Неизвестный «мститель» удалил вредоносный код с сайта Netgear

image

Теги: Netgear, сайт, взлом, вредоносное ПО

Вредоносное ПО присутствовало на принадлежащем Netgear сайте WiFiFamily в течение двух лет.

В течение двух лет на сайте Netgear присутствовал вредоносный код, пока неизвестный «мститель» наконец-то не взял дело в свои руки и не удалил его. Вредоносное ПО было установлено на принадлежащем компании сайте WiFiFamily, где публикуются статьи о том, как использовать различные технологии Netgear. Сообщение о взломе ресурса и его «очистке» неизвестным хакером впервые было опубликовано ИБ-экспертом Derek на портале MyOnlineSecurity.

По словам исследователя, он обнаружил проблемный сайт в ходе анализа недавно полученных спам-писем. Письма содержали ссылки, ведущие на полностью функциональные web-страницы техподдержки на портале WiFiFamily. HTML-файлы с этими страницами содержались в папке «/wp-content/uploads/» (сайт WiFiFamily работает на базе системы управления контентом WordPress).

Ресурс однозначно был скомпрометирован, поскольку доступ к содержимому папки был открыт, хотя в WordPress он ограничен по умолчанию. По словам исследователя, на сайте много спам-публикаций, сделанных от имени Netgear Admin и других пользователей. В http://www.wififamilyblog.com/wp-content/uploads/исследователь обнаружил множество открытых директорий, перенаправляющих на порно-сайты, мошеннические ресурсы и т.д.

Судя по временным меткам, некоторые вредоносные файлы в папке датируются февралем 2015 года – всего спустя месяц после регистрации домена. То есть, сайт был взломан вскоре после запуска. Когда Derek сообщил о своем открытии в блоге на MyOnlineSecurity, некто под псевдонимом Vigilante («Мститель») написал в комментарии под публикацией, что нашел шелл-код в http://www.wififamilyblog.com/wp-content/uploads/modx.php. «Пароль был root. Удалил папку uploads», - сообщил Vigilante.

Хотя своими действиями Vigilante преследовал благие цели, с юридической точки зрения он поступил незаконно. В данном случае «мститель» находится даже в худшем положении, чем взломавшие сайт хакеры, отметил Derek. В отличие от Vigilante, хакеры не причинили сайту никакого ущерба – ничего не удалили и не разрушили. Кроме того, удалив папку, сердобольный активист наверняка удалил и оставленные киберпреступниками следы, которые позволили бы правоохранителям выйти на их след.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus