БЛОГ


Сайты ломают, такое случается, причины разные, основные, это несвоевременное обновление расширений и кража паролей с компьютера администратора.


Остановимся немного подробнее на кражах паролей, в первом случае это может быть банальный вирус на компьютере, во втором, сохранённые в браузере пароли. Сохранять пароли конечно удобно, не нужно вводить при каждом входе в панель управления, особенно если нужно вносить материалы по нескольку раз в день.

В январе 2018 года специалистами различных компаний было зафиксировано несколько нестандартных подходов к краже учетных данных. Например, на стороннем, взломанном сайте размещается JS, посетителю, просматривающему сайт, подгружается скрипт, который просматривает сохранённые адреса и пароли от наиболее популярных CMS (/admin, /wp-admin, /administrator).

Также замечены кейлогеры распространяемые через поддельные домены Cloudflare, которые через JS также похищают пароли от панелей управления сайтами и хостингом.

Не так давно ко мне обратился заказчик с повторным заражением сайтов,  чему я был немало удивлен, поскольку считал, что закрыл все «дыры».

Опубликовано в БЛОГ

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Опубликовано в БЛОГ