Tik šį kartą tas nulaužimas ne toks akivaizdus ir neaišku ar tai rusų darbas. Pamenat, kažkada rašiau apie nulaužtą Susisiekimo ministerijos tinklalapį ir žalingo kodo platinimą per jį? Dabar tas pats vyksta su www.regitra.lt. Vizualiai puslapis atrodo normaliai.

Bet jame yra tas bjaurusis nulaužimas, kurio nesimato vizualiai, tačiau puslapis išnaudojamas tolimesniems tikslams. Pažiūrėjus į tinklalapio kodą, jame galima rasti įsilaužėlių pridėtą eilutę. Ta eilutė prasideda iš karto už <html> žymės ir lankytojams 1×1 taško dydžio langelyje atidaro kitą puslapį, kuris vartotojui nematant užkraunamas jo naršyklėje.

Bandant tą nuorodą atidaryti tiesiogiai, FireFox 3.0 iš karto meta įspėjimą ir to puslapio neatidaro.

Internet Explorer 7.0 tą puslapį atidaro be jokių problemų, kas reiškia, kad FF 3.0 naudojantys vartotojai yra saugesni. Šiuo atveju tiesiog spaudžiam “Ignore” ir žiūrim kas bus. Naršyklėje pasirodo Windows Media Player’is, kas reiškia, kad bandomas išnaudoti kažkoks jo pažeidžiamumas.

Šio puslapio kodas yra vien tik JavaScript programinis kodas, kuris šiek tiek tyčia iškraipytas, kad jį būtų sunkiau skaityti ir analizuoti. Taip pat pateikiamas kodas skiriasi, jei puslapį atidarinėji su FF 3.0 arba IE 7.0. Pastarojo atveju bandomi išnaudoti visai kitokie pažeidžiamumai ir pabaigoje tiesiog užkraunamas Google tinklalapis.

Toks kodo maskavimas nėra didelė problema, nes iškraipymas nesudėtingas, o visas kodas prieinamas tolimesnei analizei. Pagrindinius veikimo elementus galima greitai atsekti beveik iš karto. IE 7.0 atveju, išnaudojant naršyklės pažeidžiamumus, kliento kompiuteryje bandoma įdiegti kažkokį Hotbar Adaware (reklamas rodančią programą). Turbūt tas pats turėtų būti daroma ir FF 3.0 atveju, tik dėl į naršyklę įdiegtų apsaugos funkcijų iki to paprastas vartotojas net neprieina.

Jau kiek vėloka tolimesnei analizei, bet parodysiu dar viena naudingą Google funkciją. Tai yra Google SafeBrowsing, kur galima patikrinti tinklalapius, ar juose Google robotas beindeksuodamas neaptiko ir nuorodų į žalingą kodą automatiškai platinančius tinklalapius. Pvz. Vilniaus policijos komisariato puslapis patikrinamas suformauojant tokią nuorodą: http://www.google.com/safebrowsing/diagnostic?site=http://vpk.5ci.lt. Rezultatai rodo, kad paskutinį kartą jie savo lankytojams žalingą kodą platino birželio 24 dieną.

Visai įdomių rezultatų galima rasti tikrinant populiarius lietuviškus tinklalapius.

Regitra ne pirmoji ir ne paskutinė. Pagal statistiką, berods jau kitais metais apie 60% visų tinklalapių, po išlaužimo nebus deface’inami, bet nežinant jų savininkams panašiu būdu platins žalingas programas lankytojams. Tad kartoju tą patį klausimą: kas kitas?

» Temos: Apie viską
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us