PHP-серверы используются для продвижения индонезийских игорных платформ - «Новости»

  • 10:30, 21-янв-2025
  • Новости / Сайтостроение / Преимущества стилей / Самоучитель CSS / Отступы и поля
  • Bootman
  • 0

Специалисты Imperva обнаружили новую кампанию, направленную на веб-серверы с PHP-приложениями. Злоумышленники атакуют их при помощи Python-ботов и используют для продвижения индонезийских игорных платформ.


«В последние два месяца наблюдается значительный объем атак со стороны Python-ботов, что говорит о скоординированных усилиях по эксплуатации тысяч веб-приложений, — гласит отчет исследователей. — Эти атаки, по-видимому, связаны с увеличением количества игорных сайтов, которые официально незаконны в Индонезии».


Компания сообщает, что обнаружила миллионы запросов, исходящих от Python-клиентов, с командой на установку GSocket (он же Global Socket). Это опенсорсный инструмент, который можно использовать для установки канала связи между двумя машинами.


При этом отмечается, что в последнее время GSocket нередко использовался для криптоджекинга, а также внедрения вредоносного jаvascript-кода на сайты с целью кражи платежной информации.


Чаще всего в обнаруженных Imperva атаках наблюдаются попытки развертывания GSocket с использованием существующих веб-шеллов, которые установлены на уже взломанных серверах. В большинстве случаев атакам подвергаются серверы с популярной LMS Moodle. Примечательным аспектом этих атак является изменение файлов bashrc и crontab, обеспечивающее работу GSocket даже после удаления веб-шеллов.


В Imperva сообщают, что доступ, который GSocket предоставляет к целевым серверам, используется для доставки PHP-файлов, содержащих HTML-контент, ссылающийся на онлайновые игорные сервисы, предназначенные для индонезийских пользователей.


«В верхней части каждого PHP-файла находится PHP-код, призванный обеспечить доступ к странице только поисковым ботам, а обычные посетители сайта перенаправляются на другой домен. Конечной целью является направление пользователей, ищущих известные игорные сервисы, на другой домен», — объясняют эксперты.





Обычно такие перенаправления приводят на известный индонезийский игорный сайт pktoto[.]cc.



PHP-серверы используются для продвижения индонезийских игорных платформ - «Новости»


 


При этом, по словам исследователей, все проиндексированные сайты не имели никакого отношения к индонезийским азартным играм.


«Это позволяет злоумышленникам беспрепятственно направлять трафик через различные домены. Когда в результате действий правительства один игорный сайт уходит в офлайн, другой может быстро занять его место, обеспечивая минимальный перерыв в работе», — заключают специалисты.


Специалисты Imperva обнаружили новую кампанию, направленную на веб-серверы с PHP-приложениями. Злоумышленники атакуют их при помощи Python-ботов и используют для продвижения индонезийских игорных платформ. «В последние два месяца наблюдается значительный объем атак со стороны Python-ботов, что говорит о скоординированных усилиях по эксплуатации тысяч веб-приложений, — гласит отчет исследователей. — Эти атаки, по-видимому, связаны с увеличением количества игорных сайтов, которые официально незаконны в Индонезии». Компания сообщает, что обнаружила миллионы запросов, исходящих от Python-клиентов, с командой на установку GSocket (он же Global Socket). Это опенсорсный инструмент, который можно использовать для установки канала связи между двумя машинами. При этом отмечается, что в последнее время GSocket нередко использовался для криптоджекинга, а также внедрения вредоносного j

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!