В продаже модули apache для ...-инъекций Известный специалист по безопасности Данчо Данчев (Dancho Danchev) рассказал, как злоумышленники автоматизировали рутинные операции по массовому инфицированию уязвимых серверов. Вкратце, алгоритм выглядит так: ищут уязвимые серверы, на которых размещается максимальное количество доменов (желательно больше тысячи), а затем внедряют вредоносный iFrame в каждый файл .php/.html/.js, который удалось обнаружить на этих доменах. В проведении подобных операций помогают самодельные модули для Apache 2.x, которые Данчо Данчев обнаружил в продаже по цене около $1000. Судя по имеющимся свидетельствам, эти модули уже использовались для проведения ряда атак, о которых сообщали антивирусные компании. Специалист говорит, что использование такого модуля делает практически невозможным для веб-мастера устранение инфекции с сайта. В то же время миллионы пользователей подвергаются атаке drive-by с использованием эксплойт-паков вроде Blackhole, что приносит злоумышленникам тысячи долларов прибыли. Речь идёт об использовании скрытых модулей Apache, которые работают вместе с руткитом для Linux. Особенностью такого модуля является то, что Apache выдаёт вредоносные фреймы только посетителям сайта с подходящим сочетанием cookies+IP, чтобы затруднить обнаружение. Он никак не проявляет себя перед поисковыми ботами, посетителями с локальных IP, пользователями браузера Chrome и операционной системы Linux. Ниже опубликован скриншот с одного из формуов, который продаёт подобные инструменты. https://webrootblog.files.wordpress.com/2012/11/diy_apache_module_iframes_server_scareware_affiliate_network1.png Автор также публикует статистику по эффективности данного модуля при распространении фальшивых антивирусов, которые собирают плату с пользователей. В конце концов, полученный трафик можно продавать. 27.11.2012 http://www.xakep.ru/post/59710/