В течение нескольких заключительных дней была произведено несколько атак, на выходе которых массовому взлому подвергся ряд сайтов. Закономерности: взлому подверглись аккаунты, на которых есть сайты, сделанные на базе Wordpress, Joomla или содержащие в открытом доступе скрипт dumper.php, неоднократно используемый для переноса данных между разными хостингами. Не исключено, что так же взламывались сайты и на иных модных CMS.
Что конкретно произошло?
Взлом производился автоматически умышленно написанными для этой цели скриптами, которые запускались с серверов преступников. Эти скрипты сыскивали сайты с уязвимостями в модном им ПО и за пределами сысканные уязвимости получали контроль над аккаунтом жертвы. Было так же выяснено, что после получения контроля у взломанных аккаунтов в содержимое файлов .htaccess добавлялся следующий код:
Код третьей строки варьировался от сайта к сайту, но практически во всех случаях переадресация шла на ... Данный код делает следующее: если на сайт заходят браузером с сотового телефона, то происходит переадресация посетителя на сайт m.extrasoftware.biz, где посетителю пытаются подсунуть вирус. В случае если на сайт заходят обыкновенным браузером с компьютера или роботом поисковой системы, то сайт работает в большинстве случаев.
Следов каких-то иных зловредных деяний, кроме изменения файлов .htaccess мы не обнаружили.
Проанализировав популярные нам случаи взлома мы произвели глобальный поиск измененных таким образом файлов.htaccess и выяснили, что всего взлому подверглось минимальное значение несколько сотен сайтов. К нам так же поступили сведения про то, что подобному взлому подверглись сайты, размещенные у некоторых иных хостеров, а так же и иностранных.