Арбуз – проверено санэпидемстанцией

Неприятности стали проявляться неожиданно – от разных людей стал получать сообщения о том, что с Арбузом творится что-то неладное. Например, Илья Рубинчик прислал скриншот, на котором антивирусная программа выдавала сообщение о вирусе при открывании сайта в браузере. Мой же «Касперский» ничего не сообщал, но возможно потому, что я его базы с апреля не обновлял.

pic

11 августа Игорь Бронников известный под ником NeoDin открыл в «айтифоруме» (или Неформальном форуме, или, по старинке, «на Консте») тему под названием «Арбуз сильнее чем FireFox». Он написал: «при открытии http://arbuz.uz FireFox погибает. Неужто Е.С. в хакеры подался? :)»

Далее Эльдар Ишимбаев из Узинфокома выложил вредоносный код, внедренный в индексный файл Арбуза, а Бронников «перевел» его в код скрипта.

pic

Alexx (под этим ником пишет создатель движка Ирокез) пишет, что его антивирус выдает: «обнаружено: вредоносная программа Exploit.HTML.Agent.l URL: http://dodo32.org/505/Xp/ »

Эльдар Ишимбаев написал также: «скачивающий на Ваш компьютер эксплоит, передающий управление на сервер бот-нета. Иными словами превращает ваш комп в зомби для рассылки спама и DDoS-атак. Модификация эксплоита годичной давности.
ЕС, Вам лучше удалить данный код с Вашей индексной страницы арбуза.»

Небольшое отступление для тех, кто, как и я не знает, что такое «эксплойт» — цитата с Википедии.

Эксплойт (англ. exploit — использовать) — это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода который, используя возможности предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению привилегий или отказу в обслуживании компьютерной системы.

Существует несколько методов классификации уязвимостей. Наиболее общий — это то, каким образом эксплойт контактирует с уязвимым программным обеспечением. «Удалённый эксплойт» работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе. «Локальный эксплойт» требует предварительный доступ к уязвимой системе и обычно повышает привилегии для лица, запускающего эксплойт над уровнем, который был предоставлен системным администратором. Эксплойт «подставного сервера» подвергает риску машину конечного пользователя в том случае, когда к нему был совершён доступ с помощью уязвимого клиентского приложения. Эксплойт против клиентского приложения может также требовать некоторого взаимодействия с пользователем уязвимого приложения и может быть использован в связке с методами социального инжиниринга, т.е. несанкционированного доступа к информации без использования технических средств.

Эксплойты могут также быть классифицированы по типу уязвимости, которую они атакуют. См. переполнение буфера, межсайтовый скриптинг, подделка межсайтовых запросов, SQL-инъекция.

Другая классификация по действию предпринятому против уязвимой системы: несанкционированный доступ к данным (копирование, удаление или модификация), выполнение кода, отказ в обслуживании.

Эксплойты могут быть разработаны для непосредственного обеспечения суперпользовательского уровня доступа к компьютерной системе. Однако, возможно использовать несколько эксплойтов — первый для получения удаленного доступа с невысоким уровнем, и повторно, для локального повышения привилегий до тех пор, пока не будет получен уровень доступа «0-дневными эксплойтами» (англ. zero-day, 0-day exploits) и получение доступа к таким эксплойтам — первейшее желание неквалифицированных вредоносных хакеров, так называемых скрипт-кидди.

Конец цитаты. Самое удивительное, что у меня лично вирус никак не проявлялся – Арбуз нормально открывался во всех браузерах, и антивирус, обычно навязчиво предостерегающий о всяких атаках, молчал как ни в чем не бывало.

Я скачал с сервера Саркора файл index.php, открыл его в текстовом редакторе. Действительно, в конце файла был добавлен массив символов, ранее отсутствовавший. Я его удалил и снова залил файл на сервер.

По мнению знакомого Игоря ака Georgick были похищены пароли доступа к серверу по протоколу FTP. Причем, Игорь даже нашел в Сети на форуме оптимизаторов обсуждение того, как воруют пароли именно с ftp-менеджера Total Commander’a которым я пользовался. Можете почитать – это здесь — http://forum.searchengines.ru/showthread.php?t=158354 . Один из участников обсуждения порекомендовал всем пользоваться ftp-менеджером Filezilla Portable. – он бесплатный. Ставится на флешку, которая подключается к любому компьютеру только на время работы по протоколу ftp – трояны просто не успевают ее опознать и заразить.

Теперь у меня была задача поменять пароль на доступ по ftp. Я догадывался, что это можно проделать через панель управления Plesk, но сам побоялся что-то запортить. Проделал все с помощью подсказок через ICQ Тимура Саттарова – оказывается, совсем не сложно. Это если знать, конечно. Заходите в пункт меню «Настройки» (для чайников — пиктограмма – Земной шар с домиком) и меняете пароль на новый.

pic

Еще недели две назад я установил рекламные блоки на Арбузе – для этого мне надо было создать папку в корневом разделе и вставить код для вывода рекламных строк, они меняются рекламодателем. Но грешить на рекламщиков за атаку не хочется – тысячи сайтов используют подобную рекламу и если бы были из-за них атаки, их бы давно прикрыли бы.

Эльдар Ишимбаев (а его должность — Ведущий специалист UZ-CERT) написал еще об этой атаке: «В общем, тянет эксплоит с хоста dodo32.org. Это уже не первый замеченный внедренный код на сайтах в Узнете. Аналогичный код был внедрен недавно на одном из сайтов (имя разгласить не могу), только сплоит тянулся с хоста bobo32.org. Совет: заблочить правилами экрана данные хосты. Желательно, чтобы это было сделано не на персональных компах, а на шлюзах организаций и на входе у провов.»

Еще неприятный итог атаки – Google зараженные сайты заносит в черный список и своих посетителей на них не отправляет. Теперь, по совету Игоря ака Georgick, мне надо написать в техподдержку Гугля, чтобы арбуз реабилитировали.
Спасибо всем участникам по спасению Арбуза! Сам бы я не сообразил – как бороться с этой гадостью.

Orphus system