Сегодня утром некоторые сайты, размещенные на сервере, как я, начали выдавать предупреждения о вредоносных программах и начали перенаправлять трафик на внешние сайты.
Я обнаружил, что строчка упакованного javascript была добавлена ко многим файлам js на сервере.
Сценарий довольно прост, но я хотел бы знать, хорошо ли известно это вредоносное ПО и как оно заражает серверы и распространяется.
Для любопытных вот данная строка Javascript:
NB: некоторые антивирусные решения воспринимают эту ссылку как угрозу из-за вставленного кода JavaScript.
Вы случайно не используете панель управления Plesk? Если да, то это может быть проблема уязвимости пароля, о которой они сообщили ранее в этом году. Если ваши пароли были захвачены, возможно, они только сейчас их используют. Проверьте журнал действий Plesk на наличие входов для нескольких клиентов с одного IP-адреса.
Наиболее вероятной причиной заражения может быть SQL-инъекция или межсайтовый скриптинг. Вы, наверное, уже знаете, что это такое, но на всякий случай ...
XXS или «межсайтовый скриптинг» чаще всего встречается там, где сайт позволяет пользователю загружать контент на страницу (скажем, на форуме, в разделе комментариев или что-то еще) без проверки и проверки контента - или, возможно, плохо проверяя и проверяя контент. Таким образом, гнусный пользователь загружает свой HTML / JS в качестве комментария, и следующий человек, просматривающий комментарий, выполняет сценарий.
SQLi (и я бы поставил на это) - это место, где гнусный пользователь отправляет исполняемый SQL вместе с параметрами URL или FORM (или cookie). Чаще всего кто-то использует числовые «идентификаторы» - скажем,? News_Id = 4 для новостей - и БД настроена для нескольких операторов. Неосторожные программисты позволяют параметру URL-адреса передаваться непосредственно в БД, не определяя его как число ... чтобы кто-то мог указать что-то вроде? News_id = 4; update tableA set title = ..... вы поняли. Атаки SQLi могут быть очень сложными и включать выполнение оцененных закодированных шестнадцатеричных кодов и т.п.
Таким образом, «наилучшим предположением» было бы то, что у кого-то есть незащищенный запрос, который обрабатывается SQLi, и который добавляет этот JS к некоторому контенту, который выводится на страницу.
Что касается самого эксплойта. Я видел подобные эксплойты, но не видел этого конкретного. Это очень умно, мягко говоря. Обфускация доменного имени довольно уникальна для эксплойтов, которые я видел. Тем не менее - это МНОГО JavaScript, чтобы попытаться загрузить его в столбец char.