Бесплатно раздаваемый зловред Symchanger оказался забэкдоренным

Татьяна Никитина 02 Декабря 2020 - 16:10

Домашние пользователи

...

Создатель Symchanger, нового PHP-инструмента для массового взлома сайтов, отдает его в пользование на безвозмездной основе. Как оказалось, это не совсем благотворительная акция: вирусописатель добавил в свой скрипт бэкдор, чтобы пожинать плоды его работы без особых трудозатрат.

Анализ вредоносного кода, проведенный в Sucuri, показал, что автор Symchanger не утруждал себя написанием кода с нуля. Он попросту позаимствовал скрипт, уже используемый рядом вредоносных программ, и присовокупил функциональность бэкдора. Новый зловред активно продвигается в профильной группе на Facebook вместе со ссылкой на видеоинструкцию по использованию.

Код Symchanger защищен несколькими слоями обфускации, поэтому пользователю будет трудно обнаружить бэкдор. Массовая компрометация сайтов, размещенных под одним и тем же хостинг-аккаунтом, осуществляется с помощью символьных ссылок (симлинков).

На взломанный сайт зловред устанавливается как файл symchanger.php. Остальные сайты того же пользователя он отыскивает по именам конфигурационных файлов — WordPress, Joomla, Drupal, WHMCS. Обнаружив совпадение с заданным списком, Symchanger генерирует симлинк для текстового файла (формат .txt в данном случае используется, чтобы файл можно было загрузить как PHP).

При наличии доступа к файлу /passwd (на некоторых хостах он ограничен) вредоносный скрипт читает его содержимое для определения пользовательской аудитории веб-сервера. Затем он выполняет перебор массивов по методу foreach, чтобы заполучить регистрационные данные всех пользователей. Создав симлинки для ассоциированных файлов конфигурации, зловред считывает информацию об установке SQL-соединения и подключается к базе данных, чтобы внести новую учетную запись администратора во все индивидуальные базы, до которых он сможет дотянуться.

Свой успех Symchanger показывает оператору в виде URL страницы регистрации сайтов, для которых был создан новый аккаунт администратора.

Добавленную функциональность бэкдора зловредный скрипт реализует, незаметно используя взломанный сервер для отправки email-сообщений на множество адресов. При этом он применяет пять разных шаблонов для передачи конфиденциальных данных — таких как URL активированного файла symchanger.php, список директорий, краденые учетные данные и т. п.

Эта информация обеспечивает получателям писем несанкционированный доступ к сайтам, скомпрометированным Symchanger. В итоге им не нужно самим взламывать серверы и устанавливать скрипт для сбора данных — достаточно просто дождаться сообщения, которое все это преподнесет им на блюдечке.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 21 Января 2026 - 18:50

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Почему тормозит Telegram в России: власти признали поэтапные ограничения

Проблемы с загрузкой видео и работой медиафайлов в Telegram в России связаны не с техническими сбоями, а с последовательным введением ограничительных мер в отношении мессенджера. Об этом 21 января 2026 года заявил зампред Совета по развитию цифровой экономики при Совете Федерации сенатор Артём Шейкин.

По его словам, Telegram не выполнил требования российских властей, направленные на борьбу с преступлениями, поэтому регулятор действует поэтапно и без резких шагов.

«Роскомнадзор последовательно применяет меры в отношении интернет-сервисов, нарушающих законодательство РФ. Иностранные мессенджеры используются для организации и проведения террористических актов, для мошеннических и иных преступлений против граждан нашей страны. Telegram не выполняет требования, направленные на предупреждение и пресечение преступлений на территории РФ», — пояснил Шейкин.

Как уточнил сенатор, ограничения вводятся с августа 2025 года. В результате в Telegram перестали работать аудио- и видеозвонки, а передача медиаконтента — в том числе видео — начала частично замедляться. Именно это, по его словам, и стало причиной массовых жалоб пользователей в последние дни.

Шейкин отметил, что постепенный характер ограничений даёт россиянам возможность без стресса перейти на альтернативные сервисы. В качестве таких альтернатив он прямо рекомендовал использовать национальные мессенджеры.

В Роскомнадзоре фактически подтвердили эту позицию, назвав комментарий Совета Федерации «исчерпывающим». При этом всего несколькими днями ранее, 16 января, ведомство официально отрицало блокировку Telegram, заявляя, что «новые меры ограничений не применяются».

Ранее мы также писали о частичной блокировке Telegram, а собеседник телеканала «Москва 24» издания на телеком-рынке подтвердил, что регулятор действительно вводит дополнительные ограничения.

Разный опыт пользователей объясняется тем, что интернет-провайдеры внедряют правила фильтрации несинхронно. Каждый оператор настраивает ограничения в своём режиме, поэтому проблемы возникают волнами — в разных сетях и в разное время.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »