Перейти к содержанию

Заражение сайтов перерастает в эпидемию


Рекомендуемые сообщения

Сетевые преступники используют сайты для распространения вредоносного кода. Подобные атаки становятся все масштабнее: заражение сайтов – один из самых востребованных злоумышленниками инструментов для осуществления преступной деятельности в сети. Устранить эти проблемы практически невозможно: заражение распространяется быстро, а лечится долго.

 

Специалисты компании SafeScan, занимающейся исследованиями в области сетевой безопасности, распространили информацию о крупной хакерской атаке, от которой пострадало более 100 тысяч сайтов.

Среди пострадавших оказались известные ресурсы: Wall Street Journal, Jerusalem Post, IntlJobs.org, ServiceWoman.org и многие другие.

Хакеры использовали дыры в серверном программном обеспечении и разместили на сайтах вредоносный HTML-код, который перенаправлял пользователей на хакерские сайты. Оттуда на ПК посетителей зараженных сайтов устанавливались троянцы и шпионские программы, которые открывали хакерам доступ к управлению зараженными компьютерами.

Известно, что все взломанные сайты работали под управлением серверов Microsoft Internet Information Services. Этими веб-серверами обслуживается около 25% всех сайтов сети.

Microsoft и HP уже выпустили специальное ПО для диагностирования уязвимостей, которые использовали хакеры. Также известно, что атака работала не всегда: на некоторых сайтах вредоносный код появился лишь частично и не на всех страницах.

В апреле этого года похожая атака была проведена на ресурсы, использовавшие блог-платформу Wordpress, в которой хакеры также обнаружили неизвестную ранее уязвимость.

 

Масштаб и причины

 

По данным компании «Яндекс», вредоносный код находится на 1% проверяемых сайтов, находящихся в индексе поисковика. В абсолютном выражении это 450 тысяч страниц на 160 тысячах сайтов. Зараженными оказываются не только заброшенные или непопулярные сайты, но ресурсы с индексом цитируемости более 1000 (5 – 10 таких сайтов попадают в «вирусную» базу компании ежедневно) и даже с индексом цитирования более 10000 (несколько раз в месяц).

Большая часть зараженных сайтов и страничек находится в доменной зоне .com — 47,44%; в зоне .ru содержится 11,41%, в .net – 6,76%; в .org – 4,17%; 28,79% приходится на множество других доменных зон.

Аналитики «Яндекса» также отмечают, что примерно 37% всех зараженных сайтов остаются таковыми более 90 дней. Только в около 10% случаев опасность устраняется в течение недели после обнаружения вредоносного кода.

Одной из наиболее распространенных причин заражения, по версии компании, является нерегулярная смена FTP-паролей и/или их сохранение в FTP-клиентах. Кража паролей приводит к заражению всех подконтрольных веб-мастеру сайтов.

Другими способами заражения сайтов являются: невнимательное отношение к чужому коду (зараженные баннеры, счетчики), который устанавливается на сайт; невнимательное отношение к антивирусной защите компьютеров, с которых осуществляется управление сайтом, а также к рекомендациям по безопасности при написании собственной системы управления сайтом; уязвимости в сторонних системах и их нерегулярное обновление.

 

Человеческий фактор

 

Большинство причин, обозначенных специалистами «Яндекса», указывают на человеческий фактор как на ключевую причину заражения сайтов. Однако не все и не всегда зависит от людей, которые обслуживают сайты.

«Известно, что человеческий фактор традиционно является наиболее слабым звеном в организации информационной безопасности, — рассказал Infox.ru аналитик компании «Доктор Веб» Валерий Ледовской. – Но вряд ли всегда стоит винить администрацию взломанного сайта. Часто администраторы используют виртуальный хостинг, а за обновления ПО, отражение DDoS-атак и прочие важные составляющие ИБ сайтов несут ответственность компании, которые предоставляют для этих сайтов хостинг».

По мнению руководителя Центра вирусных исследований и аналитики компании «Eset» Александра Матросова, достаточно много заражений происходит именно из-за ошибок или обычной беспечности администраторов. Однако не они оказываются основной причиной заражений.

«Наиболее распространенным способом заражения веб-страниц являются или уязвимости, приводящие к возможности внедрения вредоносного сценария, — рассказал Infox.ru эксперт. — Именно такие уязвимости и закрывают выпускаемые вендорами обновления».

«Среди способов заражения интернет-ресурсов, которые есть на вооружении у злоумышленников – кража паролей доступа, различные варианты подбора паролей (в частности, с применением специального ПО) и, наконец, какие-то уязвимости в ПО веб-серверов, которые не успели устранить их владельцы, — рассказал Валерий Ледовской. – Из вредоносных программ, которые злоумышленники распространяют через зараженные интернет-ресурсы, наиболее часто встречаются даунлоадеры (downloaders), которые затем уже могут загрузить на компьютер жертвы любые другие вредоносные объекты».

По словам Валерия Ледовского, злоумышленники часто используют так называемую «уязвимостями нулевого дня», обнаруженную незадолго до атаки.

«В этом случае даже установка всех обновлений на всё используемое для функционирования сайта ПО и соблюдение жёстких правил ИБ может не помочь, — пояснил эксперт. – Ответственны в данном случае производители ПО. И до выпуска соответствующих патчей сайт будет потенциально уязвим».

Именно такая уязвимость стала причиной массового взлома сайтов, зарегистрированного компанией SafeScan.

Человеческий фактор вместе с недостатками серверного ПО вендоров привели к тому, что заражение через сайты сейчас является одним из самых популярных инструментов хакеров.

«Заражение через сайты входит в тройку наиболее используемых на сегодня каналов распространения вредоносных программ, — сообщил Валерий Ледовской. – Наряду с этим злоумышленники продолжают широко использовать такие каналы, как электронная почта, системы мгновенного обмена сообщений, социальные сети и прочее».

«К сожалению, рейтинг популярности каналов заражения в традиционном понимании в достаточной степени условен, — добавил Александр Матросов. – Однако если бы такой рейтинг составлялся, заражения через интернет, несомненно, возглавляли бы его на протяжении уже нескольких лет».

Изменено пользователем arh_lelik1
Ссылка на комментарий
Поделиться на другие сайты

Вывод один - грамотно выбирайте софт и его настройки на своих серверах, а также следите за происходящем в логах.

Изменено пользователем Leks13
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vlanzzy
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • LorianThet
      От LorianThet
      Добрый день, ПК заразился трояном
      После попытки полечить с помощью kaspersky ghb gthtpfuheprt Windows выдаёт ошибку, после включения ПК троян появился снова
      Прилагаю логи, отчёт по трояну из антивируса Касперского и образ автозапуска системы uVS
      CollectionLog-2024.12.08-21.50.zip HOME-PC_2024-12-08_21-41-10_v4.99.4v x64.7z антивируса Касперского отчёт.txt
    • rottingcorpse
    • yare4kaa
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Asya
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
×
×
  • Создать...