RSS лента

Блог QRZ.RU

Последствия кражи паролей или о необходимости антивирусов

Оценить эту запись
09.11.2009 в 13:10 (3188 Просмотров)
Предупреждаю о массовом распространении вирусов и троянов, ворующих пароли ftp, в том числе для домашних страниц радиолюбителей.

Подобные вирусы заражают компьютер при загрузке инфицированной страницы браузером, для которого не установлены последние обновления, связанные с безопасностью. Заражённый таким образом компьютер перехватывает логины и пароли ftp, используемые для загрузки файлов на сервер, подключается с этими данными по ftp и добавляет в файлы на сервере код загрузки своей копии. Обычно это выглядит так:

Код:
<iframe src="http://..." width=1 height=1></iframe>
Инфицированные таким образом сайты также начинают распространять вирус.

Если вы обнаружили подобные изменения на страницах своего сайта, то настоятельно рекомендуем сделать следующее:
  • проверить все компьютеры, имеющие доступ к ftp, на наличие вирусов,
  • удалить внесенные вирусом изменения на своих сайтах,
  • сообщить на admin (at) qrz.ru об этом факте - мы изменим пароль для вашего ftp-аккаунта
  • никогда не сохранять пароли в программах ftp-клиентах!

Схема атаки

Ниже приведенная схема демонстрирует технологии и методы, часто используемые злоумышленниками для создания ботнетов и подготовки плацдармов для рассылки спама:
  1. Взлом страниц радиолюбителей.
  2. Размещение на скомпрометированных сайтах страниц, перенаправляющих посетителей на спамерские сайты.
  3. Размещение на сайтах радиолюбителей ссылок на эксплойты.
  4. Построение ботнета (сети) из зараженных компьютеров посетителей скомпрометированных сайтов.
  5. Кража паролей к сайтам скомпрометированных пользователей.
  6. Загрузка на машины, входящие в ботнет, спам-ботов для рассылки спама и других вредоносных программ.

Данные методы позволяют злоумышленникам организовать хорошо отлаженный процесс, который в идеале является зацикленным.

Встречаются также разновидности ботнетов, когда после кражи пароля на хостинг закачивается perl-скрипт, который запускается на исполнение и сразу же удаляется с диска, оставляя после себя только работающий процесс в памяти. Запуск таких скриптов осущестляется в несколько этапов:
  1. по FTP закачивается perl-скрипт (спам-сервер) и php-скрипт
  2. через броузер вызывается php-скрипт, который содержит в себе вызов функции exec (либо аналогичные) для запуска perl-скрипта
  3. perl-скрипт запускается, и удаляет файл php-запуска, и сам perl-скрипт.

Таким образом на диске чисто (файлы удалены), а спам-скрипт начинает генерить миллионы спам-писем, получая их от сервера злоумышленника.

Именно поэтому на хостинге отключен вызов следующих PHP-функций:
exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source

Кстати если вы используете php на хостинге для отправки почты, которая не доходит до ящиков - тут также может быть причина (из-за периодических спам-атак адрес хостинга может быть занесен в т.н. черные списки)

Нелишне конечно напоминать о необходимости обновлять свой антивирус - по крайней мере это снизит риски подобных проблем

Отправить "Последствия кражи паролей или о необходимости антивирусов" в Google Отправить "Последствия кражи паролей или о необходимости антивирусов" в Yandex Отправить "Последствия кражи паролей или о необходимости антивирусов" в BobrDobr Отправить "Последствия кражи паролей или о необходимости антивирусов" в StumbleUpon Отправить "Последствия кражи паролей или о необходимости антивирусов" в Digg Отправить "Последствия кражи паролей или о необходимости антивирусов" в del.icio.us Отправить "Последствия кражи паролей или о необходимости антивирусов" в Memori

Метки: qrz
Категории
QRZ.RU , QRZ.RU

Комментарии

Трекбэков

Похоже, что вы используете блокировщик рекламы :(
Форум QRZ.RU существует только за счет рекламы, поэтому мы были бы Вам благодарны если Вы внесете сайт в список исключений!
как отключить
×
Рейтинг@Mail.ru
eXTReMe Tracker
Яндекс.Метрика