• Товары с Алиэкспресс
  • Игрушки для мальчиков
  • Одежда
  • Игрушки ребенку
  • Ноутбуки
  • Новости
  • Анатомия SEO-кампании Blackhat SEO (с изюминкой)

    1. Законные сайты взломаны и завербованы в спам сеть Во время периодического анализа трафика Cato Cloud в исследовательской лаборатории Cato мы заметили, что наш механизм анализа безопасности был вызван запросом к службе совместного использования кода, Pastebin. Запрос был создан с сайта дошкольного учреждения в Сингапуре (Рисунок 1) . Pastebin - это популярный сервис для хранения и обмена кодом. «Вставка» в учетной записи Pastebin относится к фрагменту кода, который можно динамически извлекать и помещать в определенный контекст, например на веб-страницу. Хотя служба используется в законных целях, ее также можно использовать для активизации вредоносных действий через Интернет. Рисунок 1 - Снимок экрана веб-сайта Анализ исходного кода сайта привел к появлению тега script, который был источником подозрительного запроса. Проанализировав другие части кода, мы заметили несколько скрытых ссылок, которые ссылались на сайты по продаже обуви. Понятно, без отношения к дошкольному сайту. (Рисунок 2) . Рисунок 2 - Фрагмент подозрительного кода Ссылки размещаются в скрытой части страницы, перекрывающей один из заголовков, поэтому любой, кто щелкает по заголовку, по незнанию ссылается на один из этих сайтов. Это хорошо известный метод, называемый «clickjacking», который используется для различных злонамеренных целей, таких как сбор принудительных лайков на странице Facebook. Достигнув нашего интереса, мы просмотрели ссылку в Pastebin. Мы видим, что он содержит фрагмент Javascript, который выполняется каждый раз, когда веб-браузер попадает на зараженную страницу, загружая другой код Javascript, размещенный на сервере злоумышленника. Это позволяет злоумышленнику использовать Pastebin, законный сервис, в качестве шлюза для вредоносного кода (рисунок 3) . Паста имела более 500 тыс. Просмотров с момента ее публикации, и за время расследования она увеличилась со скоростью 10 тыс. Просмотров (рис. 4) . Интересно, что на данный момент сценарий ссылается на HTML-страницу, а не на код Javascript. Упомянутый HTML-код содержит несколько сценариев, предназначенных для создания отпечатка устройства для пользователей, получающих доступ к сайту. Этот метод часто используется для поддержки ориентации пользователей на рекламу без использования файлов cookie, которые отключены или запрещены в различных регионах. Рисунок 3 - Вредоносная паста, содержащая Javascript Когда мы копали немного больше для конкретной учетной записи Pastebin, мы увидели дополнительные вставки, которые указывают на злые намерения этого актера. Рисунок 4 - Более 500 тыс. Обращений к этой пасте На следующем рисунке показана одна из вставок, содержащих бэкдор PHP (рисунок 5) . Бэкдор - это фрагмент кода, который размещается на сайте и дает злоумышленнику возможность контролировать веб-сервер взломанного сайта. Этот простой, но эффективный бэкдор выполняет PHP-код, который злоумышленник может отправить с помощью HTTP-запросов POST. Рисунок 5 - PHP backdoor paste Сеть спама в действии
    2. Как происходит первоначальное поглощение сайта
    3. Резюме
    4. Ронен Атиас

    Законные сайты взломаны и завербованы в спам сеть

    Во время периодического анализа трафика Cato Cloud в исследовательской лаборатории Cato мы заметили, что наш механизм анализа безопасности был вызван запросом к службе совместного использования кода, Pastebin. Запрос был создан с сайта дошкольного учреждения в Сингапуре (Рисунок 1) .

    Pastebin - это популярный сервис для хранения и обмена кодом. «Вставка» в учетной записи Pastebin относится к фрагменту кода, который можно динамически извлекать и помещать в определенный контекст, например на веб-страницу. Хотя служба используется в законных целях, ее также можно использовать для активизации вредоносных действий через Интернет.

    Рисунок 1 - Снимок экрана веб-сайта

    Анализ исходного кода сайта привел к появлению тега script, который был источником подозрительного запроса. Проанализировав другие части кода, мы заметили несколько скрытых ссылок, которые ссылались на сайты по продаже обуви. Понятно, без отношения к дошкольному сайту. (Рисунок 2) .

    Рисунок 2 - Фрагмент подозрительного кода

    Ссылки размещаются в скрытой части страницы, перекрывающей один из заголовков, поэтому любой, кто щелкает по заголовку, по незнанию ссылается на один из этих сайтов. Это хорошо известный метод, называемый «clickjacking», который используется для различных злонамеренных целей, таких как сбор принудительных лайков на странице Facebook.

    Достигнув нашего интереса, мы просмотрели ссылку в Pastebin. Мы видим, что он содержит фрагмент Javascript, который выполняется каждый раз, когда веб-браузер попадает на зараженную страницу, загружая другой код Javascript, размещенный на сервере злоумышленника. Это позволяет злоумышленнику использовать Pastebin, законный сервис, в качестве шлюза для вредоносного кода (рисунок 3) . Паста имела более 500 тыс. Просмотров с момента ее публикации, и за время расследования она увеличилась со скоростью 10 тыс. Просмотров (рис. 4) .

    Интересно, что на данный момент сценарий ссылается на HTML-страницу, а не на код Javascript. Упомянутый HTML-код содержит несколько сценариев, предназначенных для создания отпечатка устройства для пользователей, получающих доступ к сайту. Этот метод часто используется для поддержки ориентации пользователей на рекламу без использования файлов cookie, которые отключены или запрещены в различных регионах.

    Рисунок 3 - Вредоносная паста, содержащая Javascript

    Когда мы копали немного больше для конкретной учетной записи Pastebin, мы увидели дополнительные вставки, которые указывают на злые намерения этого актера.

    Рисунок 4 - Более 500 тыс. Обращений к этой пасте

    На следующем рисунке показана одна из вставок, содержащих бэкдор PHP (рисунок 5) . Бэкдор - это фрагмент кода, который размещается на сайте и дает злоумышленнику возможность контролировать веб-сервер взломанного сайта. Этот простой, но эффективный бэкдор выполняет PHP-код, который злоумышленник может отправить с помощью HTTP-запросов POST.

    Рисунок 5 - PHP backdoor paste

    Сеть спама в действии

    Мы обнаружили тысячи зараженных страниц, размещенных на законных веб-сайтах, содержащих ссылки на одну и ту же сеть спам-магазинов. Каждая страница со спамом содержит скрипт, который перенаправляет пользователей на розничный веб-сайт, которым управляют спаммеры. Перенаправление происходит только в том случае, если пользователь ссылался на эту страницу из основной поисковой системы: Google, Bing, Yahoo или AOL (рисунки 6,7) . Это обычный SEO-метод, используемый для того, чтобы ложно увеличить рейтинг страницы.

    Сценарий размещен на нескольких поддоменах с именами «google.jj4.co» и «gogle.jj4.co», и имя сценария также различается.

    Рисунок 6 - скрипт внедрения Рисунок 6 - скрипт внедрения   Рисунок 7 - содержимое внедренного скрипта Рисунок 7 - содержимое внедренного скрипта

    На момент публикации мы не могли проверить, действительно ли приобретенный товар доставлен. Очевидно, что любой, кто использует такие методы для получения трафика, не является заслуживающим доверия продавцом.

    Как происходит первоначальное поглощение сайта

    Поиск домена C & C в вставке из рисунка 3 привел нас к сценарию, который использовался для атаки на сайты. Сценарий предназначен для использования уязвимостей межсайтового скриптинга (XSS) в WordPress для захвата сайта и установки URL-ссылок на продукты и магазины, которые мы видели ранее.

    Во-первых, сценарии атаки добавляют простой бэкдор PHP к одному из установленных плагинов WordPress - точный код PHP, который появляется в одной из вставок злоумышленника. Позже скрипт сообщает о домене и пути взломанного плагина.

    Рисунок 6 - Сценарий атаки, показывающий C & C URL Рисунок 6 - Сценарий атаки, показывающий C & C URL   Рисунок 7 - Сценарий атаки Рисунок 7 - Сценарий атаки

    Наконец, скрипт пытается добавить пользователя с правами администратора в WordPress (рисунок 8) .

    Рисунок 8 - Сценарий атаки

    Резюме

    Здесь важно использовать Pastebin в контексте спам-сети, поскольку злоумышленник может быстро заменить домен сервера командования и управления (C & C) в пасте и повлиять на все зараженные сайты. Это необходимо, когда серверы C & C попадают в черный список, и необходимо быстро их менять. Очевидно, что Пастебину трудно обнаружить и остановить эти действия. Хотя это может быть не что иное, как мошенничество в электронной коммерции, тот же метод может использоваться для доставки вредоносных программ с помощью наборов эксплойтов, которые могут значительно повысить риск для конечных пользователей. Объем активности вокруг Вставки указывает, что сотни тысяч пользователей могут быть затронуты.

    Чтобы не допустить захвата вашего сайта такими атаками, рассмотрите возможность регулярного исправления ваших экземпляров WordPress и плагинов WordPress и ограничения доступа администратора к определенному IP-адресу, например внешнему IP-адресу вашей корпоративной сети.

    Прочитать о лучшие сайты по безопасности

    Ронен Атиас

    Ронен Атиас - исследователь безопасности в Cato Networks. Он является одним из лучших членов команды исследовательских лабораторий Cato. Кроме того, не практикующий биолог, фанат MacGyver и эксперт по всем вопросам Интернета. Взламывая планету с ZX81.

    Больше сообщений

    Ронен Атиас - исследователь безопасности в Cato Networks. Он является одним из лучших членов команды исследовательских лабораторий Cato. Кроме того, не практикующий биолог, фанат MacGyver и эксперт по всем вопросам Интернета. Взламывая планету с ZX81. Просмотреть все сообщения от Ronen Atias

    Почему на алиэкспресс все дешево, можно ли покупать у них?
    6 Январь 2016       darwin             Просмотров:   2816 Хотел бы ответить на вопрос который мне поступил на почту, мол почему на алиэкспресс

    ТОП-5 лучших умных часов с Алиэкспресс
    Умные часы сравнительно недавно оказались на прилавках магазинов, тем не менее, стремительно набирают популярность среди взрослых и детей. Это и не удивительно, ведь этот аксессуар не только красиво смотрится

    Как заработать на Алиэкспресс: основные методы
    Казалось бы, крупные торговые площадки в Интернете — это места, предназначенные для траты денег. Но на самом деле есть простые и надёжные методы, как заработать на Алиэкспресс. И воспользоваться ими могут

    Что делать если на алиэкспресс магазин перестал существовать
    Статьи Опубликовано: 18.10.2017 КАРТПЛОТТЕР (эхолот) за 25$!!! СОЗДАЮЩИЙ КАРТЫ глубин в реальном времени. Все чаще мне задают вопросы в стиле “Заказал товар, оплатил, позже зашел на страницу продавца,

    Детский размер США на русский на Алиэкспресс
    Многие из нас активно пользуются этой площадкой, и это не удивительно: здесь всегда можно найти что-то интересное по сходной цене. Детский размер США на русский на Али экспресс, таблицы сравнения – довольно

    Rock Zircon Nano - обзор наушников с АлиЭкспресс, где можно купить
    Недавно у меня сломались мои любимые наушники, и я начал подумывать о покупке новой модели. Наушники Rock Muma прослужили мне верой и правдой около двух лет, и я решил заказать их младшего брата — Rock

    Размер обуви на Алиэкспресс
    Многие считают, что приобретение обуви на торговой площадке – плохая идея, ведь велика вероятность того, что придет вовсе не тот размер, который мы заказывали. Но знаете ли вы, что в большинстве случаев

    Алиэкспресс шубы
    Всем привет. С наступлением осени меня все чаще стали спрашивать про покупку шубы с алиэкспресс, стоит оно того или нет. Поискав информацию в интернете, я кроме как  точно таких же вопросов, ничего

    Как вернуть обувь на Алиэкспресс ·. Возврат обуви на Алиэкспресс. В данной статье рассказывается о том, как делать возврат обуви на Алиэкспресс.
    Заказывая обувь на Алиэкспресс, все мы ожидаем надлежащее качество, и как же приятно когда оно соответствует нашим требованиям. Ну что можно сделать, если обувь пришла не такой какой должна

    Доставка с Алиэкспресс курьером: платная или нет?
    В данной статье мы поговорим, платная ли доставка курьером на Алиэкспресс . Курьерская доставка с Алиэкспресс нравится многим покупателям, ведь не придётся идти на почту с извещением, стоять в очереди

     

    Карта