim czasie zainfekowana kodem wystawiającym odwiedzających je internautów na działanie złośliwego skryptu http://ww.robint.us/u.js. Infekcji uległy zarówno niewielki witryny, jak i znaczące serwisy, takie jak:
  • http://www.intljobs.org
  • http://www.servicewomen.org
  • http://online.wsj.com
  • http://www.asbmb.org
  • http://www.lotl.com
  • http://acsi.org/
  • http://www.cinemathequeontario.ca
Strony dotknięte tym atakiem odnajdziemy za pomocą prostego zapytania skierowanego do wyszukiwarki Google:
Warto podkreślić, że obecność podejrzanego kodu może zostać również wykryta za pomocą serwisu Wepawet (tutaj dostępny jest przykładowy wynik skanowania jednej z witryn).

Wygląda więc na to, że mamy do czynienia z prawdziwą epidemią! Tym co łączy wszystkie powyższe przypadki jest zastosowanie serwera IIS oraz technologii ASP, wydaje się więc, że to spostrzeżenie może stanowić klucz do całej zagadki.

W ostatnim czasie masowej infekcji uległy również tysiące witryn hostowanych przez firmę GoDaddy. W wyniku ataku na wielu stronach internetowych pojawił się malware infekujący wszystkie pliki PHP i skojarzony ze skryptem cloudisthebestnow.com/kp.php. Celem przestępców było w tym wypadku promowanie własnej witryny zawierającej scareware.

Jako, że jest to już kolejny tego typu przypadek epidemii pośród witryn utrzymywanych przez GoDaddy, wygląda na to, że serwery tej firmy zawierają jakąś lukę za pośrednictwem której przestępcy są w stanie dokonywać masowych infekcji. Porady pozwalające na usunięci złośliwego kodu z własnych serwerów można znaleźć pod tym adresem.

Podsumowując, już dawno minęły czasy, gdy natknięcie się na złośliwą witrynę możliwe było niemal wyłącznie podczas przeglądania stron wysokiego ryzyka. Infekowanie niegroźnych na co dzień witryn jest z pewnością z punktu widzenia przestępców bardzo skuteczne, dlatego też należy się w przyszłości spodziewać jeszcze większej liczby tego rodzaju zdarzeń.

[źródło]
Etykiety: , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.