На сайте кампании Devin Nunes все еще присутствует российский SEO-спам из прошлогоднего взлома

  1. Домен кампании Nunes содержит русский спам
  2. Источником заражения стал заброшенный сайт WordPress
  3. SEO перенаправления спама являются частью киберпреступной операции

По данным нескольких источников, сайт кампании противоречивого американского политика был взломан в прошлом году в мае и до сих пор содержит российский SEO-спам.

Из-за роли респ. Нуньеса в расследовании связей президента Трампа с Россией этот инцидент в настоящее время является горячей темой в социальных сетях: некоторые пользователи переплетают существующие факты с темой FUD «Нуньес скомпрометирован Россией».

Домен кампании Nunes содержит русский спам

Впервые инцидент был обнаружен пользователем Twitter с именем пользователя @ 3L3V3NTH, который обратил внимание на то, что один из доменов сайта кампании Devin Nunes - devinnunes.net - возвращал русский спам в результатах поиска Google.

Инцидент также привлек внимание Эрика Дж. Н. Эллсона, генерального директора американской компании веб-дизайна SlickRockWeb, которая проанализирован инфекции и сообщил о событии в кампании Nunes.

Источником заражения стал заброшенный сайт WordPress

Элласон говорит, что источником заражения был сайт WordPress, который был перемещен в папку / temp / сервера и оставлен без обновлений в течение нескольких месяцев.

По всей вероятности, злоумышленники просканировали Интернет на наличие небезопасных установок WordPress, нашли устаревший сайт и использовали эксплойты для взлома сайта и оставили SEO-спам, призванный повысить репутацию других сайтов. Это распространенная техника атак среди киберпреступников, и сайты WordPress часто становятся объектами нападок, и они являются пушечным мясом таких атак [ 1 , 2 , 3 ].

Установка WordPress, оставленная неактивной в папке / temp / на сервере, отдельно от реального веб-сайта devinnunes.net, была вероятной целью, поскольку она работала под управлением WordPress 4.5.2, когда в то время самый последний выпуск WordPress был 4.5.9. ,

Кроме того, сайт также использует несколько устаревших плагинов, таких как:

Mailpoet Newsletters - найдена версия 2.7.2 - безопасная версия 2.7.3
WooComerce - найдена версия 2.5.5 - безопасна версия 2.6.9
LayerSlider - найдена версия 5.4.0 - безопасная версия 6.2

На сайте также использовался плагин RevSlider, тот же плагин, который многие эксперты считают точка входа что хакеры взламывали инфраструктуру Mossack Fonseca, юридической фирмы, стоящей за печально известными утечками Panama Papers, которые разоблачали финансовые результаты многих элит мира. В отличие от Mossack Fonseca, в установке Nunes WordPress использовалась более новая версия плагина, версия 4.6.93.

SEO перенаправления спама являются частью киберпреступной операции

По словам Эллсона, доступ к русскоязычным страницам, размещенным на этой установке WordPress, перенаправит пользователей на другие домены. В большинстве случаев перенаправление осуществлялось через три других домена, работающих в качестве промежуточных точек.

Этими тремя доменами являются traffka-mix.com, tdskakts.com и js-cloudbox.com. Из них второй самый интересный. Этот домен недавно был зарегистрирован гражданином Латвии Юрием Мартисевым арестованный США и обвиняется в запуске службы сканера вредоносных программ, также известной как сканер FUD, очень популярной среди авторов различных вредоносных программ.

По словам Эллсона, хотя команда Nunes не ответила на его доклад, «проблема была быстро решена позже в тот же день».

Эласон говорит, что команда Nunes перенаправила веб-сайт devinnunes.net на домен devinnunes.com, а также, похоже, удалила оставленную установку WordPress из папки / temp / на сервере, эффективно удалив страницы спама SEO и положив конец им.

На самом деле этого не произошло. Согласно тестам, проведенным сегодня Bleeping Computer, страницы SEO-спама по-прежнему доступны в домене devinnunes.net, и на момент написания этого документа сервис все еще был взломан. Возьмите например эта ссылка из анализа Эллсона, который изображен ниже.

Хотя заброшенная установка WordPress, по-видимому, была удалена, проиндексированные страницы удаляются из Google, а домашняя страница devinnunes.net теперь перенаправляет на devinnunes.com, SEO-спам все еще находится на сервере. Это связано с тем, что спам SEO и присущие им веб-оболочки, которые приводят их в действие, общеизвестно трудны для удаления, часто вновь и вновь появляясь, пока серверы не будут очищены профессионалами или стерты и переустановлены с нуля.

Кроме того, есть те, кто заявляет, что один из файлов который до сих пор присутствует на сайте devinnunes.net - это троян, крадущий информацию.

Этот сценарий не является трояном для кражи информации и не может заразить посетителя. Вместо этого этот ASP-скрипт используется хакерами для отправки кода, который выполняется на сервере. Это позволяет хакеру выполнять команды удаленно или открывать удаленную веб-оболочку для полного доступа к сайту. Это дальше объяснил здесь ,

Но загадка остается. Неясно, что или если какая-либо конфиденциальная информация также хранится на этом сервере, и если хакеры получили доступ или выполняли какие-либо другие операции на этом конкретном компьютере.

«Только офис респ. Нуньес может сказать, насколько серьезным было это нарушение безопасности», - говорит Эллисон. «Поскольку респ. Нуньес является председателем комитета по разведке дома, он будет считаться очень важной целью».

Несмотря на продолжающееся заражение SEO-спамом, все имеющиеся данные свидетельствуют о том, что Rep. Nunes был просто жертвой забывчивости веб-мастеров и основного SEO-спама.

Чтобы прояснить ситуацию, Bleeping Computer обратился к команде Rep. Nunes с несколькими вопросами относительно инцидента, но мы не получили ответа вовремя для публикации этой статьи.

Обновление 04.02.18 11:05: статья была обновлена ​​и теперь содержит дополнительную информацию о сценарии ASP, расположенном на devinnunes.net сайт.

Дополнительное сообщение Лоуренс Абрамс.

Последние новости:
10 лучших игр и игрушек для детей 2-5 лет в самолете или поезде – чем занять ребенка в дороге?

Малыш уже достиг возраста 2 месяцев, а ведь так недавно он был совсем еще беспомощным. Теперь вы замечаете,

Еще совсем недавно появившись на свет, ребеночек трех месяцев стремительно растет и развивается. Родители

                                     В этот период развитию ребенка будет способствовать

Малыш 4-7 месяцев от роду обычно уже активно стремится сидеть, либо уже сидит. Пусть даже просто на коленях

Проводя раскопки в местах древнейших поселений людей, археологи часто находят детские игрушки: погремушки,

  Хотя малыш еще совсем недавно появился на свет, игрушки для месячного ребенка нужны, ведь развитием

25 лучших развивающих игр для новорожденных – развивающие занятия с рождения до полугода Большое заблуждение

» Ребенку 6 месяцев Какие игрушки нужны детям в 6 месяцев Погремушки, мячики, резиновые

Дети в этом возрасте все активнее познают окружающий мир, все больше вещей они умеют делать самостоятельно