В последнее время участились случаи взлома веб-серверов и размещения вредоносных скриптов на главных страницах сайтов. Внедряемый скрипт — Trojan-Downloader.JS.Psyme — использует старые уязвимости в Microsoft Internet Explorer для загрузки на машину посетителя взломанного сайта троянца-шпиона. В ссылке на вредоносный код фигурирует имя файла скрипта sp.php.
Как происходят подобные заражения? Три варианта:
- «Живое» хакерское вторжение.
Большое количество однотипных случаев сводит вероятность данного сценария к минимуму.
- Массивная автоматическая эксплуатация сервисов веб-серверов.
В случае с доступными мне для анализа зараженными серверами, скрипты загружались в директории веб-сервисов по протоколу FTP, причем с использованием уже существующего в системе логина.
Это означает, что хакер (кем или чем бы он ни был) имел доступ к учётным записям и паролям сервера — по крайней мере, некоторым. Быть может, хешированный при помощи не вполне актуального на сегодняшний день криптоалгоритма MD5 файл с паролями «вытаскивали» через дыру в каком-нибудь из веб-сервисов?
Однако и этот сценарий маловероятен — ввиду того, что модификация серверов производилась абсолютно «чисто»: в логах не зафиксированы ни предварительные попытки логина, ни какие-либо подозрительные манипуляции с сервисами — ничего, кроме легального входа на FTP.
Что же остается? Если отбросить более чем сомнительную идею о сниффинге, то…
- Воровство паролей с машин конечных пользователей FTP веб-сервера.
Речь идет о вероятном троянце, который, будучи запущен на Windows-машине администратора сайта с сохраненными на ней данными для доступа к FTP (например, в Total Commander), воровал бы эти данные.
Количество доводов в пользу этого сценария увеличивается, если поразмыслить, почему заражаются именно те сервера, которые заражаются, не будучи связанными друг с другом никакой очевидной логикой. Ведь воруя пароли с машины пользователя, программа забирает их вместе с IP-адресом целевой машины.
Причем, эти пароли даже не обязательно куда-то отсылать — сам троянец может «на месте» инициировать FTP-сессию с использованием найденных реквизитов и загрузить на сервер вредоносные скрипты — при наличии у FTP-аккаунта достаточных на то привилегий.
По моей оценке, сейчас мы практически наверняка имеем дело со сценарием №3, в связи с чем противодействие «эпидемии взломов» сводится к стандартным антивирусным рекомендациям:
- обязательно устанавливать на компьютеры администраторов сайтов все актуальные «заплатки» от Microsoft;
- регулярно обновлять базы антивируса на таких компьютерах;
- и снабдить их нормальным межсетевым экраном.
Плюс набившие оскомину предосторожности: не запускать незнакомые файлы или выключать по возможности автозагрузку ActiveX в браузере.
Очевидно и частное решение: избегать хранения паролей доступа в FTP-клиентах (и не только в них), но кто в наши дни сможет похвастаться достаточной для этого памятью?
Злобные хакеры или беспечные юзеры?