«Доктор Веб» предупреждает: портал gosuslugi.ru скомпрометирован - Форум успешных вебмастеров - GoFuckBiz.com
 
 
Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Общий раздел > Новости интернета
Дата
USD/RUB74.4373
BTC/USD48510.1343
Новости интернета Обсуждение самых разных интернет-новостей.

Закрытая тема
Опции темы Опции просмотра
Старый 14.07.2017, 07:53   #1
Miss Content
Senior Member
 
Аватар для Miss Content
 
Регистрация: 22.07.2013
Сообщений: 856
Бабло: $556520
По умолчанию «Доктор Веб» предупреждает: портал gosuslugi.ru скомпрометирован

Специалисты компании «Доктор Веб» предупредили о компрометации портала государственных услуг РФ (gosuslugi.ru). Исследователям удалось обнаружить на сайте внедренный неизвестными лицами потенциально вредоносный код. «В связи с отсутствием реакции со стороны администрации сайта мы вынуждены прибегнуть к публичному информированию об угрозе»,— пишут специалисты. Дату начала компрометации пока установить не удалось, равно как и понять, наблюдалась ли ранее какая-то активность по этому вектору атаки.

Вредоносный код заставляет браузер любого посетителя сайта незаметно связываться с одним из не менее 15 доменных адресов, зарегистрированных на неизвестное частное лицо. В ответ с этих доменов может поступить любой независимый документ, начиная от фальшивой формы ввода данных банковской карты и заканчивая перебором набора уязвимостей с целью получить доступ к компьютеру посетителя.

В процессе динамического генерирования страницы сайта, к которой обращается пользователь, в код сайта добавляется контейнер <iframe>, позволяющий загрузить или запросить любые сторонние данные у браузера пользователя.

На текущий момент специалисты обнаружили не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса с намеренно неинформативными названиями. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах.

За последние сутки запросы к этим доменам либо не завершаются успехом, так как сертификат безопасности большинства этих сайтов просрочен, либо ответ не содержит вредоносного кода, однако ничего не мешает владельцам доменов в любой момент обновить сертификаты и разместить на этих доменах вредоносный программный код.



По данным «Доктор Веб», на данный момент портал госуслуг по-прежнему скомпрометирован. Информация о проблеме передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено. Специалисты рекомендуют пользователям проявлять осторожность при использовании портала до разрешения ситуации, и настоятельно советуют администрации сайта и компетентным органам осуществить проверку безопасности сайта.

Любой пользователь может проверить наличие кода самостоятельно, с помощью поискового запроса: site:gosuslugi.ru «A1996667054».
__________________
Место для Вашей рекламы!!!
Miss Content вне форума  
Старый 14.07.2017, 16:02   #2
precautions
Senior Member
 
Регистрация: 01.08.2016
Сообщений: 1,332
Бабло: $155245
По умолчанию

И при чём тут IP Нидерландов? Специалисты DrWeb не знают как пользоваться whois?

Оба домена зареганы у российских регистраторов(да ещё и хостеров!), и на верифицированные данные. Вычислить и слотошить этого горе-хакера - несколько часов.

Цитата:
https://www.nic.ru/whois/?query=M3OXEM1NIP48.RU
nserver: ns1.ighoster.ru.
nserver: ns2.ighoster.ru.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: R01-RU
created: 2015-08-01T02:35:54Z
paid-till: 2018-08-01T02:35:54Z
free-date: 2018-09-01
source: TCI

https://www.nic.ru/whois/?query=m81jmqmn.ru
domain: M81JMQMN.RU
nserver: ns1.hosting.reg.ru.
nserver: ns2.hosting.reg.ru.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
registrar: REGRU-RU
created: 2016-11-09T14:15:52Z
paid-till: 2017-11-09T14:15:52Z
free-date: 2017-12-10
source: TCI
precautions вне форума  
Старый 16.07.2017, 19:17   #3
madmaxi
Senior Member
 
Регистрация: 17.05.2010
Сообщений: 497
Бабло: $59179
По умолчанию

Цитата:
Сообщение от precautions Посмотреть сообщение
И при чём тут IP Нидерландов? Специалисты DrWeb не знают как пользоваться whois?
возможно вы не умеете читать?

На текущий момент специалисты обнаружили не менее 15 доменов, среди которых: m3oxem1nip48.ru, m81jmqmn.ru и другие адреса с намеренно неинформативными названиями. Как минимум для пяти из них диапазон адресов принадлежит компаниям, зарегистрированным в Нидерландах.
что тут непонятного?

Цитата:
и на верифицированные данные.
насколько я помню данные раньше верифицировались отправкой сканов документов. больше ничего не требовалось.
или сейчас что-то поменялось?
madmaxi вне форума  
Старый 17.07.2017, 02:57   #4
JetD
Domains from $0.59!
 
Регистрация: 21.07.2009
Сообщений: 1,502
Бабло: $177250
По умолчанию

Цитата:
Сообщение от madmaxi Посмотреть сообщение
насколько я помню данные раньше верифицировались отправкой сканов документов. больше ничего не требовалось.
или сейчас что-то поменялось?
Сейчас и сканы не нужны.
__________________
Домены от $0.59 для любой тематики: 500+ зон, free GDPR Protect, 20+ способов оплаты (Visa/MC/WM/Qiwi/ЯД/ADVcash/bitcoin/Tether/Zcash/e-banking/etc.), и 10 лет стабильной работы!
JetD вне форума  
Старый 17.07.2017, 03:20   #5
madmaxi
Senior Member
 
Регистрация: 17.05.2010
Сообщений: 497
Бабло: $59179
По умолчанию

Цитата:
Сообщение от JetD Посмотреть сообщение
Цитата:
Сообщение от madmaxi Посмотреть сообщение
насколько я помню данные раньше верифицировались отправкой сканов документов. больше ничего не требовалось.
или сейчас что-то поменялось?
Сейчас и сканы не нужны.
и как сейчас верифицируют? товарищ precautions так сказал про верификацию, что я подумал - придумали нечто особенное.
madmaxi вне форума  
Старый 17.07.2017, 03:23   #6
JetD
Domains from $0.59!
 
Регистрация: 21.07.2009
Сообщений: 1,502
Бабло: $177250
По умолчанию

Цитата:
Сообщение от madmaxi Посмотреть сообщение
Цитата:
Сообщение от JetD Посмотреть сообщение
Цитата:
Сообщение от madmaxi Посмотреть сообщение
насколько я помню данные раньше верифицировались отправкой сканов документов. больше ничего не требовалось.
или сейчас что-то поменялось?
Сейчас и сканы не нужны.
и как сейчас верифицируют? товарищ precautions так сказал про верификацию, что я подумал - придумали нечто особенное.
Никак - верификацию при регистрации доменов .ru уже давно отменили.
Что касается статуса VERIFIED - например у нас он автоматически проставляется (формально этот статус ничего уже не значит, но многие считают, что в плане SEO он дает преимущества, поэтому лишним не будет ).
__________________
Домены от $0.59 для любой тематики: 500+ зон, free GDPR Protect, 20+ способов оплаты (Visa/MC/WM/Qiwi/ЯД/ADVcash/bitcoin/Tether/Zcash/e-banking/etc.), и 10 лет стабильной работы!
JetD вне форума