Я и Роял Банк

Royal Bank

Сегодня утром встал, проверял свою почту, а там такое письмо:

Dear мойдомен.ком  Team

It appears that your website http://мойдомен.com  has been hacked by a fraudster. It is now hosting a phishing attack against Royal Bank of Canada.
Please remove the fraudulent folders/files as soon as possible and secure your website as it has been compromised.

http://мойдомен.com/10r98bt/rbunxcgi.php

Please take all necessary steps to immediately shut down the fraudulent website, terminate its availability to the Internet and discontinue the transmission of any e-mails associated with this website.

We understand that you may not be aware of this improper use of your services and we appreciate your cooperation. We specifically would ask that you also take the following actions:

• Please provide us with a tar/zip file of the source code for this site, so that we may analyze it to help prevent further attacks.

• If any customer data has been captured that is stored on your systems or equipment, please send us that data so that the customers to whom that data relates can be notified and take steps to protect their credit.

• Please provide a copy of any records you maintain that indicate the name, contact information, method of payment or similar information that may be useful in helping learn the identity and location of the customer for whom the website has been operated.

Thank you for your cooperation to prevent and terminate this fraudulent activity.

Sincerely,
RSA  Anti Fraud Command Center
Tel: +44(0)800-032-7751 (UK)
Tel: +1-866-408-7525 (US)
Tel: + 1-800-406-8651 (CA)
Fax: +972-9-9728101 (EU)
Fax: +1-212-208-4644 (US)
E-mail:afcc@rsasecurity.com

Естественно я шокировался, и начал изучать все это дело. Как оказалось, на самом деле взломали мой блог, и фишеры там оставили вредоносный код, который при переходе по ссылке, редиректил пользователей на фейк страницу. На фейковой странице, все было идеально. Все картинки, стили итд качались из офф. сайта Роял банка. А сама страничка, была профессионально задизайнена, а верстальщик вообще на 5 работал 🙂 Но естественно после того как юзер вводил свои данные, для входа в интернет банкинг, он получал алерт, что данные введены не правильно, и скрипт редиректил пользователя на офф. страничку, где естественно у их уже таких проблем не было бы. Кажется стандартная фишерская атака с первого взгляда, но на самом деле это не так. Либо технология изменилось у фишеров, либо я постарел, и не знаю все как делается сейчас 🙂 но когда юзер вводил свои данные, то его данные не отправлялись к фишерам, а локально хранились в файле idiots.txt 🙂 Я когда это увидел, начал ржать. Сразу думал что это рук русских фишеров, и начал продолжать свое исследование. Естественно, несколько идиотов уже успели вводить свои данные, и файл не был пуст.

Прежде чем продолжить, я естественно удалил все файлы, папки, и логи, что нашел у себя на сервере, все это отправил в отдел без. Роял Банка, и начал изучать код. Оказался, что фишеры из Новой Зеландии. И хост у них был. А вот почему они не скрыли все это, я не знаю. Кроме прямых комментарий, еще и другая инфа была, которую тут я не опубликую естественно…

Но вопрос не в этом,  а в другом.. Хуй с этим, что они делают, или как делают. Вопрос в том, что до сих пор, мильный спам, и фишинг атаки продолжаются, и даже цветут с каждым днем, а количество наивных людей становится все больше, и больше.

Естественно, меня заинтересовал вопрос, как эти гавнюки взломали мой блог 🙂 Потаму что меня вопрос фишинга, или факт фишинга мало интересовал если честно, а меня задел другой вопрос, а именно то, что я не так сделал, и где открыл им доступ. Проверил версии движков, все оказалось чисто, потом начал проверить пользователей, тоже чисто. И вдруг, вспомнил, что вчера я у себя установил 1 плагин статистики, который скачал с официальной странички вордпресса. Ага, зашел в папку /plugin/pluginname/ а там смотрю кроме файлов плагина, еще и весит хитражопый шел. Ага,вот оно… Потом начал проверять права на запись папок, и обнаружил, что другой плагин, который не связан с этим, для установки требует 777, для корневой папки 🙂

Естественно, это совпадение, и такое может быть раз в миллион лет, но с этого надо получить урок. А какой, сейчас скажу !

– когда устанавливаете плагины для своего движка, тщательно посмотрите на комплект файлов. при возможности откройте их через редакторы

– не ставьте плагины, которые требуют для работы 777 chmod

– время от времени, прогуляйте по папке public_html

Написал письмо к WordPress-овцам, написал проблему, и показал место файла. Ребята очень быстро среагировали, и устранили брешь, за что и им огромное спасибо!

Comments are closed.