- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Продолжительная вредоносная атака на серверы Apache позволила взломать 20 000 сайтов. Таинственный «Darkleech», атаковавший десятки тысяч веб-ресурсов, включая веб-сайты Los Angeles Times и Seagate, подвергает посетителей мощному вредоносному эксплойту !
Непрерывно продолжающиеся атаки позволили инфицировать около 20 000 сайтов всего за сравнительно короткий промежуток времени – две недели. «Darkleech», успешно справляется с взломом самого популярного во всем мире веб-сервера Apache.
Заполучив управление сервером, Darkleech встраивает инфицированный код в веб-страницы, посредством которого перенаправляет посетителей на сторонние вредоносные сайты.
Несмотря на то, что первые подобные атаки появились еще в августе 2012 года, никто не смог выявить целевую направленность атак именно на сервера на базе Apache.
Уязвимости в Plesk, cPanel и другом ПО для администрирования сервера представляют одну из возможностей для организации подобных атак. Исследователи не исключают также такие механизмы проведения атак, как взлом паролей, социальная инженерия и использование уязвимостей в недавно используемых приложениях и операционных системах.
Специалисты также не могут установить точное число инфицированных Darkleech сайтов. Вредоносная программа оценивает множество условий для определения времени атаки, т.е. включения вредоносного кода в веб-сайты. Посетители, которые используют IP адреса известных хостинг провайдеров и вендоров программ безопасности игнорируются, так же как и недавно атакованные пользователи или пользователи, которые не заходят на сайт по специальным поисковым запросам. Способность Darkleech внедрять уникальные ссылки также препятствуют изучению вредоносной программы.
Мэри Лендсмен, старший научный сотрудник безопасности Cisco Systems заявляет: «из-за того что ссылки генерируются автоматически случайным образом, стандартные средства не способны эффективно распознать их с помощью поисковых систем. К сожалению, природа Darkleech наряду с селективными механизмами атаки представляют определенные проблемы для локализации угрозы».
Вредоносный HTML-код встраивается в страницу с помощью тега «iframe» и обычно представлен отдельным адресом, например IP address/hex/q.php. Сайты, содержащие тэги iframe, которые нельзя просмотреть стандартными средствами просмотра HTML кода скорее всего инфицированы Darkleech.
Следует иметь ввиду, что несмотря на то что тэг обращается к IP/hex/q.php, вредоносная программа содержится по адресу IP/hex/hex/q.php.
Непрерывно продолжающиеся атаки позволили инфицировать около 20 000 сайтов всего за сравнительно короткий промежуток времени – две недели. «Darkleech», успешно справляется с взломом самого популярного во всем мире веб-сервера Apache.
Заполучив управление сервером, Darkleech встраивает инфицированный код в веб-страницы, посредством которого перенаправляет посетителей на сторонние вредоносные сайты.
Несмотря на то, что первые подобные атаки появились еще в августе 2012 года, никто не смог выявить целевую направленность атак именно на сервера на базе Apache.
Уязвимости в Plesk, cPanel и другом ПО для администрирования сервера представляют одну из возможностей для организации подобных атак. Исследователи не исключают также такие механизмы проведения атак, как взлом паролей, социальная инженерия и использование уязвимостей в недавно используемых приложениях и операционных системах.
Специалисты также не могут установить точное число инфицированных Darkleech сайтов. Вредоносная программа оценивает множество условий для определения времени атаки, т.е. включения вредоносного кода в веб-сайты. Посетители, которые используют IP адреса известных хостинг провайдеров и вендоров программ безопасности игнорируются, так же как и недавно атакованные пользователи или пользователи, которые не заходят на сайт по специальным поисковым запросам. Способность Darkleech внедрять уникальные ссылки также препятствуют изучению вредоносной программы.
Мэри Лендсмен, старший научный сотрудник безопасности Cisco Systems заявляет: «из-за того что ссылки генерируются автоматически случайным образом, стандартные средства не способны эффективно распознать их с помощью поисковых систем. К сожалению, природа Darkleech наряду с селективными механизмами атаки представляют определенные проблемы для локализации угрозы».
Вредоносный HTML-код встраивается в страницу с помощью тега «iframe» и обычно представлен отдельным адресом, например IP address/hex/q.php. Сайты, содержащие тэги iframe, которые нельзя просмотреть стандартными средствами просмотра HTML кода скорее всего инфицированы Darkleech.
Следует иметь ввиду, что несмотря на то что тэг обращается к IP/hex/q.php, вредоносная программа содержится по адресу IP/hex/hex/q.php.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
