После взлома DreamHost и кражи паролей пользователей, о чём сообщалось две недели назад, пострадали многие веб-сайты на этом хостинге. Антивирусная компания Zscaler обнаружила десятки PHP-страниц, которые осуществляют редирект на сайт hxxp://www.otvetvam.com и другие вредоносные сайты с контентом на русском языке.
Вот список страниц, многие из них до сих пор существуют.
http://www.lciva.com/wp-content/plugins/extended-comment-options/gyrewnv.php
http://honorboundphoto.net/photos/10007-mankato_habitat_for_humanity_golf_tournament/agtruje.php
http://ryanmasters.ca/wp-content/gallery/our-kingdom/thumbs/tyiueg.php
http://treatmentofpanicattacks.com/wp-content/cache/supercache/www.treatmentofpanicattacks.com/category/anxiety-support/polzin.php
http://r4theband.co.uk/content/wp-content/themes/agregado/includes/cache/gyrewnv.php
http://dedehaluk.com/cache/hakkinda/fgjke.php
http://www.agustindondo.co.uk/yellowbrick/wp-content/files_flutter/modules/fgjke.php
http://dcstavclub.org/wp-content/themes/newzen_2.0_build_105/images/fgndnju.php
http://camtarn.org/gizmoblog/content/06/03/entry060305-180312/comments/fgjke.php
http://derek.hinchy.org/MT-5.031-en/mt-static/support/theme_static/professional_website/themes/professional-green/polzin.php
http://ojosdelmundo.dreamhosters.com/images/comprofiler/gallery/tghreig.php
Сайт hxxp://www.otvetvam.com тоже работает до сих пор и
посвящён мошеннической схеме «работы на дому». В левой части страницы
все ссылки ведут на комментарии от людей, которые пропагандируют данную
схему заработка. Код страницы скопирован с URL hxxp://otvet.mail.ru/question/59882991/.
Правая часть страницы выглядит как контекстная реклама Google AdSense, но на самом деле ссылки ведут на вредоносный сайт hxxp://www.tvoitube.com, это клон YouTube, который зарабатывает на партнёрской программе с онлайновым казино.
Позже вышеупомянутые PHP-страницы начали отправлять пользователей на
сайты ru-0tveti.com, ru-0tveti1.com (сейчас редирект может идти уже на
новый сайт).
Как уже было сказано, все вредоносные страницы располагаются на
сайтах с хостинга DreamHost. Вполне вероятно, что это связано с
инцидентом двухнедельной давности: тогда компания сообщила об
обнаружении несанкционированного доступа к базе данных хэшей паролей и
произвела принудительный сброс паролей для всех аккаунтов FTP/Shell.
Вполне вероятно, что атаки на пользователей DreamHost продолжатся и в
дальнейшем.
|