Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Принимайте куки аккуратнее. Теперь в них прячется полноценное управление вашим сайтом

leer en español

Microsoft cookie PHP сайт вредоносный код
Принимайте куки аккуратнее. Теперь в них прячется полноценное управление вашим сайтом
Microsoft cookie PHP сайт вредоносный код

В Microsoft предупредили о росте атак с использованием самовосстанавливающихся скриптов.

image

Согласно отчёту Microsoft, хакеры нашли способ прятать вредоносный код там, где его почти никто не ищет – прямо в обычных cookie-файлах. Такой подход позволяет им управлять заражёнными серверами почти незаметно и возвращаться к ним снова и снова.

Речь идёт о веб-оболочках на PHP – небольших вредоносных скриптах, которые дают удалённый доступ к серверу. Обычно такие инструменты принимают команды через адресную строку или тело запроса. Но теперь злоумышленники всё чаще используют cookie-файлы: пока в запросе нет нужного значения, вредоносный код никак себя не проявляет и выглядит как обычный файл.

Такая схема сильно снижает шансы обнаружения. Cookie выглядят как часть нормального веб-трафика, а значит, системы защиты реже их проверяют. Когда сервер получает «правильный» кук, скрипт собирает команды на лету и выполняет их. До этого момента файл остаётся полностью «тихим».

В разных атаках встречались несколько вариантов таких веб-оболочек. В одних случаях код дополнительно запутывали: функции собирались прямо во время работы, а важные части скрывались в закодированном виде. Иногда вредоносный скрипт сначала создавал другой файл с полезной нагрузкой и запускал его. Были и более простые версии – с одним ключом в cookie, который открывал доступ к выполнению команд или загрузке файлов.

Отдельно выделяется способ закрепления в системе. После взлома злоумышленники не ограничиваются разовым доступом, а настраивают регулярное выполнение своих скриптов через планировщик задач. Например, добавляют задание, которое каждые несколько минут заново создаёт вредоносный файл, если его удалили. Такой механизм фактически «самовосстанавливается» и усложняет очистку сервера.

При этом злоумышленники не всегда используют сложные уязвимости. Часто хватает доступа к учётной записи хостинга. Через стандартные инструменты управления, вроде панели администратора, можно запускать команды, загружать файлы и настраивать задания по расписанию. Со стороны такие действия выглядят как обычная работа пользователя.

Вредоносные файлы обычно создают с помощью простых команд: закодированные данные декодируют и записывают в PHP-файл прямо на сервере. Затем этот файл ждёт нужного cookie, чтобы активироваться. В обычной работе сайта он никак себя не выдаёт.

Главная цель такой схемы – сохранить устойчивый удалённый доступ. Даже если точку входа закрыли, злоумышленник может вернуться позже, выполнить команды, загрузить новые инструменты или украсть данные. В условиях общего хостинга для этого часто достаточно прав обычного пользователя.

В Microsoft советуют усиливать защиту учётных записей, внимательно следить за заданиями по расписанию и ограничивать возможности веб-процессов запускать команды в системе. Также важно отслеживать подозрительные операции с файлами на сервере, особенно если они связаны с декодированием данных или загрузкой скриптов из сети.