Velice rafinovaný útok
Pondělí 6. 04. 2009 • Internet, SoftwareVčera na mě Avast! vybafl z hláškou, že zablokoval přístup k doméně mainnameshop.cn. Google mi prozradil, že se jedná o doménu, která přesměrovává na stránky obsahující malware. Ihned jsem nažhavil HijackThis, Avast! a Spyware Terminator. Všechny tři programy mi však potvrdily, že můj počítač je (jak jinak) čistý.
Řekl jsem si, že to tedy nechám plavat, když je to stejně zablokované. Po chvilce však hláška vyskakovala znovu a všiml jsem si, že to má co dočinění s nějakou internetovou stránkou. A po chvilce jsem kápl na to, kterou. Doteď by to nebylo nic zvláštního, prostě jsem se dostal na stránku obsahující malware, Avast! ji zablokoval a tím to hasne.
Problém však nastal v tom, že se jednalo o mnou vytvořený web pro zákazníka. Do stránky byl pěkně přidaný prvek <iframe> s vypnutou viditelností a to hned po značce <body>. Možnost, že by se tam dostal mým zaviněním jsem prakticky okamžitě vyloučil a jal jsem se studovat logy serveru. Krásné na tom bylo, že jsem to objevil asi v jednu hodinu ráno, zrovna když jsem se chystal jít spát.
Po chvilce bylo rozřešení na světě, protože zákazník má svůj vlastní FTP účet a asi před čtrnácti dny jsem mu odvirovával počítač. Záznamy v logu serveru tomu naprosto přesně odpovídaly. Útočník si vyhmátl heslo uložené v Total Commanderu, připojil se přes FTP, upravil index.php a bylo vymalováno.
Musím se přiznat, že takto rafinovaný útok mě dost zaskočil, pořád ještě přemýšlím, jestli je taková činnost automatizovaná a nebo to někdo dělal ručně. Avšak každopádně platí, že žádná stránka není bezpečná, na každé může být škodlivý kód. Z toho plyne, že poučka nenavštěvuj stránky co neznáš a nic se ti nestane rozhodně neplatí, jediným lékem je kvalitní zabezpečení a hlavně, hlavně je bezpodmínečně třeba instalovat všechny aktualizace veškerého nainstalované softwaru.