top
logo


Зафиксировано распространение вредоносного кода через инфраструктуру jQuery PDF Печать E-mail
Автор: adm   
24.09.14 06:46

Компания RiskIQ, cпециализирующаяся на разработке связанных с обеспечением безопасности программных продуктов, выявила активность по распространению вредоносного ПО на страницах jquery.com, через подстановку JavaScript-вставки c организацией перенаправления обращений на подконтрольный атакующим домен jquery-cdn.com, зарегистрированный несколько дней назад.

С учётом того, что jQuery используемой на более чем половине из 10 тысяч наиболее посещаемых сайтов в сети, поддержание безопасности серверной инфраструктуры проекта является критически важной задачей. Разработчики провели начальный аудит безопасности серверов и анализ логов и не нашли каких-либо следов деятельности злоумышленников.

Судя по всему атака атака носила единичный характер, так как в случае массовой атаки следовало ждать потока жалоб от пользователей, которые начинают поступать спустя считанные минуты после возникновения каких-либо проблем. Кроме RiskIQ никто не смог подтвердить наличие атаки, но авторитет RiskIQ также не даёт усомниться в реальности атаки. Кроме того продолжает существовать домен jquery-cdn.com и работающий на нём проброс на вредоносное ПО. В настоящее время совместно с RiskIQ проводится боле детальное сопоставление логов.

Утверждается, что атака не затронула работу сервиса по загрузке на сайты JavaScript-библиотеки jQuery. Наиболее вероятным является компрометация сервера, обслуживающего сайт jquery.com. Пользователям, посещавшим сайт jquery.com 18 сентября, рекомендовано сменить пароль, проверить целостность своих систем и обратить особое внимание на любую подозрительную активность. Распространяемый в рамках атаки набор эксплоитов RIG направлен на поражение необновлённых Windows-систем и содержит код для эксплуатации уязвимостей в Java, Adobe Flash, Internet Explorer и Silverlight.

  1. Главная ссылка к новости (http://blog.jquery.com/2014/09/23/was-jq...)
  2. OpenNews: Выпуск свободной JavaScript-библиотеки jQuery 2.0
  3. OpenNews: Введён в строй единый реестр плагинов к jQuery
Тип: Проблемы безопасности
Ключевые слова: jquery, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, annualslayer, 10:57, 24/09/2014 [ответить] [смотреть все]    [к модератору] +/
может это была эксклюзивная MITM специально для RiskIQ? :)
 
  2.2, Аноним, 11:01, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору] +/
Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового... весь текст скрыт [показать] [показать ветку]
 
  3.3, annualslayer, 11:32, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
> Тогда можно было ждать эксклюзивного набора эксплоитов, а не применение типового RIG
> для протухших уязвимостей.

да это была просто слишком смешная шутка про http на скриншотах

 
  2.5, d1mmmk, 12:06, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  –1 +/ Только VanilaJS, только хардкор? Не всегда оправдано. Использование cdn снимает нагрузку с серверов, ускоряет загрузку у пользователя, да и использование сторонних библиотек в разы облегчает и ускоряет разработку.
 
  3.7, annnonnn, 12:09, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Сколько скрипт занимает? 50k-150к байт статики. Неужели такая неподъемная нагрузка, особенно если учесть что js/css прекрасно кешируется?
 
  4.9, Василий Анонимусович, 12:49, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Ну вы подальше бложиков посмотрите, например если ежедневная посещаемость несколько миллионов.
 
  5.11, Аноним, 12:57, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +3 +/
И что Нжинкс влегкую отсервирует несколько миллионов копий jquery в день даже н... весь текст скрыт [показать]
 
4.12, angra, 13:04, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Кеширование как раз говорит в пользу cdn для jquery, так как пользователю достаточно посетить хоть один сайт с jquery той же версии.
50Kb * 1000 запросов в секунду означает 50Mb трафика в секунду или 4.3Tb в сутки. Как говорится, копейка рубль бережет.
Также играет роль не только объем, но и сам факт запроса, есть пределы на количество одновременных запросов в паре домен<->клиент как со стороны вебсервера, так и со стороны браузера. Не даром в серьезных сайтах контент грузится сразу с нескольких субдоменов.
 
  5.26, Аноним, 14:29, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
И много у вас сайтов с такой нагрузкой И, главное, какой же там основной траффи... весь текст скрыт [показать]
 
  6.27, Вячеслав, 15:03, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Автор коммента имел в виду, что сумарное кол-во обращений с разных сайтов, у меня например один сайт генерирует около 1 тыс. обращений к jquery, думаю сайтов, которые генерируют больше 1 тысячи обращений в сутки очень много.
 
6.30, angra, 16:20, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Инфраструктура гугла или любого другого поисковика стоит во много раз больше. Они это делают не на халяву! Они получают с этого маржу! Не сберегают вам рубль! Перестаньте пользоваться поисковиками. Кстати, opennet ведь тоже не на халяву, стоит денег, получает маржу и прочая! Срочно перестаньте им пользоваться.
 
  7.33, Аноним, 16:34, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Не понял логику в этих воплях Похоже на проявление внезапного батхерта, или тип... весь текст скрыт [показать]
 
3.10, Аноним, 12:56, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
или вылет плашки роскомсовкома извините, ресурс заблокирован Потому что CD... весь текст скрыт [показать]
 
  4.13, angra, 13:08, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
 
  5.14, Аноним, 13:27, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +2 +/
КонтентДеливериЛокалхост ... весь текст скрыт [показать]
 
  6.21, angra, 14:09, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
При желании можно сделать и так. Ставишь на локалхост вебсервер, скидываешь ему все версии jquery с http://code.jquery.com/jquery/. Прописываешь соответствие в /etc/hosts
127.0.0.1 code.jquery.com
Вуаля, у тебя для всех правильных сайтов jquery будет отгружаться с локалхоста.
Ну а с добавлением небольшой магии, зависящей от вебсервера, можно обойтись всего двумя версиями jquery.
 
5.25, Аноним, 14:25, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Я в курсе что такое CDN Что еще забавнее, у утырков из роскомсовкома хватило ум... весь текст скрыт [показать]
 
  6.28, Вячеслав, 15:06, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  –1 +/
>> Ты бы хоть почитал, что такое CDN, прежде чем так жестоко пороть чушь.
> Я в курсе что такое CDN. Что еще забавнее, у утырков из
> роскомсовкома хватило ума заблокировать половину IP обслуживающих Россию с аргументом
> что сервак отдавал сайт с неправильным контентом. Вот такая вот суровая
> реальность нынче.

Чем вам так роскомнадзор так насолил?)

 
  7.34, Аноним, 16:38, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Тем что некомпетентные кpeтины, не понимающие как работает интернет и блокирующи... весь текст скрыт [показать]
 
  8.36, Moomintroll, 17:00, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +1 +/
> блокирующие в результате сервера CDN целиком по айпишникам

Вообще-то, в базе роскомнадзора есть конкретные URL конкретных ресурсов/страниц. А целиком блокируют по IP ленивые провайдеры.

 
  9.38, Аноним, 17:30, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
Росглавжандарм - не нужен Вообще Держиморда вертится в гробу, радостно подхихи... весь текст скрыт [показать]
 
9.39, Аноним, 17:30, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Да вообще-то и айпишники бывают Головотяпы - они такие Не только Хотя я могу ... весь текст скрыт [показать]
 3.41, Аноним, 17:52, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
ТОЛЬКО ПЕРЛ, ТОЛЬКО ХАРДКОР ... весь текст скрыт [показать]
  1.8, Аноним, 12:41, 24/09/2014 [ответить] [смотреть все]     [к модератору]  +1 +/
RequestPolicy noscript и нет проблем ... весь текст скрыт [показать]
 
  2.15, Аноним, 13:27, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +3 +/
 
  3.18, Аноним, 14:02, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Зато с левых доменв тебе точно ничего не подгрузят ... весь текст скрыт [показать]
 
3.22, Аноним, 14:11, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
дополню, на гитхабе видел скрипт, который делает локальное хранилище apis google... весь текст скрыт [показать]
 3.31, user, 16:20, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ В большинстве случаев вебмастер индус или заказчик чудак. Я видел только 2 типа нужных js:

1. картография

2. на яндекс-маркете показывают доступные варианты с учётом уже выбраных параметров

 2.17, angra, 13:56, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/ Зачем же эти полумеры, лучше вообще не запускать браузер. А то были в истории случаи уязвимости IE через картинки. Так что серфинг исключительно через wget/curl/netcat.
 2.20, Зевака, 14:03, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/ Да, хороший аддон, но нет такого под хром. :(
Вообще, было бы неплохо сделать какой-нибудь /policy.txt, который владелец сайта заливает туда и подписывает у каких-нибудь гуглов и прочих верисайнов.
Посетитель скачивает этот файл и по нему судит о том, какие скрипты не были рекомендованы к загрузке владельцем сайта.
Например, владелец подписался на баннерную кампанию от конторы А. Те дают ему 99$ за 100500 показов, а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.

Наличие общего промышленного стандарта на политику загрузки ресурсов, позволило бы улучшить общую безопасность интернета для хомячков.

 
  3.23, angra, 14:17, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
>а потом кто-то портит контент в баннере и посетитель грузит эксплойты с левых ресурсов.

Это как?
Если кто-то имеет возможность взломать банерную сеть, то он может отгрузить любой контент и твой policy.txt ничем не поможет, ведь в нем прописано доверие к сети
Если кто-то имеет возможность изменить содержимое странички на твоем сайте, то он может поменять и policy.txt

Попробуй придумать что-то более умное.

 
  4.37, Гость, 17:13, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Имеется в виду, что баннерная сеть по партнерской программе отгружает ссылки на чужой графический контент.
Таких безобразий - пол-интернета.

А в policy.txt будут прописаны права лишь на утвержденные серверы.

 
1.16, Аноним, 13:52, 24/09/2014 [ответить] [смотреть все]     [к модератору]  –1 +/
Рад, что начались такие проблемы у ленивых веб-мастеров Ненавижу jQ и ей подобн... весь текст скрыт [показать]
 
  2.19, angra, 14:02, 24/09/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +2 +/
Дурачок, ты бы хоть прочитал, что такое jquery. Если вдруг ты работаешь или планируешь работать в сфере веб, то  как раз тебе настойчиво рекомендую сменить или выбрать другую профессию, дабы не плодил говносайтов, работающих только в твоем любимом браузере.
 
  3.24, Аноним, 14:22, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
От дурачка слышу Браузеры меняются со временем тоже Нужно уметь писать на тех ... весь текст скрыт [показать]
 
  4.29, angra, 16:13, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/
Между "открываются" и "одинаково работают" большая разница, не говоря уже о богатсве функционала, а то "hello world" тоже везде открывается. Ну и совместимость на жалкие три года это просто смешно на фоне 13 лет от jquery.
 
4.32, zoonman, 16:31, 24/09/2014 [^] [ответить] [смотреть все]    [к модератору]  +/ Просто вы не создавали веб-приложений, в которых jQuery занимает 1-2% от всего другого кода. И да, эксперименты, это то, за что многие люди ценят сайты.
Это примерно как сравнить обычную выбиралку файла (input type=file) и drag&drop документа в окошко браузера с его превьюшкой и индикатором загрузки.
Зафиксировано распространение вредоносного кода через инфраструктуру jQuery  4.35, Аноним, 16:39, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +3 +/
Обмен экспертными мнениями у веб-разработчиков - это как-то так ... весь текст скрыт [показать]
 
  5.40, Аноним, 17:44, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +2 +/
Веб-разработчик - это не профессия Это диагноз Или даже хлеще - сексуальная ор... весь текст скрыт [показать]
 
  6.42, Аноним, 17:54, 24/09/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Да, что-то вроде пыхопэ-макаки ... весь текст скрыт [показать]
 
1.43, lexx015, 18:01, 24/09/2014 [ответить] [смотреть все]    [к модератору]  +/ Заходишь на сайт, разрешаешь временно в noscript домен этот сайта, а все равно бОльшая часть контента не пашет

комментариев нет, менюшки не работают, все правильно делают

image  
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=40662

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика