Malwareattack spreads to 5 million pages (and counting)
Unpatched sites turn onvisitors
By DanGoodin in San Francisco • Getmore f-rom this author
Posted in Malware,2nd August 201118:07 GMT
Theo:http://www.theregister.co.uk/2011/08/02/mass_injection_attack_goes_viral/
Bài được đưa lênInternet ngày: 02/08/2011
Lờingười dịch: Một cuộc tấn công gây lây nhiễm chokhoảng 5 triệu máy tính chỉ trong vòng 1 tuần. TheoArmorize, cuộc tấn công khai thác ít nhất 3 lỗi an ninhcủa osCommerce,một trong số đó đã được phát hiện chỉ 3 tuầntrước. Những chỗ bị tổn thương đã cho phép những kẻtấn công sử dụng các địa chỉ IP của Ukrain để tiêmcác iframes vào các website chưa được vá. Iframes lặng lẽđịnh tuyến lại các khách viếng thăm tới một loạtcác website trung gian cuối cùng cố khai thác một vài chỗbị tổn thương của Windows. Video bên dưới, chỉ ra cuộctấn công đang hoạt động.http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded.Nếu bạn đang chạy một website có sử dụng osCommerce,thì Armorize đã chỉ dẫn chi tiết ởđây cho việc dò tìm và làm sạchlây nhiễm. osCommerce, đưa ra một chỉ dẫn an ninh ởđây.
Một cuộc tấn côngnhằm vào một ứng dụng thương mại trực tuyến đã lâynhiễm cho khoảng 5 triệu trang web với các scripts địnhcài đặt phần mềm độc hại lên các máy tính củanhững người viếng thăm chúng.
Cuộc tấn công hàngloạt gây tổn thương cho các website chạy các phiên bảnchưa được vá của ứng dụng web về quản lý cửa hàngosCommerce,đã lan rộng thực sự vào cuối tuần trước. Khi các nhànghiên cứu từ hãng an ninh web Armorize lần đầu tiên pháthiện nó vào hôm 24/07, các kết quả tìm kiếm của Googleđã gợi ý chỉ 91,000 trang web bị lây nhiễm. Tới hômthứ ba, các kết quả của tìm kiếm tương tự đã chỉra sự khai thác đã lan rộng tới khoảng 5 triệu trang.
TheoArmorize, cuộc tấn công khai thác ít nhất 3 lỗi an ninhcủa osCommerce,một trong số đó đã được phát hiện chỉ 3 tuầntrước. Những chỗ bị tổn thương đã cho phép những kẻtấn công sử dụng các địa chỉ IP của Ukrain để tiêmcác iframes vào các website chưa được vá. Iframes lặng lẽđịnh tuyến lại các khách viếng thăm tới một loạtcác website trung gian cuối cùng cố khai thác một vài chỗbị tổn thương của Windows.
Các khách viếng thămmà không cài đặt các bản vá sau đó sẽ bị tổnthương, thường không nhận ra được.
Videobên dưới, chỉ ra cuộc tấn công đang hoạt động.
http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded
Khi đang viết bàinày, thì các kết quả tìm kiếm của Google đã chỉ ra4,5 triệu trang bị lây nhiễm với liên kết willysy.com và415,000 trang với exero.eu iframe.
Dòng thời gian là mộtví dụ đồ thị về vì sao quan trọng đối với ngườisử dụng đầu cuối và các quản trị website áp dụngcác bản vá ngay lập tức. Thậm chí việc chờ đợi vàingày có thể có nghĩa sự khác biệt giữa bị lây nhiễmvà vẫn còn sạch.
Nếubạn đang chạy một website có sử dụng osCommerce, thìArmorize đã chỉ dẫn chi tiết ởđây cho việc dò tìm và làm sạchlây nhiễm. osCommerce, đưa ra một chỉ dẫn an ninh ởđây.
Anattack that targets a popular online commerce application hasinfected almost 5 million webpages with scripts that attempt toinstall malware on their visitors' computers.
Themass attack, which compromises websites running unpatched versions ofthe osCommercestore-management web application, has spread virally over the pastweek. When researchers f-rom web security firm Armorize firstdiscovered it on July 24, Google search results suggested just 91,000webpages were infected. As of Tuesday, those same search resultsshowed the exploit had spread to almost 5 million pages.
Accordingto Armorize, the attack exploits at least three osCommerce securityflaws, one that was disclosed just three weeks ago. Thevulnerabilities have allowed attackers using Ukrainian IP addressesto inject iframes into unpatched websites. The iframes silentlyredirect visitors to malicious files located on willysy.com andexero.eu. Those domain names, in turn redirect visitors to a seriesof intermediate websites that ultimately try to exploit severalWindows vulnerabilities.
Visitorswho haven't installed patches are then compromised, usually with nooutward indication.
Thevideo below, shows the attack in action.
http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded
Attime of writing, Google results showed 4.5million pages infected with the willysy.com link and 415,000pages infected with the exero.eu iframe.
Thetime line is a graphic example of why it's important for end usersand website admins to apply patches immediately. Waiting even a fewdays can mean the difference between getting infected and stayingclean.
Ifyou're running a website that uses osCommerce, Armorize has detailedinstructions herefor detecting and cleaning up infections. osCommerce, provides asecurity primer here.
Dịch tài liệu: LêTrung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...