The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Зафиксировано распространение вредоносного кода через инфраструктуру jQuery

24.09.2014 09:46

Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах jquery.com, через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад.

С учётом того, что jQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников.

Судя по всему атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые начинают поступать спустя считанные минуты после возникновения каких-либо проблем. Кроме RiskIQ никто не смог подтвердить наличие атаки, но авторитет RiskIQ также не даёт усомниться в реальности атаки. Кроме того продолжает существовать домен jquery-cdn.com и работающий на нём проброс на вредоносное ПО. В настоящее время совместно с RiskIQ проводится боле детальное сопоставление логов.

Утверждается, что атака не затронула работу сервиса по загрузке на сайты JavaScript-библиотеки jQuery. Наиболее вероятным является компрометация сервера, обслуживающего сайт jquery.com. Пользователям, посещавшим сайт jquery.com 18 сентября, рекомендовано сменить пароль, проверить целостность своих систем и обратить особое внимание на любую подозрительную активность. Распространяемый в рамках атаки набор эксплоитов RIG направлен на поражение необновлённых Windows-систем и содержит код для эксплуатации уязвимостей в Java, Adobe Flash, Internet Explorer и Silverlight.



  1. Главная ссылка к новости (http://blog.jquery.com/2014/09...)
  2. OpenNews: Выпуск свободной JavaScript-библиотеки jQuery 2.0
  3. OpenNews: Введён в строй единый реестр плагинов к jQuery
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40662-jquery
Ключевые слова: jquery
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, annualslayer (ok), 10:57, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    может это была эксклюзивная MITM специально для RiskIQ? :)
     
     
  • 2.2, Аноним (-), 11:01, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG для протухших уязвимостей.
     
     
  • 3.3, annualslayer (ok), 11:32, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG
    > для протухших уязвимостей.

    да это была просто слишком смешная шутка про http на скриншотах

     

  • 1.4, Аноним (-), 11:33, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    > через инфраструктуру jQuery

    А вы больше включайте в свои сайты черти-что от кого попало с левых серверов.

     
     
  • 2.5, d1mmmk (?), 12:06, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только VanilaJS, только хардкор? Не всегда оправдано. Использование cdn снимает нагрузку с серверов, ускоряет загрузку у пользователя, да и использование сторонних библиотек в разы облегчает и ускоряет разработку.
     
     
  • 3.7, annnonnn (?), 12:09, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько скрипт занимает? 50k-150к байт статики. Неужели такая неподъемная нагрузка, особенно если учесть что js/css прекрасно кешируется?
     
     
  • 4.9, Василий Анонимусович (?), 12:49, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы подальше бложиков посмотрите, например если ежедневная посещаемость несколько миллионов.
     
     
  • 5.11, Аноним (-), 12:57, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Ну вы подальше бложиков посмотрите, например если ежедневная посещаемость несколько миллионов.

    И что? Нжинкс влегкую отсервирует несколько миллионов копий jquery в день даже на двухбаксовой VDSке.

     
     
  • 6.56, Аноним (-), 17:49, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Канал нджинкс тоже под это дело расширит.
     
  • 4.12, angra (ok), 13:04, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кеширование как раз говорит в пользу cdn для jquery, так как пользователю достаточно посетить хоть один сайт с jquery той же версии.
    50Kb * 1000 запросов в секунду означает 50Mb трафика в секунду или 4.3Tb в сутки. Как говорится, копейка рубль бережет.
    Также играет роль не только объем, но и сам факт запроса, есть пределы на количество одновременных запросов в паре домен<->клиент как со стороны вебсервера, так и со стороны браузера. Не даром в серьезных сайтах контент грузится сразу с нескольких субдоменов.
     
     
  • 5.26, Аноним (-), 14:29, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И много у вас сайтов с такой нагрузкой И, главное, какой же там основной траффи... большой текст свёрнут, показать
     
     
  • 6.27, Вячеслав (??), 15:03, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Автор коммента имел в виду, что сумарное кол-во обращений с разных сайтов, у меня например один сайт генерирует около 1 тыс. обращений к jquery, думаю сайтов, которые генерируют больше 1 тысячи обращений в сутки очень много.
     
  • 6.30, angra (ok), 16:20, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Инфраструктура гугла или любого другого поисковика стоит во много раз больше. Они это делают не на халяву! Они получают с этого маржу! Не сберегают вам рубль! Перестаньте пользоваться поисковиками. Кстати, opennet ведь тоже не на халяву, стоит денег, получает маржу и прочая! Срочно перестаньте им пользоваться.
     
     
  • 7.33, Аноним (-), 16:34, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял логику в этих воплях. Похоже на проявление внезапного батхерта, или типа того.
     
     
  • 8.51, angra (ok), 06:28, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так прочитайте пост, на который был ответ Кому-то мерещится, что на нем нажи... текст свёрнут, показать
     
  • 3.10, Аноним (-), 12:56, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    или вылет плашки роскомсовкома извините, ресурс заблокирован Потому что CD... большой текст свёрнут, показать
     
     
  • 4.13, angra (ok), 13:08, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
     
     
  • 5.14, Аноним (-), 13:27, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    КонтентДеливериЛокалхост
     
     
  • 6.21, angra (ok), 14:09, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    При желании можно сделать и так. Ставишь на локалхост вебсервер, скидываешь ему все версии jquery с http://code.jquery.com/jquery/. Прописываешь соответствие в /etc/hosts
    127.0.0.1 code.jquery.com
    Вуаля, у тебя для всех правильных сайтов jquery будет отгружаться с локалхоста.
    Ну а с добавлением небольшой магии, зависящей от вебсервера, можно обойтись всего двумя версиями jquery.
     
  • 5.25, Аноним (-), 14:25, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.

    Я в курсе что такое CDN. Что еще забавнее, у утырков из роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая реальность нынче.

     
     
  • 6.28, Вячеслав (??), 15:06, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
    > Я в курсе что такое CDN. Что еще забавнее, у утырков из
    > роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом
    > что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая
    > реальность нынче.

    Чем вам так роскомнадзор так насолил?)

     
     
  • 7.34, Аноним (-), 16:38, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем вам так роскомнадзор так насолил?)

    Тем что некомпетентные кpeтины, не понимающие как работает интернет и блокирующие в результате сервера CDN целиком по айпишникам. Со всеми вытекающими. Типа рандомного вылетания характерных плашек в самых разных местах. В следующий раз эти правоохранители наверное устроят ковровые ядерные бомбардировки, если кто-то перебежит дорогу на красный свет, да?

     
     
  • 8.36, Moomintroll (ok), 17:00, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то, в базе роскомнадзора есть конкретные URL конкретных ресурсов страниц ... текст свёрнут, показать
     
     
  • 9.38, Аноним (-), 17:30, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Росглавжандарм - не нужен Вообще Держиморда вертится в гробу, радостно подхихи... текст свёрнут, показать
     
  • 9.39, Аноним (-), 17:30, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да вообще-то и айпишники бывают Головотяпы - они такие Не только Хотя я могу ... текст свёрнут, показать
     
  • 3.52, badmilkman (ok), 09:40, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и дело, что только разработку. Бац-бац и в продакшен.
    А что будет с вашим сайтом, когда роскомнадзор заблокирует сервер с этим кодом.
    Или сам сайт закроется. Или начнет распространять троянов, как могло быть в данном случае.
    Или Гбисты обрежут провода за границу?
     

  • 1.8, Аноним (-), 12:41, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    RequestPolicy+noscript и нет проблем
     
     
  • 2.15, Аноним (-), 13:27, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    не всегджа. Некоторые сайты так обмазаны js, что ими нельзя пользоваться
     
     
  • 3.18, Аноним (-), 14:02, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Зато с левых доменв тебе точно ничего не подгрузят.
     
  • 3.22, Аноним (-), 14:11, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дополню, на гитхабе видел скрипт, который делает локальное хранилище apis.google.com. Надо бы запилить скрипт для дублирования всех этих cdn
     
  • 3.31, user (??), 16:20, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В большинстве случаев вебмастер индус или заказчик чудак. Я видел только 2 типа нужных js:

    1. картография

    2. на яндекс-маркете показывают доступные варианты с учётом уже выбраных параметров

     
  • 2.17, angra (ok), 13:56, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем же эти полумеры, лучше вообще не запускать браузер. А то были в истории случаи уязвимости IE через картинки. Так что серфинг исключительно через wget/curl/netcat.
     
  • 2.20, Зевака (?), 14:03, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, хороший аддон, но нет такого под хром. :(
    Вообще, было бы неплохо сделать какой-нибудь /policy.txt, который владелец сайта заливает туда и подписывает у каких-нибудь гуглов и прочих верисайнов.
    Посетитель скачивает этот файл и по нему судит о том, какие скрипты не были рекомендованы к загрузке владельцем сайта.
    Например, владелец подписался на баннерную кампанию от конторы А. Те дают ему 99$ за 100500 показов, а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.

    Наличие общего промышленного стандарта на политику загрузки ресурсов, позволило бы улучшить общую безопасность интернета для хомячков.

     
     
  • 3.23, angra (ok), 14:17, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.

    Это как?
    Если кто-то имеет возможность взломать банерную сеть, то он может отгрузить любой контент и твой policy.txt ничем не поможет, ведь в нем прописано доверие к сети
    Если кто-то имеет возможность изменить содержимое странички на твоем сайте, то он может поменять и policy.txt

    Попробуй придумать что-то более умное.


     
     
  • 4.37, Гость (??), 17:13, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Имеется в виду, что баннерная сеть по партнерской программе отгружает ссылки на чужой графический контент.
    Таких безобразий - пол-интернета.

    А в policy.txt будут прописаны права лишь на утвержденные серверы.

     
  • 3.54, Кирилл (??), 14:27, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ещё лучше -- чтобы этого JS не было и в помине.
     

  • 1.16, Аноним (-), 13:52, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Рад, что начались такие проблемы у ленивых веб-мастеров.
    Ненавижу jQ и ей подобные библиотеки. В постоянно меняющихся условиях меняющуюся чёрти-чью библиотеку привязывают чёрти к чему в чёрти сколько мест. Невозможно по сайтам ходить - грузятся как чёрти что чёрти сколько времени. Хватит писать сайты **пой! JS, CSS, DOM - не так сложны, чтобы научиться и писать сайты красиво и тонко. Страница должна за раз брать с сервера не больше 70 Кб и подгружать не больше 20 Кб за раз при каком-либо событии, вызванном пользователем. (с редкими исключениями по специфике) Не можешь так написать? Меняй профессию.
     
     
  • 2.19, angra (ok), 14:02, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дурачок, ты бы хоть прочитал, что такое jquery. Если вдруг ты работаешь или планируешь работать в сфере веб, то  как раз тебе настойчиво рекомендую сменить или выбрать другую профессию, дабы не плодил говносайтов, работающих только в твоем любимом браузере.


     
     
  • 3.24, Аноним (-), 14:22, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От дурачка слышу. Браузеры меняются со временем тоже. Нужно уметь писать на тех моментах, которые не меняются, либо меняются крайне редко.
    Остальное - под эксперименты - пока браузеры соизволят синхронизироваться в поддержке той или иной феньки.
    Мои сайты открываются на любых браузерах, актуальных (релизнутых) от сегодня и года на три назад. Даже такие уродцы, как мобильные "браузеры" их открывают уверенно.
     
     
  • 4.29, angra (ok), 16:13, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Между "открываются" и "одинаково работают" большая разница, не говоря уже о богатсве функционала, а то "hello world" тоже везде открывается. Ну и совместимость на жалкие три года это просто смешно на фоне 13 лет от jquery.
     
  • 4.32, zoonman (ok), 16:31, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего другого кода. И да, эксперименты, это то, за что многие люди ценят сайты.
    Это примерно как сравнить обычную выбиралку файла (input type=file) и drag&drop документа в окошко браузера с его превьюшкой и индикатором загрузки.
     
     
  • 5.48, Аноним (-), 22:49, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего
    > другого кода.

    Это ж сколько у вас там кода? И вы уверены что браузер у юзера не заклинит, если ему вдуть 5 мегабайтов JS?

    > в окошко браузера с его превьюшкой и индикатором загрузки.

    А прикол в том что в HTTP штатно нет никаких нормальных методов узнать прогресс, даже поле размера контента - опционально, как минимум в ответе на get - точно. Поэтому одной jquery вы там уже не отделаетесь. Это или серверсайд скрипты должны сильно напрячься, или httpd должен подыграть.

     
  • 4.35, Аноним (-), 16:39, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > От дурачка слышу.

    Обмен экспертными мнениями у веб-разработчиков - это как-то так! :)

     
  • 2.44, Аноним (-), 18:10, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    jquery достаточно компактная библиотека и уже перестала быть исключительно средством обеспечения кроссбраузерности. 70 кб один раз взять с сервера и положить в кэш - не такая большая нагрузка на браузер пользователя.

    Если писать на чистом жс, кода будет в разы больше и он будет хуже.
    Реализовать работу с ДОМ или аякс правильно, ничего не упустив, трудно даже для опытного программиста. Всегда можно что-то упустить. Фреймворк позволяет избежать таких проблем.

     
     
  • 3.50, Антоним (ok), 05:30, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Если писать на чистом жс, кода будет в разы больше и он будет хуже.

    У индусов

     
     
  • 4.55, Кирилл (??), 14:29, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Если писать на чистом жс, кода будет в разы больше и он будет хуже.
    > У индусов

    А их треть населения планеты.

     
     
  • 5.59, Sluggard (ok), 10:45, 30/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Их ~1,2 миллиарда. Если ты даже считать не умеешь, что делаешь тут?
     
  • 2.58, Kodir (ok), 20:13, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    JS вообще редко нужен - большинство сайтов прекрасно жили (и проживут) без индусячих высеров на таймбомбовом JS.
     

  • 1.43, lexx015 (ok), 18:01, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заходишь на сайт, разрешаешь временно в noscript домен этот сайта, а все равно бОльшая часть контента не пашет

    комментариев нет, менюшки не работают, все правильно делают

     
  • 1.45, Гость (??), 19:23, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я зашел на оффсайт jquery решил посмотреть исходный код не заражено ли там ничего, и просто офигел, гляньте внизу надпись...
     
  • 1.46, pavlinux (ok), 20:13, 24/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Посылаю лучи поноса, все админам использующим JS напрямую с других сайтов!
     
     
  • 2.47, Аноним (-), 22:43, 24/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Посылаю лучи пoноса, все админам использующим JS напрямую с других сайтов!

    Искренне надеюсь что твои лучи пoнoca не хуже мегаваттного лазера.

     
  • 2.49, Аноним (-), 02:04, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как админы относятся к разработке сайтов? Тебе опять много домашки позадавали?
     
     
  • 3.53, badmilkman (ok), 09:48, 25/09/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как админы относятся к разработке сайтов?

    Они долго и мучительно переделывают, чтобы он все-таки работал стабильно.

     

  • 1.57, Kodir (ok), 20:11, 25/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не уродуйте сайты жабоскриптным г-ном - не будет проблем.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру