Come fa un trojan come Trojan: JS / BlacoleRef.BV a infettare un sito web?

Naviga le tue risposte
5

Oggi scopro che il mio sito web è stato infettato da Trojan: JS / BlacoleRef.BV. Il server è un server condiviso da una società di hosting.

In che modo un trojan come questo arriva sul server web?

    
posta Corne Beukes 13.07.2012 - 14:51
fonte

4 risposte

5

Nel tuo caso è probabile che la recente vulnerabilità di perdita di credenziali di Plesk , che è stata mass-exploited per installare Blackhole.

Plesk è sempre il primo dei pacchetti indesiderati che disinstalla su un nuovo server. Fidati della mia amministrazione per un sacco di PHP casuali? Non pensarlo così ...

    
risposta data 14.07.2012 - 13:04
fonte
3

Ci sono molti modi:

  • Vulnerabilità in una webapp, che consente:
    • Carica ed esegue binari / codice arbitrari sul sistema.
    • Estrazione di credenziali che possono essere utilizzate per accedere ad altri servizi.
  • Vulnerabilità nel software server (ad esempio Apache / IIS / PHP), che consente al malware di eseguire codice arbitrario sul server.
  • Vulnerabilità nel software di sistema (ad es. kernel Linux), che consente l'esecuzione di codice remoto.
  • Cracking delle password per FTP / SSH / webapps.
  • Utilizzo di password predefinite su server non configurati / mal configurati
  • Accesso a file di configurazione disponibili apertamente da server configurati in modo errato.
  • Malware sul computer di sysadmin, furto di credenziali.
  • Attacchi di social engineering / phishing utilizzati per sottrarre credenziali.

Tutti sono ugualmente possibili.

    
risposta data 13.07.2012 - 17:52
fonte
2

Come accennato in precedenza, molti robot stanno cercando di trovare vulnerabilità nel codice o nei servizi server, che verranno utilizzati per inserire il codice malware sul server.

Tuttavia, questo non è l'unico modo. La pratica molto comune è: malware sul tuo computer. Ci sono tonnellate di malware sui client FTP che rubano le tue credenziali. In alcuni casi, le password FTP vengono archiviate come testo normale nei file di configurazione, molto facile da usare per il malware.

Quindi controlla i tuoi registri, controlla tutti i file sul tuo server, ma non dimenticare di eseguire la scansione AV sul tuo PC.

    
risposta data 13.07.2012 - 16:34
fonte
0

Per lo più il virus è piazzato lì da alcuni robot. Stanno usando sempre altre falle nella sicurezza come applicazioni web buggy per posizionare il malware su un sito web.

Dovresti controllare l'intero sito per le backdoor e il codice sfruttabile se trovi un virus su di esso.

    
risposta data 13.07.2012 - 16:05
fonte

Leggi altre domande sui tag

Il mio account Google è stato compromesso? Tutte le vulnerabilità sono sfruttabili?