Xakep #305. Многошаговые SQL-инъекции
После взлома DreamHost и кражи паролей пользователей, о чём сообщалось две недели назад, пострадали многие веб-сайты на этом хостинге. Антивирусная компания Zscaler обнаружила десятки PHP-страниц, которые осуществляют редирект на сайт hxxp://www.otvetvam.com и другие вредоносные сайты с контентом на русском языке.
Вот список страниц, многие из них до сих пор существуют.
http://www.lciva.com/wp-content/plugins/extended-comment-options/gyrewnv.php
http://honorboundphoto.net/photos/10007-mankato_habitat_for_humanity_golf_tournament/agtruje.php
http://ryanmasters.ca/wp-content/gallery/our-kingdom/thumbs/tyiueg.php
http://treatmentofpanicattacks.com/wp-content/cache/supercache/www.treatmentofpanicattacks.com/category/anxiety-support/polzin.php
http://r4theband.co.uk/content/wp-content/themes/agregado/includes/cache/gyrewnv.php
http://dedehaluk.com/cache/hakkinda/fgjke.php
http://www.agustindondo.co.uk/yellowbrick/wp-content/files_flutter/modules/fgjke.php
http://dcstavclub.org/wp-content/themes/newzen_2.0_build_105/images/fgndnju.php
http://camtarn.org/gizmoblog/content/06/03/entry060305-180312/comments/fgjke.php
http://derek.hinchy.org/MT-5.031-en/mt-static/support/theme_static/professional_website/themes/professional-green/polzin.php
http://ojosdelmundo.dreamhosters.com/images/comprofiler/gallery/tghreig.php
Сайт hxxp://www.otvetvam.com тоже работает до сих пор и посвящён мошеннической схеме «работы на дому». В левой части страницы все ссылки ведут на комментарии от людей, которые пропагандируют данную схему заработка. Код страницы скопирован с URL hxxp://otvet.mail.ru/question/59882991/.
Правая часть страницы выглядит как контекстная реклама Google AdSense, но на самом деле ссылки ведут на вредоносный сайт hxxp://www.tvoitube.com, это клон YouTube, который зарабатывает на партнёрской программе с онлайновым казино.
Позже вышеупомянутые PHP-страницы начали отправлять пользователей на сайты ru-0tveti.com, ru-0tveti1.com (сейчас редирект может идти уже на новый сайт).
Как уже было сказано, все вредоносные страницы располагаются на сайтах с хостинга DreamHost. Вполне вероятно, что это связано с инцидентом двухнедельной давности: тогда компания сообщила об обнаружении несанкционированного доступа к базе данных хэшей паролей и произвела принудительный сброс паролей для всех аккаунтов FTP/Shell. Вполне вероятно, что атаки на пользователей DreamHost продолжатся и в дальнейшем.