- дамен Нуньес кампанія праходзіць расійскі спам
- Крыніца інфекцыі быў закінуты сайт WordPress
- SEO спам пераадрасоўвае з'яўляюцца часткай кібер-злачынца аперацыі
Сайт кампаніі скандальнага амерыканскага палітыка быў узламаны ў траўні мінулага года і да гэтага часу хостынг Russian SEO спам, згодна з некалькіх крыніц.
З-за Rep. Ролі NUNES 'у расьсьледаваньні сувязяў прэзідэнта Трампа ў Расіі, гэты інцыдэнт у цяперашні час з'яўляецца гарачай тэмай у сацыяльных медыя, з некаторымі карыстальнікамі скручванне існуючыя факты ў FUD тэме "Нуньес была скампраметаваная Расіі."
дамен Нуньес кампанія праходзіць расійскі спам
Інцыдэнт ўпершыню быў заўважаны карыстальнікам Twitter з імем карыстальніка @ 3L3V3NTH, які назваў ўвагу, што адной з абласцей сайта кампаніі Дэвін Нуньес -devinnunes.net- вярталіся расійскі спам ў выніках пошуку Google.
Інцыдэнт таксама трапіўся на вочы Эрыка JN Ellason, генеральны дырэктар амерыканскага вэб-дызайну фірмы SlickRockWeb, які прааналізаваны інфекцыі і паведамілі аб гэтай падзеі ў кампаніі Нуньес.
Крыніца інфекцыі быў закінуты сайт WordPress
Ellason кажа крыніца інфекцыі быў WordPress сайта, які быў перамешчаны ў / TEMP / тэчку сервера і кінуты без абнаўленняў на працягу некалькіх месяцаў.
Па ўсёй бачнасці, зламыснікі прасканаваў сетку для незабяспечанага WordPress ўсталёўвае, знайшоў састарэлы сайт і пазыковыя сродкі подзвігаў скампраметаваць сайт і пакінуць ззаду SEO спаму азначаў, каб павысіць рэпутацыю іншых сайтаў. Гэта распаўсюджаны метад атакі сярод кібер-злачынцаў і сайтаў WordPress часта арыентаваныя і гарматнае мяса такіх нападаў [ 1 , 2 , 3 ].
Ўстаноўка WordPress пакінуў паміраць у / тэмпературы / папкі Асобную сервера ад фактычнага devinnunes.net website- была верагоднай мішэнню, таму што ён быў запушчаны WordPress 4.5.2, калі ў той час, самы бягучы рэліз WordPress быў 4.5.9 ,
Акрамя таго, сайт таксама выкарыстоўвае некалькі састарэлых убудоў, такіх як:
Mailpoet бюлетэні - 2.7.2 версія знойдзена - сейф 2.7.3
WooComerce - 2.5.5 версія знойдзена - сейф 2.6.9
LayerSlider - 5.4.0 версія знойдзена - сейф 6,2
Сайт таксама выкарыстоўвае убудова RevSlider, адзін і той жа убудова, які многія эксперты лічаць, з'яўляецца кропка ўваходу што хакеры выкарысталі для ўзлому інфраструктуры Mossack Фонсека, юрыдычная фірма за праславутых працёкаў Панама Papers, выкрывалі фінансавыя паказчыкі большасці элітаў свету. У адрозненне ад Mossack Фонсека, ўстаноўка Нуньес WordPress быў запушчаны больш новую версію плагіна, версія 4.6.93.
SEO спам пераадрасоўвае з'яўляюцца часткай кібер-злачынца аперацыі
Па словах Ellason, доступ да расійскіх тэматычныя старонкі, размешчаныя на гэтай ўстаноўцы WordPress будзе перанакіроўваць карыстальнікаў на іншыя дамены. У большасці выпадкаў, перапрызначэння было апрацавана з дапамогай трох іншых абласцей, працуючы ў якасці прамежкавых кропак.
Тры дамены traffka-mix.com, tdskakts.com і js-cloudbox.com. З іх, другі з'яўляецца найбольш цікавым. гэты дамен быў зарэгістраваны Юрийс Martisevs, латвійскі грамадзянін нядаўна арыштаваны у ЗША і абвінавачаная працуе шкоднасная службу сканара, таксама вядомую як сканар FUD, вельмі папулярны з рознымі аўтарамі шкоднасных праграм.
Па Ellason, у той час як каманда Нуньес не адказала на яго даклад, «гэтае пытанне было хутка фіксуецца ў той жа дзень.»
Ellason кажа, што каманда Нуньес перанакіраваная на сайце devinnunes.net да дамену devinnunes.com, а таксама, здаецца, зняў закінутую ўстаноўку WordPress ад / TEMP / папкі сервера, эфектыўна выдаляючы і пакласці канец SEO спаму-старонках.
На самай справе, гэтага не адбылося. Па выніках выпрабаванняў, праведзеных сёння Bleeping кампутарам, SEO спам-старонкі ўсё яшчэ даступныя на дамене devinnunes.net, а служба па-ранейшаму пад пагрозай у момант напісання. Возьмем, да прыкладу гэтая спасылка з аналізу Ellason, які намаляваны ніжэй.
У той час адмовіліся ад WordPress ўстаноўкі, як уяўляецца, было выдаленае, індэксаваная старонкі будуць выдаленыя з Google, і хатняя старонка devinnunes.net Цяпер перанакіроўвае devinnunes.com, то SEO спам усё яшчэ знаходзіцца на серверы. Гэта таму, што SEO спам і неад'емныя вэб-абалонкі, што ўлада іх, як вядома, цяжка выдаліць, часта пакі зноў і зноў, пакуль сервера не будуць ачышчаны прафесіяналамі або знішчаны і зноўку з нуля.
Акрамя таго, ёсць тыя, хто сцвярджае, што адзін з файлаў што па-ранейшаму прысутнічае на сайце devinnunes.net аа інфармацыі крадзяжу Trojan.
Гэты сцэнар не з'яўляецца інфармацыйнай крадзяжом Trojan і не можа заразіць наведвальнік. Замест гэтага, гэты сцэнар ASP выкарыстоўваецца хакерамі, каб адправіць код, атрымаць які запускаецца на серверы. Гэта дазваляе хакеру выконваць каманды выдалена ці адкрыць аддалены вэб-абалонку для поўнага доступу да сайта. гэта яшчэ тлумачыцца тут ,
Але загадка застаецца. Пакуль незразумела, што, або калі які-небудзь канфідэнцыйнай інфармацыі, таксама захоўваецца на серверы, і калі хакеры атрымалі доступ або ажыццяўляюцца іншыя аперацыі на гэтай канкрэтнай машыне.
«Толькі кангрэсмен офіс NUNES можа сказаць, наколькі сур'ёзная гэтая пралом у бяспецы было,» кажа Ellason. «Таму што Rep. Нуньес з'яўляецца старшынёй дамавіка камітэта выведкі, ён будзе лічыцца мішэнню высокага значэння.»
Нягледзячы на няспынныя інфекцыі SEO спам, усе наяўныя дадзеныя сведчаць Rep. Нуньес быў проста ахвярай вэб-майстроў непамятлівасці і асноўны SEO спам.
Для таго, каб прыбраць рэчы, Bleeping Кампутар дасягнуў да Rep. Камандам Нуньес на некалькі пытанняў адносна інцыдэнту, але мы не чулі таму падчас для публікацыі гэтага артыкула.
Абнаўленне 2/4/18 11:05 AM: Артыкул была абноўлена , каб уключыць дадатковую інфармацыю пра сцэнар ASP , размешчаным на devinnunes.net сайт.
Дадатковая справаздачнасць Лоуренса Абрамса.