Σάββατο, 16 Δεκέμβριος 2017, 3:34 πμ

Διαμοιρασμός κακόβουλου λογισμικού με πρόσχημα μήνυμα του cPanel

account-suspended-cpanel

Το cPanel είναι ένα από τα πιο διάσημα διαχειριστικά για εξυπηρετητές (servers), επιτρέποντας την εύκολη διαχείριση μιας ιστοσελίδα με ένα φιλικό περιβάλλον εργασίας, το οποίο τυπικά χρησιμοποιείται για την εκτέλεση  διαφόρων scripts και την παραγωγή δυναμικού περιεχομένου.

Ένα ευρέως διαδεδομένο script είναι η γνωστή σελίδα αναστολής λειτουργίας του ιστοτόπου με το μήνυμα “Account Suspended”, όπως εμφανίζεται στην κατωτέρω εικόνα:

account-suspended

Το ανωτέρω μήνυμα εμφανίζεται για πολλούς λόγους, όπως για μη καταβολή της πληρωμής του πακέτου φιλοξενίας, παραβίαση των όρων χρήσης ή για υπέρβαση του bandwidth.

Το script το οποίο εμφανίζει αυτή τη σελίδα βρίσκεται εδώ:

/usr/local/cpanel/cgi-sys/suspendedpage.cgi

Η ανωτέρω σελίδα έχει κατασκευαστεί με κώδικα HTML και η επεξεργασία της μπορεί να γίνει μόνο από κάποιον διαχειριστή του εξυπηρετητή (server).

Πολλές ιστοσελίδες οι οποίες έχουν χρησιμοποιηθεί για τη διανομή κακόβουλου λογισμικού έχουν ανασταλεί και πλέον εμφανίζεται το μήνυμα αναστολής.

Πως εκμεταλλεύονται τη σελίδα αναστολής οι κακόβουλοι χρήστες;

Εκμεταλλευόμενοι το ανωτέρω μήνυμα κακόβουλοι χρήστες βρίσκουν την ευκαιρία να επεμβαίνουν σε ευπαθείς σελίδες και να εισαγάγουν το δικό τους κώδικα σε μια σελίδα φαινομενικά αθώα, η οποία μάλιστα εμφανίζεται να βρίσκεται σε αναστολή.

Βλέποντας τον παρακάτω HTML κώδικα διακρίνουμε ένα iframe το οποίο οδηγεί σε μια διεύθυνση με κακόβουλο λογισμικό:

iframe-injection

Η ανωτέρω διεύθυνση (osuavope.servepics.com) παράγεται δυναμικά και αλλάζει συχνά προκειμένου να μην χαρακτηριστεί ως κακόβουλη (blacklist) από τα διάφορα προγράμματα προστασίας.

Για παράδειγμα, εάν ξανα-επισκεφτείτε την επίμαχη σελίδα από διαφορετική IP διεύθυνση λίγη ώρα αργότερα, θα εντοπίσετε διαφορετική διεύθυνση στον κακόβουλο iframe κώδικα:

newiframe

Τι είδους κακόβουλο λογισμικό περιέχεται στις διευθύνσεις που οδηγούν τα iframe;

Όπως αναφέραμε και πιο πάνω, το επίμαχο iframe σας οδηγεί σε σελίδες με πληθώρα κακόβουλων προγραμμάτων, όπως:

  • Flash exploit (VT): CVE-2015-0311
  • Silverlight exploit (VT): CVE-2013-0074
  • PDF exploit (VT): CVE-2010-0188
  • Java exploit (VT): CVE-2013-2465

Πως μπορείτε να προφυλαχτείτε;

Καταρχήν θα πρέπει να μην εμπιστεύεστε οτιδήποτε βλέπετε χωρίς να το εξετάζετε! Εν συνεχεία να έχετε πάντοτε ενημερωμένο το λειτουργικό σας σύστημα και ένα καλό και ενημερωμένο antivirus.

πηγή: JÉRÔME SEGURA, Senior security researcher at Malwarebytes

Το cPanel είναι ένα από τα πιο διάσημα διαχειριστικά για εξυπηρετητές (servers), επιτρέποντας την εύκολη διαχείριση μιας ιστοσελίδα με ένα φιλικό περιβάλλον εργασίας, το οποίο τυπικά χρησιμοποιείται για την εκτέλεση  διαφόρων scripts και την παραγωγή δυναμικού περιεχομένου. Ένα ευρέως διαδεδομένο script είναι η γνωστή σελίδα αναστολής λειτουργίας του ιστοτόπου με το μήνυμα “Account…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.9 ( 2 votes)
89