StealRat

Pažeidžiamos kompiuterinės sistemos ir programos:

Tinklalapiai ir jų turinio valdymo sistemos, asmeninių kompiuterių operacinės sistemos, naršyklių įskiepiai (angl. plugins/addons)

Aprašymas:

StealRat - tai brukalą (angl. spam) siuntinėjantis "botnetas". StealRat į sistemas patenka per pažeidžiamas turinio valdymo sistemas ir nesaugias operacines sitemas. "Botnetas" išnaudoja užvaldytus tinklalapius brukalo siuntinėjimui ir tolimesniam užkrato platinimui. Užvaldyti kompiuteriai naudojami kaip tarpininkai tarp užvaldytų svetainių ir brukalo serverių, siekiant užmaskuoti tikrąjį brukalo skleidimo vykdytoją.

CERT-LT rekomenduoja:

Esant pažeistam tinklalapiui:

  • serveryje peržiūrėti esamų bylų pavadinimus, ieškant dažniausiai piktavalių naudojamų pavadinimų - sm13e.php arba sm14e.php;
  • pavadinimai gali ir skirtis, todėl geriausia ieškoti betkokių nepažįstamų, neaiškių pavadinimų bylų;
  • kitas paieškos būdas - surasti vieną iš žemiau nurodytų simbolių sekų savo kode:
   die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321))
   die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321))
 
Linux operacinėje sistemoje ieškoti galima naudojant komandą grep - 'grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321))” /path/to/www/folder/'. Windows operacinėje sistemoje paieška atliekama - 'content:”die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321))″'. Surastas pašalines bylas ar kodą reikia pašalinti ir tuomet atnaujinti naudojamą turinio valdymo sistemą.

Esant pažeistam kompiuteriui, kenkėjiškos programos pašalinimui turėtų pakakti įdiegti arba atnaujinti naudojamą antivirusinę programą ir atlikti pilną sistemos patikrą.

Prevencija tinklalapiui:
  • nustatyti, kad prie tinklalapių turinio valdymo sistemų (TVS) būtų galima jungtis tik iš vidinio įmonės tinklo arba nustatytų IP adresų (pvz. naudojant .htaccess failą);
  • uždaryti nenaudojamus prievadus (angl. port) ir nuolat kontroliuoti prisijungimus per naudojamus prievadus;
  • uždrausti prisijungimą prie serverių visais prievadais ir protokolais, išskyrus tuos, kurie būtini tinklalapiui funkcionuoti;
  • jeigu naudojamos atviro kodo TVS (pvz., Wordpress, Joomla), nuolat jas atnaujinti;
  • nenaudoti nereikalingų TVS įskiepių, nuolat atnaujinti naudojamus;
  • nuolat keisti administratoriaus ir kitų naudotojų, turinčių prieigą prie TVS, slaptažodžius
  • vykdyti pažeidžiamumų paiešką nuolat tikrinant interneto svetainių ir duomenų bazių saugumą skenavimo programine įranga.
Prevencija kompiuteriui:
  • įdiegti ir nuolat atnaujinti įrenginio apsaugos sistemas;
  • periodiškai atlikti įrenginio patikrą nuo virusų;
  • įdiegti naujausius operacinės sistemos ir naudojamų programų atnaujinimus;
  • nespausti įtartinų ar neaiškių nuorodų, gautų elektroniniais laiškais ar rastų įtartino turinio tinklalapiuose;
  • naudoti tik patikimų gamintojų programinę įrangą ir naršyklių įskiepius.
Jeigu nurodyti problemos sprendimo būdai Jums atrodo per sudėtingi, siūlome kreiptis į specialistą.

Informacijos šaltiniai:

http://blog.trendmicro.com/trendlabs-security-intelligence/compromised-sites-conceal-stealrat-botnet-operations/
http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-check-if-your-website-is-part-of-the-stealrat-botnet/
http://www.trendmicro.co.uk/media/wp/stealrat-whitepaper-en.pdf

Visos rekomendacijos