Yv@n#39
Kicsit más a helyzet, bár nem térnek ki rá túl részletesen. Tárhely szolgáltatóként logot böngészve látszik jól a dolog mibenléte.
Nagyjából év eleje óta tapasztalható, hogy rengeteg tárhelyet "feltörnek". A logokat böngészve az látható, hogy komplett, automatizált botnet végzi a támadásokat, bizonyos időközönként ellenőrizve, hogy él-e még az adott ftp hozzáférés, illetve fertőzött-e még az oldal. A gyakoribbak a javascript és html fájlok fertőzései, mivel ezekben jól el lehet rejteni a kódot a felhasználó szeme elől, és nem okoz parse-olási hibát, vagy legalábbis nem szembetűnő, de 1-2 tárhelyen találtam php-be illesztett kódot is.
A fertőzés jellemzően iframe beillesztése, amiben egy-egy spéci pdf és swf állományt nyitna meg a böngésző a háttérben, majd átadná azt az ezek kezelésére alkalmas pluginnek...tehát a dolog szépsége, hogy nem is böngésző, vagy rendszer biztonsági hibán keresztül terjed a cucc, hanem sime felhasználói programmal. Sikeres fertőzés esetén a gép része lesz a botnetnek, majd a fertőzés átnézi a rendszert a gyakoribb ftp kliensek configjai után kutatva és kiolvasva belőlük a letárolt jelszavakat megosztja azt a botnet többi gépével, illetve attól kezdve azt is "megtörik" és teleszórják az önmaguk terjesztésére alkalmas kódrészlettel. A dolog szépsége, hogy nem feltétlen szükséges az sem,h oyg az adott program rendszergazdaként fusson, hisz ezeket a jelszó tároló fájlokat felhasználóként használja az ember, tehát rendszergazda jog nélkül is olvashatóak. Így ha települni nem is tud, attól a megszerzett kódokat még világgá kürtölheti.
Btw ezekből a fertőzésekből látszik igazán, hogy mekkora egy foskazán biztonsági szempontból az adobe által gyártott legtöbb termék...