[Net]stalker 0x1: аномалии FTP
Бывалый
Ну присаживайся, сталкер.
Зона полна сюпризов. Сегодня потрындим за те нежданчики, которые возникают в особых местах Сети - файловых серверах. Народ их кличет ФЭТЭПЭ для краткости.
Интернет-протокол FTP был придуман давно и успел изрядно постареть. Но это не мешает его использовать всем кому не лень. Особенно нерадивым производителям роутеров, которые пихают функции расшаривания сетевого диска по FTP в свои прошивки. Представь, ты только подключил внешний жесткий диск, чтобы посмотреть фильмец, а он уже стал доступным всей Сети! Каково, а?!
Неудивительно, что на всех общедоступных сетевых хранилищах как грибы после дождя появляются аномалии. Расскажу тебе сегодня о нескольких.
Photo.scr
Противный сетевой червь. Заползает на FTP и кладёт себя в файл .scr - такие используются для заставок в Винде.
После этого он пытается найти на сервере сайт - и часто находит, ведь не только ты можешь открыть случайно FTP, но и Васян, который в НИИ "Агропром" официальный сайт админит.
Червь внедряется в страницы сайта, а всем посетителям предлагает запуститься. После этого их компы начинают майнить криптовалюту Monero, а он сам через Винду начинает заражать все машины, до которых сможет дотянуться с твоей.
Вот так оно выглядит, браток. Давно уже про эту аномалию пишут, в том же Хакере можешь почитать.
IMG001.exe
Ещё одна аномалия-червь. Если файл был IMG001.exe запущен на компе (а мы все знаем, что аномалии это могут делать очень неожиданно для самого тебя), то он копирует себя по всем дискам и в автозагрузку, притворяясь белым и пушистым.
Но это тишина продолжается недолго. Аномалии же проявляются внезапно и сильно, да, братва? Твоя машина начинает тупить - это червь майнит криптовалюту. Как ты можешь догадаться, ту же, что и предыдущая аномалия. И достанутся деньги не тебе, хах.
Почитать можешь об этой аномалии здесь. Ну или погугли, что ты как не нетсталкер.
george.php
Самая странная аномалия из тех, про которые я расскажу сегодня.
Появилась она в 2019 году и начала стремительно распространяться по серверам. Представляет собой закодированный PHP-скрипт, который дожидается запроса снаружи, а потом создаёт ещё один скрипт. Размер - 266 кБ.
ВирусТотал аномалию эту считает пока безвредной. Пока! Но в Сети уже появилась инфа, лови ссылку на КПК.
Скорей всего, это тоже червь для майнинга, но наши бывалые пока не совались к нему. Если прокрутишь до первой картинки, то поймёшь, что почти все файлы там - это аномалия george.php.
Такие дела, сталкер. Пока не научишься на глаз отличать хорошие файлы от аномалий - в Сеть лучше не суйся. Болты надо уметь кидать, а не класть.
Ну, как проветришься - заходи. Может в следующий раз поподробнее чего расскажем.
