24/3/2015
Ciekawy atak (deface?) na korbank.pl (wbrew nazwie, to nie bank a operator). Wejście na hxxp://korbank.pl przekierowuje do pobrania pliku:
Plik nie jest już możliwy do pobrania, ale jak informuje nas jeden z czytelników, jeszcze kilkanaście minut temu było to możliwe. Nazwa pliku nie powinna nikogo rozsądnego zachęcać do jego otworzenia, ale na wszelki wypadek, jeśli odwiedzaliście w ostatnich godzinach stronę Korbanku, przeskanujcie swój system oprogramowaniem antywirusowym.
Czyżby przestępcy się pomylili i zakwalifikowali operatora jako bank, sugerując się nazwą?
Z tego co zdążyłem się dowiedzieć, zwykły atak na Joomlę ;) Przekierowują losowe strony.
Problem częściowo tylko rozwiązany. Kliknięcie w baner przekieruje na linka z paczką. Coś rollback nie do końca się udał :)
A może ktoś wyjaśnić laikowi, co ta paczka ma/może mieć, i dlaczego jest tak bezczelnie publicznie dostępna?
@Adam Ok. Ta paczka prawdopodobnie zawierała wirusa, a jej nazwa miała zachęcać do otwarcia tego pliku.
Dzięki.
I naprawdę nikt z odwiedzających w nadal dostępnym publicznie katalogu userfiles nie zauważył tych jakże pasujących do innych “graficznych”: http://i57.tinypic.com/2qtv6kk.jpg ?
Które wykrywa nawet VT: https://www.virustotal.com/pl/file/b87169db182d9c9389fef719ac6e70ea7217b56192a49f206f46fbec0d699487/analysis/1427243727/ ?
Ciekawe, jak szybko im tam wróci ta, lub podobna paczka…
A tak naprawdę był to sprytny sposób na product placement w Niebezpieczniku marki korbanku :)u
/robots.txt :D
za robienie firmowych stron na joomli powinni w ramach dozywotniego zakazu bycia ‘webmasterem’, obcinac dlonie.
you made my day!
Wikipedia: “Szacuje się, że na koniec 2013 Joomla! była drugim najpopularniejszym systemem CMS na świecie, za WordPressem”
Pazurów na zupę widzę wystarczy… :))