Сервер EMI Records взломан хакерами

image

Теги: EMI, сервер, взлом, вредоносное ПО

Более сотни сайтов, расположенных на одном из серверов специализированного хостинга лейбла EMI Records, были заражены в этом месяце. Часть из них вылечена, но многие до сих пор раздают посетителям вредоносный контент.

Более сотни сайтов, расположенных на одном из серверов специализированного хостинга лейбла EMI Records, были заражены в этом месяце. Часть из них вылечена, но многие до сих пор раздают посетителям вредоносный контент. Об этом сообщил эксперт Денис Синегубко в блоге своего сервиса Unmask Parasites.

Сервис EMI Hosting обслуживает собственные сайты EMI Records, а также сайты музыкантов, сотрудничающих с этим лейблом. По данным статистики Google Safe Browsing, за последние 90 дней из почти трехсот сайтов, хостящихся на проблемном сервере EMI Hosting, 112 загружали вредоносный код на компьютеры пользователей без их ведома.

Например, вирусы раздавали сайты Pink Flyod и Дэйвида Гилмора, Massive Attack, Gorillaz и другие. Многие из них уже очищены от вредоносного кода — предположительно, администраторами EMI Hosting. Однако ряд сайтов до сих пор заражен.

Синегубко приводит список из 15 таких сайтов, среди которых встречаются EMI Classics UK, Nick Cave and the Bad Seeds и Spice Girls Greatest Hits. Эксперт предполагает, что этот список не полон.

Вредоносный код на этих ресурсах подгружается через iframe. Примечательно, что это тот же самый код, которым еще в начале сентября были заражены некоторые ресурсы блога TechCrunch, а именно MobileCrunch, CrunchGear и TechCrunch Europe.

Синегубко предполагает, что примерно 5 сентября некие злоумышленники обнаружили уязвимость на одном из сайтов, хостящихся на EMI Hosting и загрузили на него свои скрипты, которые принялись отыскивать в этой сети другие сайты со слабыми правами на файлы и заражать их. Позднее админы хостинга обнаружили взлом и постарались очистить зараженные ресурсы, но не автоматизировали процесс поиска пострадавших ресурсов, а делали это вручную, вследствие чего многие зараженнные сайты были ими пропущены при чистке.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus