Uwaga na rządową witrynę infekującą odwiedzających ją użytkowników

Niestety przypadek strony KNFu infekującego gości nie jest odosobniony. Od kilku dni odwiedzających infekuje strona Urzędu Rejestracji Produktów Leczniczych a obserwowany złośliwy kod szyfruje dyski pechowych użytkowników.

tetrotot z dodany: 21.02.2017, 09:38:09

29
Odpowiedz

Komentarze (29)

najlepsze

Kargaroth

21.02.2017, 11:37:29

Tak to jest jak strony rządowe robią jakieś pociotki za gruby hajs na kradzionym motywie do wordpressa (no tu akurat drupal), albo klepią to studenci na, bo szef cebula znajomy ministra ma firme i musi swoje zarobić na przetargu publicznym.
Dorzućmy do tego stawki dla admina i devopsa na poziomie kasjerki w biedronce i mamy to co mamy.

Zamiast takiego WYSIWYG (what you see is what you get), mamy YGWYPF - you

ZapomnialWieprzJakProsiakiemByl

21.02.2017, 12:45:36

@Kargaroth: Jak urzędnik z pensją kasjerki w biedronce ma być fachowcem? Jeszcze w takiej dziedzinie jak IT? Jak on ma nadzorować taki przetarg, wdrożenie i prowadzenie portalu? I tu nie chodzi, o to, że "znajomy ma firmę" tylko o opinię publiczną i system, w którym nie da się zatrudnić i zatrzymać prawdziwych fachowców.

W.....o

konto usunięte 21.02.2017, 13:19:34

YGWYPF

@Kargaroth: nie zgodzę się, znając życie ta strona była droższa niż najlepszy Twój projekt.... niestety.

m.....k

konto usunięte 21.02.2017, 12:21:00

Najlepsza jest odpowiedź na zgłoszenie. W tłumaczeniu: nam się wydaje, że wszystko jest w porządku. Jak nie masz pan infekcji na kompie, to spadaj.

Stivo75

21.02.2017, 11:38:16 via Android

Treść przeznaczona dla osób powyżej 18 roku życia...

maniac777

21.02.2017, 12:20:11

@Stivo75: Oprócz szukania post-factum dobrze jest uniemożliwić aplikacji modyfikację własnego kodu (właścicielem plików i katalogów powinien być ktoś inny niż użytkownik który aplikację uruchamia i ten co uruchamia nie powinien mieć uprawnień do tworzenia i modyfikacji).

elirath

21.02.2017, 13:09:45

@Stivo75: a nie lepiej git status i git ls-files . --exclude-standard --others zamiast mieszać z ręcznym wyliczaniem md5?

Przy okazji, nie używaj md5 do tego. Od 10 lat można łatwo znaleźć kolizje w md5, w 2012 pojawił się nawet wirus Flame który był podpisany sfałszowanym certyfikatem (z hashem md5). źrodło.

drooeed

21.02.2017, 11:12:55

Jak to fajnie brzmi "wstrzykniemy ci ramkę"
¬_¬

Zdalny

21.02.2017, 11:24:48

Ciekawe jaki jest zarobek cyberprzestępców z takiej akcji

Webanti

21.02.2017, 13:25:37

@Zdalny: Ostatni raport FBI https://pdf.ic3.gov/2015_IC3Report.pdf z 2015 roku bardzo obszernie opisuje problem ransomware i kwestie finansowe. W Polsce zaatakowana została strona KNFu nie bez powodu. Bardziej skłonne do zapłacenia okupu są firmy, a nie użytkownicy domowi, którzy raczej nie odwiedzają takich stron ( ͡° ͜ʖ ͡°)

r.....n

konto usunięte 21.02.2017, 11:56:43

r.....n — **źródło:** comment_xANlBlRgysbNOBL25HLroHUaAazYnLil.jpg
Pobierz

MiroslawWypok

21.02.2017, 17:20:22

@roztoczanin: Adres: https://dl.dropboxusercontent... ? Nie powinno to być na ich serwerze?

Yep... mi pobiera z serwerów adobe ( ͡° ͜ʖ ͡°)

RudaPatrycja

21.02.2017, 13:02:15

Drupala w Polsce bardzo dobrze zna kilka osób, reszcie się wydaje. A potem ZONK ... bo sam aktualny CMS to za mało na dzisiejsze czasy. Zresztą wystarczy prześledzić wpadki Wordpress'a ... a ludzie dodatkowo nic nie czytają na ten temat, a książki o bezpieczeństwie CMS są i po polsku.

IvanBarazniew

21.02.2017, 15:29:28

@RudaPatrycja: Bo ten soft się nadaje tylko do blue/green deployment w niemodyfikowalnych kontenerach a i tak nie gwarantuje to bezpieczeństwa, bo aplikacja wystawiona do świata modyfikuje treści, które wyświetla.

Wypadałoby deployować cały serwis z danymi read only, to może by to było jako-tako bezpieczne.

simperium

21.02.2017, 12:02:08

ciekawe, ile niezaktualizowanych komputerów z Windows XP i Internet Explorerem 8

Rozumiem, że zainfekować dadzą się automatycznie komputery z Win XP i przeglądarką IE8 lub niższą?

zarowka12

21.02.2017, 12:47:40

@simperium: właśnie nie wiadomo co to zdanie ma do reszty artykułu. Nie jest exploitowany ani Windows, ani IE8, tylko wtyczka Flash.

MrAndy

21.02.2017, 14:24:54

@simperium: Niezupełnie. Sprawdziłem przed chwilą na wirtualce XP Pro Sp3 + IE 8 + ostatni Flash Player i nic się nie dzieje po wejściu - poza błędami na stronie.