forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выявлено вредоносное ПО для Linux-серверов, оформленное в фо..."
Отправлено opennews, 21-Дек-12 21:52

Антивирусная компания ESET сообщила (http://blog.eset.com/2012/12/18/malicious-apache-module-used...) об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытия страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем.

Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов).
URL: https://threatpost.com/en_us/blogs/new-apache-exploit-doling...
Новость: http://www.opennet.ru/opennews/art.shtml?num=35669

Исходное сообщение
"Выявлено вредоносное ПО для Linux-серверов, оформленное в фо..." Отправлено opennews, 21-Дек-12 21:52
Антивирусная компания ESET сообщила (http://blog.eset.com/2012/12/18/malicious-apache-module-used...) об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- или JavaScript-блоков в трафик обслуживаемых сервером сайтов. Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. В частности, модуль использует cookie и лог IP-адресов посетителей для организации внедрения клиенту вредоносного iframe только один раз (при повторных открытия страницы, на ней не будет вредоносного кода), кроме того модуль не осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH на сервер, что мешает выяснить администраторам каким образом была заражена машина и с какого именно сайта был получен вредоносный код. Модуль также содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе поисковых систем. Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с машины администратора (для некоторых из взломанных серверов одновременно были выявлены факты взлома машин их администраторов). URL: https://threatpost.com/en_us/blogs/new-apache-exploit-doling... Новость: http://www.opennet.ru/opennews/art.shtml?num=35669

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Антивирусная компания ESET сообщила (http://blog.eset.com/2012/12/18/malicious-apache-module-used-for-content-injection-linuxchapro-a) 
> об обнаружении нового вредоносного ПО Linux/Chapro.A, используемого злоумышленниками 
> для организации атак на посетителей сайтов, размещённых на взломанных Linux-серверах. 
> Особенностью Linux/Chapro.A является то, что вредоносный код оформлен в виде модуля 
> для http-сервера Apache, осуществляющего подстановку эксплуатирующих браузеры iframe- 
> или JavaScript-блоков в трафик обслуживаемых сервером сайтов.

> Примечательно, что в модуле реализовано несколько техник для скрытия своего присутствия. 
> В частности, модуль использует cookie и лог IP-адресов посетителей для организации 
>  внедрения клиенту вредоносного iframe только один раз (при повторных открытия 
> страницы, на ней не будет вредоносного кода), кроме того модуль не 
> осуществляет подстановку для IP-адресов, с которых были зафиксированы входы по SSH 
> на сервер, что мешает выяснить администраторам каким образом была заражена машина 
> и с какого именно сайта был получен вредоносный код. Модуль также 
> содержит вшитую базу идентификаторов поисковых систем и оставляет страницы нетронутыми, 
> в случае обращения поисковых роботов. Подобная особенность затрудняет массовое выявление 
> поражённых вредоносным модулем серверов и автоматическую пометку об опасности в выводе 
> поисковых систем.

> Внедряемый в страницы iframe-блок нацелен на поражение пользователей Windows и содержит 
> ссылку для загрузки типового комплекта для эксплуатации уязвимостей в Internet Explorer, 
> Adobe Reader и Java-плагине. В случае успешной эксплуатации на машину клиента 
> устанавливается троянское ПО ZeuS (Win32/Zbot) для перехвата паролей и банковских аккаунтов. 
> Вредоносный apache-модуль был выявлен на взломанном сервере в бинарном виде, собранном 
> для 64-разрядных систем. Каким образом был взломан сервер не сообщается, в 
> качестве наиболее вероятного сценария рассматривается утечка SSH-ключей или паролей с 
> машины администратора (для некоторых из взломанных серверов одновременно были выявлены 
> факты взлома машин их администраторов).

> URL: https://threatpost.com/en_us/blogs/new-apache-exploit-doling-out-zeus-sweet-orange-exploit-kit-121912 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=35669

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру