Неизвестный «мститель» удалил вредоносный код с сайта Netgear
В течение двух лет на сайте Netgear присутствовал вредоносный код, пока неизвестный «мститель» наконец-то не взял дело в свои руки и не удалил его. Вредоносное ПО было установлено на принадлежащем компании сайте WiFiFamily, где публикуются статьи о том, как использовать различные технологии Netgear. Сообщение о взломе ресурса и его «очистке» неизвестным хакером впервые было опубликовано ИБ-экспертом Derek на портале MyOnlineSecurity.
По словам исследователя, он обнаружил проблемный сайт в ходе анализа недавно полученных спам-писем. Письма содержали ссылки, ведущие на полностью функциональные web-страницы техподдержки на портале WiFiFamily. HTML-файлы с этими страницами содержались в папке «/wp-content/uploads/» (сайт WiFiFamily работает на базе системы управления контентом WordPress).
Ресурс однозначно был скомпрометирован, поскольку доступ к содержимому папки был открыт, хотя в WordPress он ограничен по умолчанию. По словам исследователя, на сайте много спам-публикаций, сделанных от имени Netgear Admin и других пользователей. В http://www.wififamilyblog.com/wp-content/uploads/исследователь обнаружил множество открытых директорий, перенаправляющих на порно-сайты, мошеннические ресурсы и т.д.
Судя по временным меткам, некоторые вредоносные файлы в папке датируются февралем 2015 года – всего спустя месяц после регистрации домена. То есть, сайт был взломан вскоре после запуска. Когда Derek сообщил о своем открытии в блоге на MyOnlineSecurity, некто под псевдонимом Vigilante («Мститель») написал в комментарии под публикацией, что нашел шелл-код в http://www.wififamilyblog.com/wp-content/uploads/modx.php. «Пароль был root. Удалил папку uploads», - сообщил Vigilante.
Хотя своими действиями Vigilante преследовал благие цели, с юридической точки зрения он поступил незаконно. В данном случае «мститель» находится даже в худшем положении, чем взломавшие сайт хакеры, отметил Derek. В отличие от Vigilante, хакеры не причинили сайту никакого ущерба – ничего не удалили и не разрушили. Кроме того, удалив папку, сердобольный активист наверняка удалил и оставленные киберпреступниками следы, которые позволили бы правоохранителям выйти на их след.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
