Хакеры атаковали сервер PHP.net

Александр Панасенко 25 Октября 2013 - 13:12

...

Официальный сайт языка программирования PHP стал жертвой хакеров, которым удалось заразить ресурс вредоносным программным обеспечением, что спровоцировало добавление в «черные списки» сайта PHP.net многими антивредоносными сервисами и невозможность входа на сайт для миллионов пользователей. Как стало известно, вчера вечером Google добавила php.net в свои «черные списки» и это привело к тому, что пользователи браузеров Chrome и Firefox получили предупреждения об опасности захода на сайт PHP.

Как сообщается, неизвестные хакеры разместили на популярном проекте вредоносный JavaScript-код под названием Userprefs.js. Он запрашивал через сторонние серверы данные о пользовательских браузерах и проверял на наличие в них известных уязвимостей, чтобы потом попытаться там разместить эксплоит. В случае успеха, компьютер пользователя оказывался зараженным вредоносным кодом.

Дэниэль Пек, специалист по исследованиям Barracuda Networks, говорит, что хакерам, вероятно, удалось заразить какое-то количество посетителей PHP.net. так как всплеск вредоносной активности среди посетителей ресурса был отмечен. Также он сообщил, что большая часть уязвиостей была ориентирована на Adobe Flash Player, хотя доподлинно список уязвимостей неизвестен.

Удалось установить, что размещенный JavaScript связывался почти с десятков контрольных серверов, подгружая с них данные об уязвимостях и эксплоиты, причем на четырех серверах выявлена особенно высокая активность.

The PHP Group, управляющая PHP.net говорит, что сейчас сайт полностью очищен от вредоносного содержимого, а исходные коды PHP, предлагаемые для скачивания, не были заменены. Расмус Лердорф, создатель языка программирования PHP, говорит, что код был размещен всего на одной странице, но система Google Safe Browsing отметила весь сервер PHP.net как опасный.

В заявлении PHP Group говорится, то пока неясным остается, как именно хакеры проникли на серверы, но специалисты продолжают вести расследование.

Согласно данным системы веб-аналитик Alexa, сайт PHP является 228-м самым посещаемым сайтом в интернете.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 02 Мая 2024 - 10:06

Android Трояны Домашние пользователи

Новый Android-бэкдор Wpeeper использует WordPress-сайты как ретрансляторы

Новый бэкдор, атакующий смартфоны на Android и получивший имя Wpeeper, выдает себя за популярный сторонний магазин приложений Uptodown App Store (насчитывает более 220 млн загрузок). Wpeeper отличается работой в связке со взломанными сайтами на WordPress.

Скомпрометированные веб-ресурсы используются в качестве ретрансляторов для командных серверов (C2), что помогает операторам уйти от детектирования.

Новый вредонос привлек внимание команды QAX XLab 18 апреля 2024 года. На бэкдор исследователи вышли при анализе неизвестного файла ELF, встроенного в APK. В тот момент на этот файл не реагировал ни один из антивирусных движков на площадке VirusTotal.

В отчете специалистов отмечается, что активность Wpeeper резко остановилась 22 апреля, скорее всего, чтобы не «засветиться» и не привлечь внимание исследователей.

Опираясь на данные Google и Passive DNS, команда XLab сделала вывод, что Wpeeper удалось заразить уже тысячи устройств. Однако истинный масштаб кампании по распространению бэкдора пока оценить нельзя.

В атаках Wpeeper особый интерес представляет использование скомпрометированных веб-сайтов на WordPress в качестве точек ретрансляции. Такой подход маскирует местоположение реальных командных серверов.

Любые команды, отправленные с C2, проходят через упомянутые ресурсы. Более того, такие команды зашифрованы AES и подписаны с использованием алгоритма ECDSA (задействуется криптография на эллиптических кривых).

Wpeeper может также динамически обновлять C2-серверы, поэтому если один из WordPress-сайтов выпал из схемы, на его место оперативно приходят другие. Основная задача Wpeeper — красть данные жертвы, список функциональных возможностей бэкдора выглядит так:

Вытаскивать данные о зараженном устройстве: сведения об операционной системе и аппаратной составляющей;
Формировать список всех установленных приложений;
Получать новые адреса командных серверов и обновлять список источников;
Регулировать частоту связи с командным сервером;
Получать новый открытый ключ для верификации подписей команд;
Загружать произвольные файлы с C2;
Получать информацию о конкретных файлах, хранящихся на устройстве;
Получать информацию о конкретных директориях на устройстве;
Запускать команды;
10.Загружать и запускать файлы;
11.Обновлять вредоносную составляющую;
12.Удалять бэкдор с устройства;
13.Загружать файл с конкретного URL и запускать его.

Хакеры атаковали сервер PHP.net

Читайте также