Полмиллиона серверов IIS попали под атаку

    В интернете распространяется эпидемия нового вируса, который эксплуатирует уязвимость в популярном веб-сервере Microsoft Internet Information Server. С заражённых сайтов осуществляется редирект на сайт с вредоносным кодом.

    Определить факт заражения можно по появлению новой строчки в коде страниц.



    Похоже, эпидемия приобретает глобальный масштаб. Первой на это обратила внимание антивирусная компания Panda Security, которая оценила количество поражённых серверов IIS в 282 тыс., но не прошло и суток, как компания F-Secure подняла планку до 500 тыс. Собственно, такую же картину показывает поиск через Google.



    Эксперты предупреждают: если раньше, чтобы избежать заразы, нужно было воздерживаться от посещения сомнительных сайтов, то теперь подхватить трояна можно даже при посещении вполне респектабельного сайта, на котором установлен IIS.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 105

      +12
      Помню когда появилось сообщение о серьезной дыре в ядре linux, обновление вышло через час(sic!)
      Вендекапец близок как никогда
        +5
        По моему автор просто врёт выдавая желаемое за действительное. Где написано что это вообще IIS? Где это было написано ранее? Какое отношение "SQL injections" имеет к IIS? Смешные, ей богу...
          0
          зря автора минусовал кто-то. действительно по приведенной выше ссылке на F-Secure говорится о SQL injection
            +1
            Ничего-ничего, это совсем не больно :-)
          –1
          да да, венда опасносте
          • UFO just landed and posted this here
              0
              Какой вы молодец...
              • UFO just landed and posted this here
                  0
                  троль сразу зарегился для проверки кода.

                  scriptsrc
                  Зарегистрирован:25 апреля 2008 21:16
                    0
                    Как мы видим - не получилось.
                    • UFO just landed and posted this here
                • UFO just landed and posted this here
                +2
                Ужасный бред.
                Сама новость - желтушная.
                Если пройдете по ссылке Fsecure, то внизу прочитаете:

                We've been receiving some questions on the platform and operating systems affected by this attack. So far we've only seen websites using Microsoft IIS webserver and Microsoft SQL Server being hit. Do note that this attack doesn't use any vulnerabilities in any of those two applications. What makes this attack possible is poorly written ASP and ASPX (.net) code.

                Очевидно нашли серьезную уязвимость в каком-то очень распространенном движке, или использовали сразу несколько уязвимостей в разных движках.

                Но на данный момент нету ни одного факта, подтверждающего, что эта дыра относится к IIS или MSSQL, зато какой 3.14здеж подняли, ламера.
                  +1
                  сорри за незакрытый болд...
                  +1
                  Для тех кому интересно (Published: April 17, 2008)
                  http://www.microsoft.com/technet/securit…
                  Читаем и убеждаемся - нормально настроенные системы неподвержены, те где покопались быдло-админы - несомненно.

                  А вообще изощренная атака - захавать токен одного приложения и через него получить ЛокалСистем на другое - я даже не очень хороше представляю через что такое возможно, а уж найти такое - высший пилотаж..
                  –1
                  Еще пару таких эпидемий и IIS конец
                    +1
                    Не так быстро, как мы надеемся. Ведь существуют кучи корпораций, которые девжат свои Web-сайты на IIS и им проще дождаться запоздалого, но гарантированного патча, чем снова напрягать разработчиков, в том числе и российских, чтоб перенести сервер на Apache. Хотя камешек, конечно увесистый.
                      0
                      А почему вы на это надеетесь?
                      Какая вам от этого польза как веб разработчику? Это даже не IE6 :)
                        0
                        От багов и уязвимостей вообще мало кому есть польза, а это - так, привычное злопыхательство в сторону крупнейшей в мире софтверной корпорации. Ведь, по большому счёту всем плевать подо что писать, если платят. А основная масса заказов всё равно под IIS/ASP. За это собственно так и уважают тех людей, которые двигают открытые стандарты и бесплатный софт. Но поворчать же всем охота. ;) Тем более если не все такие умные, как OpenSource community. И не такие трудолюбивые.
                          0
                          Я имел ввиду польза от гибели IIS :) От уязвимостей конечно нету пользы.
                          Ваш ответ понравился. Не совсем только заметно что заказов IIS/ASP больше. Как известно спрос рождает предложение. Следовательно народ стремился бы изучать MS технологии. А ведь разбирающихся в них людей на несколько порядком меньше чем людей, работающих на других платформах.
                            0
                            бугага, разбирающихся?!!!
                            скажите правильно - лабающих на пхп, мускуле и т.д. на парядок больше!
                            нормальному человеку глубоко плевать пых или асп перед ним, общие принципы одинаковые
                            п.с. у иисы софтверных дыр сильно меньше чем у того же апача, другое дело, что у мелкомягких хауту на порядок больше, и любая домохозяйка может мнить себя вебдевелопером их прочтя
                            п.п.с. пользы от гибели иисы никому не будет
                              0
                              чем Вы можете это подтвердить? Ссылки в студию на сравнительный анализ уязвимостей апача / иисы.
                              0
                              > лабающих на пхп, мускуле и т.д. на парядок больше
                              Я это и сказал.
                              Любой типуля, подняв на движке свой блог или форум уже мнит себя веб девелопером. Что из этого? Мы не об этих людях говорим.
                            0
                            Хм... Мне казалось в последнее время всё же основная масса заказов идет на JavaEE, а доля ASP.NET даже падает.
                            0
                            Объясню какая польза. Потенциально сейчас мы имеем новый ботнет размером в 500К*N. Лично для меня это лишний спам в ящиках, как минимум.
                              0
                              Были эпидемии и на не IIS сервера. С ними тоже нужно покончить?
                                +3
                                Главная беда IIS - это не IIS как таковой, а монокультура. У Apache существует куча версий, а с учётом того, что многие exploit'ы нужно пересобирать под каждую отдельную сборку... С монокультурой уж точно надо кончать, а IIS - пусть живёт. Главное чтобы его было не так много...

                                В конце-концов Хабр IIS не использует, но колбасит его от этого не меньше...
                                  0
                                  Я объяснил, лишь, почему сейчас я считаю гнев в сторону ISS оправданным. Будь на его месте Апач, ругались бы на него. Другое дело, непонятно, как скоро закрыли бы дырку и там, и там.
                                    0
                                    *IIS
                            –4
                            грязь и винда неистрибимы
                              +2
                              Больше всего мне нравится баннер справа - "Разобраться с вредоносным кодом?" - "Легко" :)
                              Очень в тему :)
                              Флеш-моб что ли им устроить?
                              Накликать и наоставлять комментов типа "вначале разберитесь с собственным кодом" :)
                                0
                                Мой сервер IIS, и ASP.NET приложение с MSSQL работают и радуются)
                                Может кривые руки чьи-то виноваты в такого рода эпидемии?
                                0
                                надеемся, что с apache такого не будет
                                  0
                                  А, вот они, подводные камни перехода на платформу Microsoft для облегчения себе жизни. Хорошо быстро не бывает.
                                    +2
                                    Хорошо и быстро бывает. Но это дорого :)
                                    0
                                    а заплатка выпущена?
                                      +2
                                      хорошая шутка :)
                                        +9
                                        Выйдет через полгода в составе сервиспака :)
                                        +1
                                        оковы тяжкие падут?
                                          0
                                          вообще не понимаю зачем размещать сервера на IIS, разве что ради ASP.
                                          Имхо lamp, lamr(ruby) куда стабильнее будет. Где плюсы от IIS? Кстати, реально было бы интересно услышать о таких плюсах :)
                                            0
                                            У вас часто падает IIS? Или раньше падал?
                                              0
                                              У нас - вы знаете, да, часто падает. И раньше - вообще часто падал. И течёт постоянно. Особенно мне метод решения проблемы нравится - iisreset /restart. Ну сейчас сервак может дней 5-6 простоять, причем непонятно - после одной из заплаток(MS) даже чаще стал падать, было время когда стабильно раз в сутки каждый из 4-х приходилось полностью перегружать, причем если этого не делалось, то он вис сам наглухо, ехать надо было аппаратно перегружать. Статистика вещь неумолимая, но сравнительной дать не могу - альтернативы для Apache у нас нет
                                                0
                                                Блин, я вам сочувствую с такой стабильностью.
                                                У меня за 3.5 года работы на 2х серверах сам IIS не вис ни разу. Да и вообще все равботает как-то само по себе. Перезагружать приходится или с критическими обновлениями или когда сервер переносили на другую площадку. Надеюсь так же и дальше будет работать.
                                                PS. У вас вообще эта проблема ещё актуальна? Могу поспрашивать у знающих людей, вдруг сталкивались?
                                              0
                                              На хабре об этом опасно говорить :)
                                              Вы видели блог IIS? А ASP.NET? Думаете их некому создать?
                                              НЛО доберётся до всех!!!!111
                                                –3
                                                да, действительно, в чем преимущества у .Net Framework перед ПХП? да никаких преимуществ!
                                                  0
                                                  Преимущества есть, но они появляются только на больших и громоздких бизнес приложениях. А их в свою очередь с не меньшим успехом можно писать на Java EE. Более того - был совсем недавно на тренинге по .Net, так там чуть ли не 2/3 утилит и либ - так или иначе портировано с решений для Java.
                                                    0
                                                    хм. можно на джаве, но все что стоит писать на джава можно с таким же успехом написать на .Net. так где же насчет преимуществ и недостатков?
                                                      0
                                                      PHP vs Java

                                                      PHP для малых и средних проектов. Java и ASP - для крупных проектов. Java так же неудобна для малых проектов, как PHP не эффективен для крупных.
                                                        0
                                                        Вы видимо меня не совсем поняли. Я это все понимаю :) . А мое сообщение был сарказм, направленный на то сообщение, на которое я отвечал.
                                                          0
                                                          Ксо! До меня только сейчас дошел сарказм в вашем первом комменте. Виноват. Определенно мне уже пора поспать наконец T_T

                                                          PS: Кстати, я вас не минусовал.
                                                        +1
                                                        Преимущества и недостатки Java EE против .NET очевидны: .NET - это одна платформа. Крутая, могучая, но одна. Java EE - это много платформ. Начиная с SDK - есть версия от Sun, есть Harmony и кончая серверами, контейнерами и прочим. Рассказывать про преимущества и недостатки монокультуры нужно?

                                                        P.S. Про Mono и DotGNU можно забыть - они настолько далеки от состояния, когда их можно рекомендовать в качестве замены .NET, что это даже не смешно...
                                                          0
                                                          Вот только Sun SDK и Apache Harmony придерживаются одних и тех же спецификаций (JSR'ов) от jcp.org. ;)

                                                          JEE это тоже стандарт, независимо от того, в каком контейнере он реализуется. Отличаются только средства обслуживания/администрирования контейнеров, но не JEE-приложения.
                                                            0
                                                            ну вот видите, Вы сами согласны с тем что у монокультуры есть и преимущества и недостатки. вообще непонятно к чему заводить холивар на пустом месте?
                                                    +11
                                                    особенно классно рядом с постом смотрится баннер: Разобраться с вредоносным кодом? Просто! Microsoft
                                                      +2
                                                      А можно ссылку на описание уязвимости IIS? :-)
                                                        0
                                                        Firefox + Noscript.
                                                        • UFO just landed and posted this here
                                                            0
                                                            + в фаерволле блокируем nmidahena.com, aspder.com nihaorr1.com. (вот кстати, можно посмотреть, чей момед)
                                                            Забавно, на сайте f-secure есть ссылочка на проверку уязвимостей, только вот в мозилле я получил —

                                                            Your web browser is not supported
                                                            F-Secure Health Check requires Microsoft® Internet Explorer 6™ or later.
                                                            -----
                                                            Все-таки за них можно не беспокоиться
                                                            Linux Apache
                                                            http://uptime.netcraft.com/up/graph?site=www.f-secure.com
                                                            –2
                                                            Жосики... Не могу сказать что мягкософт чекм то плох, если все перейдут на линукс, будет наблюдаться та же картина.
                                                            Еще один плюс к утверждению 100% защиты не бывает
                                                              +3
                                                              > если все перейдут на линукс, будет наблюдаться та же картина.

                                                              Чисто логически: чтобы быть увереным, что с линуксом будет та же картина, нужно, чтобы линукс копировал все характеристики винды и двигался в том же направлении.

                                                              Вместо этого разница между ними огромна. Свободная лицензия, базарный метод разработки, десятки дистрибутивов, и Сообщество, а не умные дяди, в роли Сусанина лично у меня убивают напрочь всякую уверенность в аналогичном исходе %)
                                                                –2
                                                                умные дяди глупее Сообщества? хехе
                                                                  +1
                                                                  Я этого не писал ни явно ни между строк ни цветом #ffffff ни даже в скрытом div-е :)
                                                                  • UFO just landed and posted this here
                                                                    0
                                                                    умные дядьки навязывают свою правду. майкрософт отменит продажи ХР и купить можно будет только висту. торвальдс и команда прогнется под какихнибудь негодяев и начнет пихать в ядро разное непотребство - сообщество пошлет их на хуй и форкнет ядро
                                                                      –1
                                                                      и че ты этим хотел сказать? хочешь холивара? пожалста - линукс говно, потому что похоже на резиновый член.
                                                                  0
                                                                  А при чём тут Linux? И ты считаешь что IIS распространённей во много раз, чем LAMP?
                                                                    0
                                                                    100% защиты нет, не хакнут так задосят, так, ради злобы) Но на счет популяризации платформы вы не правы, LAMP более распространена но таких проколов меньше. Тут дело абсолютно не в этом, опуская более продуманную архитектуру Линукса (тут и так все понятно) я скажу что в этом открытый софт намного лучше, кто-то очень умный найдет дыру, а кто-то еще умнее тут же найдет как ее закрыть, а "счастливые" обладатели IIS будут сидеть и ждать пока МС не шевельнется. Вот в чем главное преимущество Apache перед IIS - в открытости.
                                                                    0
                                                                    Вот так всегда. Никто толком не выяснил, в чем уязвимость заключалась, а уже копья начали ломать :)
                                                                      0
                                                                      Где именно SQL Injection в IIS сделать можно? :)))
                                                                        0
                                                                          0
                                                                          Прошу прощения, nihaorr1
                                                                            +1
                                                                            http://www.nihaorrАДИН.com/АДИН.js
                                                                              0
                                                                              Понял, но трояна не увидел :) Какая-то китайская хрень.
                                                                          +1
                                                                          А кстати - вы проверяли результаты? для русского гугла выдаёт 317000 страниц(в том числе и английских), для .com 128000... у меня полмиллиона никак не получается. И кстати ещё - не поленитесь и гляньте на страничку, которую автор приложил....лучше с поиском IIS. я тоже не нашел ничего....опять холивар захотелось, в такой день прекрасный!
                                                                          • UFO just landed and posted this here
                                                                            • UFO just landed and posted this here
                                                                                0
                                                                                Я ниже написал. Откуда я знал, что хабр это вдруг проглотит и обработает...
                                                                                  0
                                                                                  Не закрытый тег "script src ", который использовался как пример запроса на гугле.
                                                                                  • UFO just landed and posted this here
                                                                                  • UFO just landed and posted this here
                                                                                      0
                                                                                      Ну что сказать... Случайный вклад.
                                                                                      Вообще странно, что такое можно сделать. Очевидно подразумевалось, что такого попросту не напишут, либо напишут с умом.
                                                                                      • UFO just landed and posted this here
                                                                                          0
                                                                                          А вот iframe вроде же починили после того случая с "властелином".
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              Кто-то себе уже сделал персонажа по мотивам.
                                                                                                0
                                                                                                Не понял...Ну ка...Еще раз ссылка 123.
                                                                                                  +1
                                                                                                  Глючит :)
                                                                                                  • UFO just landed and posted this here
                                                                                                      +1
                                                                                                      Жжоте мужики :))
                                                                                                        0
                                                                                                        лесенка дураков)))
                                                                                                        и йа замыкающий)))
                                                                                                        надолго ли? (;
                                                                                                        • UFO just landed and posted this here
                                                                                                            0
                                                                                                            Я, конечно, дурак, но обзываться вам не позволю! *показывает дулю* :D
                                                                                                              0
                                                                                                              что и требовалось доказать (;
                                                                                                • UFO just landed and posted this here
                                                                                      0
                                                                                      приведи точный запрос по которому искал
                                                                                        +7
                                                                                        Господа, очевидно не закрытый тег "Господа, очевидно не закрытый тег "Господа, очевидно не закрытый тег "Господа, очевидно не закрытый тег "