Навигация > Главная страница / Безопасность / Взлом сайтов

Взлом сайтов

1 Star2 Stars3 Stars4 Stars5 Stars (3 Голосов. Средний балл: 4,33 из 5)
Loading...Loading...
Опубликовано в рубрике: Безопасность

вирус

Интересно прочесть: Функциональные комментарии WordPress — эта статья (с подробными примерами и заметками) о том, как сделать дискусию в блогах более удобной.


Предыстория.
Буквально на днях была следующая ситуация: на одном из моих компов, Windows вот-вот должна была «склеить лапки». Поэтому, я её с удовольствием «снёс» и с помощью бэкапа установил новую, а заодно решил опробовать Outpost Security Suite PRO 2009.
Установил (заранее скаченную 30-ти дневную версию) PRO 2009, прошёлся по настройкам, полез в интернет. …Первый вылет из Windows я получил буквально через несколько секунд пребывания в сети. Произошло это, когда Outpost создавал правило для Оперы.
В общем, за двое суток нашей «дружбы» с PRO 2009, я получил таких вылетов около 15-ти. Как правило, они происходили в тот момент, когда программа создавала правило для какого либо приложения, которое просилось в Интернет. Самое интересное, что фаервол выдал такой «подарок» после всех браузеров, пейджера, качальщика файлов, но зато переключатель раскладки клавиатуры беспрепятственно, без моего ведома, вышел в сеть, и радостно сообщил мне о выходе новой версии. Эта же ситуация повторилась и с видео проигрывателем. Можно только догадываться, какие ещё приложения, и куда, лазили без моего ведома.)

Не выдержав издевательств, Windows стала хромать на всё, что только можно.) Поэтому было принято решение умертвить несчастную, путем форматирования, с последующим воскрешением через бэкап.
…Здесь начинается самое интересное: после того, как был дан старт, и Windows пошла на свою последнюю перезагрузку, от фаервола выскочило сообщение — winlogon.exe запрашивает доступ на адрес prevedvsem123.cn…!

Я записал этот адрес, и со второго компьютера начал поиски по Интернету — что это за таке? Оказалось, что это троян (Trojan-Spy.Win32.Goldun.bdu), ворующий пароли, регистрационные данные и другую конфиденциальную информацию. При этом если среди украденных данных были пароли от ваших сайтов или от их FTP, то после этого, злоумышленники внедряют к Вам на сайт фреймы.

С помощью этой заразы, в период с16 по 18 октября было взломано очень много сайтов.

Вот этот скрипт подгружал фрейм с сайта prevedvsem123.сn,  в результате чего, посетители заражённых сайтов получали в подарок троянца (под видом PDF). Как можно увидеть из названия домена, то потрудились наши медведы.)

Признаки заражения компьютера:

  • различными антивирусами может, определятся как: Trojan-Spy.Goldun! Sd6, Trojan-Spy.Win32.Goldun.bdp, Backdoor:Win32/Haxdoor, Generic PWS.y, Infostealer, Trojan Horse, Mal/TinyDL-T.
  • вирус помещается в C:\Windows\System32 (Windows XP),
  • в реестре создаются новые ключи, поэтому нужно искать:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache]
    Persistent = 0x00000000
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acpiz]
    DllName = 61 63 70 69 7A 2E 64 6C 6C 00 00 00
    Startup = «acpiz»
    Impersonate = 0x00000001
    Asynchronous = 0x00000001
    MaxWait = 0x00000001
    adr97 = «[CA24A356577DF03D1]»

  • в систему устанавливается библиотека acpiz.dll.

  • Признаки заражения сайта:

  • при посещении сайта видим ошибку, и происходит редирект на домен prevedvsem123.cn (или CL-AMG-63.com),
  • невозможно зайти в админку сайта,
  • в первую очередь, вредоносные скрипт прописывается в файл index.php, а после этого по остальным файлам с расширением php, shtml, html, asp, phtml. Поэтому ищите именно там.
  • Внимание! Скрипт может быть прописан в одну строчку и со значительным смещением вправо. Это для того, что бы код не бросался в глаза.

    Свой блог проверил, ничего подозрительного не нашёл. Скорее всего, подхватил трояна незадолго до переустановки винды, и поэтому он ещё не успел напакастить.

    Да, если кому интересно, версия файла Оутпоста — 2358,316,607,315.
    P.S.
    Как, владельцы сайтов, должны подготовится к таким ситуациям? Об этом поговорим в следующий раз.


    Эксклюзивный материал об особенностях отдыха, достопримечательностях острова Бали. Отдых на Бали — это загадочная атмосфера острова, белоснежные пляжи, разнообразие фруктов, таинственные мангровые заросли.

    Новости Недвижимости

    Специальное предложение — создать сайт бесплатно.

    FreeBSD, Internet, Programming, Security на blog. mult edition.


    Не ленись - на RSS подпишись!
    Buzz vkontakte

    Оставить комментарий: