Массовое заражение сайтов на DreamHost

Discussion in 'Мировые новости. Обсуждения.' started by Rebit, 7 Feb 2012.

  1. Rebit

    Rebit Elder - Старейшина

    Joined:
    7 Aug 2007
    Messages:
    85
    Likes Received:
    214
    Reputations:
    2
    После взлома DreamHost и кражи паролей пользователей, о чём сообщалось две недели назад, пострадали многие веб-сайты на этом хостинге. Антивирусная компания Zscaler обнаружила десятки PHP-страниц, которые осуществляют редирект на сайт hxxp://www.otvetvam.com и другие вредоносные сайты с контентом на русском языке.

    Вот список страниц, многие из них до сих пор существуют.
    http://www.lciva.com/wp-content/plugins/extended-comment-options/gyrewnv.php
    http://honorboundphoto.net/photos/10007-mankato_habitat_for_humanity_golf_tournament/agtruje.php
    http://ryanmasters.ca/wp-content/gallery/our-kingdom/thumbs/tyiueg.php
    http://treatmentofpanicattacks.com/wp-content/cache/supercache/www.treatmentofpanicattacks.com/category/anxiety-support/polzin.php
    http://r4theband.co.uk/content/wp-content/themes/agregado/includes/cache/gyrewnv.php
    http://dedehaluk.com/cache/hakkinda/fgjke.php
    http://www.agustindondo.co.uk/yellowbrick/wp-content/files_flutter/modules/fgjke.php
    http://dcstavclub.org/wp-content/themes/newzen_2.0_build_105/images/fgndnju.php
    http://camtarn.org/gizmoblog/content/06/03/entry060305-180312/comments/fgjke.php
    http://derek.hinchy.org/MT-5.031-en/mt-static/support/theme_static/professional_website/themes/professional-green/polzin.php
    http://ojosdelmundo.dreamhosters.com/images/comprofiler/gallery/tghreig.php

    Сайт hxxp://www.otvetvam.com тоже работает до сих пор и посвящён мошеннической схеме «работы на дому». В левой части страницы все ссылки ведут на комментарии от людей, которые пропагандируют данную схему заработка. Код страницы скопирован с URL hxxp://otvet.mail.ru/question/59882991/.

    [​IMG]

    Правая часть страницы выглядит как контекстная реклама Google AdSense, но на самом деле ссылки ведут на вредоносный сайт hxxp://www.tvoitube.com, это клон YouTube, который зарабатывает на партнёрской программе с онлайновым казино.

    Позже вышеупомянутые PHP-страницы начали отправлять пользователей на сайты ru-0tveti.com, ru-0tveti1.com (сейчас редирект может идти уже на новый сайт).

    Как уже было сказано, все вредоносные страницы располагаются на сайтах с хостинга DreamHost. Вполне вероятно, что это связано с инцидентом двухнедельной давности: тогда компания сообщила об обнаружении несанкционированного доступа к базе данных хэшей паролей и произвела принудительный сброс паролей для всех аккаунтов FTP/Shell. Вполне вероятно, что атаки на пользователей DreamHost продолжатся и в дальнейшем.


    Дата: 07.02.2012
    Источник : http://www.xakep.ru/post/58243/​
     
    #1 Rebit, 7 Feb 2012
(You must log in or sign up to post here.)