forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Сети зафиксированы серверы, распространяющие вредоносное П..."
Отправлено opennews, 03-Апр-13 16:36

Около двух тысяч серверов, использующих различные дистрибутивы Linux, оказались (http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../) жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу Apache и осуществляющего (http://malwaremustdie.blogspot.ru/2013/03/the-evil-came-back...) подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга.

Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых версий панелей управления хостингом Plesk и Cpanel, а также использование паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным ПО клиентских машинах, или через перебор типовых паролей. Также не исключается попадание в руки злоумышленников базы паролей (http://www.webhostingtalk.com/showthread.php?t=1235797&page=84) клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.

Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного кода).
Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. Для определения примерного числа поражённых машин исследователи из компании Cisco использовали анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.
URL: http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36573

Исходное сообщение
"В Сети зафиксированы серверы, распространяющие вредоносное П..." Отправлено opennews, 03-Апр-13 16:36
Около двух тысяч серверов, использующих различные дистрибутивы Linux, оказались (http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../) жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу Apache и осуществляющего (http://malwaremustdie.blogspot.ru/2013/03/the-evil-came-back...) подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга. Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых версий панелей управления хостингом Plesk и Cpanel, а также использование паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным ПО клиентских машинах, или через перебор типовых паролей. Также не исключается попадание в руки злоумышленников базы паролей (http://www.webhostingtalk.com/showthread.php?t=1235797&page=84) клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем. Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного кода). Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. Для определения примерного числа поражённых машин исследователи из компании Cisco использовали анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов. URL: http://arstechnica.com/security/2013/04/exclusive-ongoing-ma.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=36573

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Около двух тысяч серверов, использующих различные дистрибутивы Linux, оказались (http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/) 
> жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу 
> Apache и осуществляющего (http://malwaremustdie.blogspot.ru/2013/03/the-evil-came-back-darkleechs-apache.html) 
> подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей 
> хостинга.

> Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности 
> дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации 
> неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов 
> проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых 
> версий панелей управления хостингом  Plesk и Cpanel, а также использование 
> паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным 
> ПО клиентских машинах, или через перебор типовых паролей. Также не исключается 
> попадание в руки злоумышленников  базы паролей (http://www.webhostingtalk.com/showthread.php?t=1235797&page=84) 
> клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.

> Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурирую 
> серверы, обслуживающие web-ресурсы крупных компаний, таких как The Los Angeles Times 
> и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление 
> вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка 
> вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода 
> одному и тому же пользователю и с игнорированием подсетей, фигурирующих в 
> системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым 
> ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного 
> кода).

> Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. 
> Для определения примерного числа поражённых машин исследователи из компании Cisco использовали 
> анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений 
> к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик 
> модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 
> поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 
> сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.

> URL: http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=36573

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру