forum.opennet.ru

Составление сообщения

Исходное сообщение

"На страницах портала Госуслуг РФ обнаружен посторонний вредо..."
Отправлено opennews, 13-Июл-17 21:33

На сайте государственных услуг Российской Федерации (gosuslugi.ru)  наблюдается (https://news.drweb.ru/show/?i=11373&lng=ru&c=14) наличие (https://www.google.ru/search?q=site%3Agosuslugi.ru+A199...) вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл "f.html". Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор.
В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой JavaScript код в контексте сеанса на сайте и атаковать необновлённый  браузер посетителя, получить доступ к информации на странице или изменить её содержимое (например, добавить подставную форму ввода).

Но, судя по всему, атака не целевая, а типовая, так как подстановка аналогичного кода фиксируется (https://www.google.ru/search?q=A1996667054) хостинг-операторами с 2015 года на многих сайтах клиентов. В ранее
наблюдаемых (https://dev.1c-bitrix.ru/support/forum/forum6/topic74489/) подобных случаях подстановка iframe-блока осуществлялась в процессе редактирования текста через web-интерфейс на локальной системе оператора, поражённой вредоносным ПО.

   $ curl -I m81jmqmn.ru/f.html
   HTTP/1.1 302 Found
   Server: nginx/1.10.2
   Date: Thu, 13 Jul 2017 17:53:15 GMT
   Content-Type: text/html; charset=iso-8859-1
   Connection: keep-alive
   Location: http://k****i.com/
URL: https://news.drweb.ru/show/?i=11373&lng=ru&c=14
Новость: http://www.opennet.me/opennews/art.shtml?num=46845

Исходное сообщение
"На страницах портала Госуслуг РФ обнаружен посторонний вредо..." Отправлено opennews, 13-Июл-17 21:33
На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается (https://news.drweb.ru/show/?i=11373&lng=ru&c=14) наличие (https://www.google.ru/search?q=site%3Agosuslugi.ru+A199...) вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл "f.html". Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор. В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой JavaScript код в контексте сеанса на сайте и атаковать необновлённый браузер посетителя, получить доступ к информации на странице или изменить её содержимое (например, добавить подставную форму ввода). Но, судя по всему, атака не целевая, а типовая, так как подстановка аналогичного кода фиксируется (https://www.google.ru/search?q=A1996667054) хостинг-операторами с 2015 года на многих сайтах клиентов. В ранее наблюдаемых (https://dev.1c-bitrix.ru/support/forum/forum6/topic74489/) подобных случаях подстановка iframe-блока осуществлялась в процессе редактирования текста через web-интерфейс на локальной системе оператора, поражённой вредоносным ПО. $ curl -I m81jmqmn.ru/f.html HTTP/1.1 302 Found Server: nginx/1.10.2 Date: Thu, 13 Jul 2017 17:53:15 GMT Content-Type: text/html; charset=iso-8859-1 Connection: keep-alive Location: http://k****i.com/ URL: https://news.drweb.ru/show/?i=11373&lng=ru&c=14 Новость: http://www.opennet.me/opennews/art.shtml?num=46845

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> На сайте государственных услуг Российской Федерации (gosuslugi.ru)  наблюдается (https://news.drweb.ru/show/?i=11373&lng=ru&c=14) 
> наличие (https://www.google.ru/search?q=site%3Agosuslugi.ru+A1996667054) вредоносных 
> iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается 
> в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного 
> набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл 
> "f.html". Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение 
> о проблеме и вредоносный код находится на сайте до сих пор.

> В настоящее время через данную вредоносную вставку производится DDoS-атака на один из 
> украинских сайтов: при запросе /f.html выдаётся редирект на атакуемый сайт, который 
> наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц 
> на gosuslugi.ru. При желании контролирующие атаку злоумышленники могут выполнить любой 
> JavaScript код в контексте сеанса на сайте и атаковать необновлённый  
> браузер посетителя, получить доступ к информации на странице или изменить её 
> содержимое (например, добавить подставную форму ввода).

> Но, судя по всему, атака не целевая, а типовая, так как подстановка 
> аналогичного кода фиксируется (https://www.google.ru/search?q=A1996667054) хостинг-операторами 
> с 2015 года на многих сайтах клиентов. В ранее 
>  наблюдаемых (https://dev.1c-bitrix.ru/support/forum/forum6/topic74489/) подобных 
> случаях подстановка iframe-блока осуществлялась в процессе редактирования текста через 
> web-интерфейс на локальной системе оператора, поражённой вредоносным ПО.

>    $ curl -I m81jmqmn.ru/f.html 
>    HTTP/1.1 302 Found 
>    Server: nginx/1.10.2 
>    Date: Thu, 13 Jul 2017 17:53:15 GMT 
>    Content-Type: text/html; charset=iso-8859-1 
>    Connection: keep-alive 
>    Location: http://k****i.com/

> URL: https://news.drweb.ru/show/?i=11373&lng=ru&c=14 
> Новость: http://www.opennet.me/opennews/art.shtml?num=46845

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру