Şəbəkədə iri miqyaslı spam bot Stealrat barədə xəbərlər dolaşmaqdadır. Ziyanverici şəbəkə barədə informasiya habrahabr.ru saytından VladimirTT nikli istifadəçi tərəfindən yayılmışdır. Onun sözlərinə görə, Stealrat arzuolunmaz məktub göndərmək üçün bir sıra az qorunan CMS, o cümlədən WordPress, Joomla!, və Drupal istifadə edir.
VladimirTT qeyd edir ki, spam bot hətta habrahabr.ru serverinidə yoluxdura bilmişdir.
Məlumdur ki, ziyanverici kod РНР-də yazılmışdır. Xəbər verirlir ki, Stealrat verilənləri Base64 massiv şəklində POST metodu ilə alır. Tərkibində «die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321));» sətrləri təkrar olunur.
Spam mesajlar – təsadüfü adlardan gəlir. Ancaq yoluxmuş serverlərin ünvanı qeyd edilir. Sonra bot php – mail funksiyasından istifadə edərək elektron məktub göndərməyə cəhd edir. Əgər serverdə funksiya mövcud deyilsə onda Stealrat məzmunu böyüklər üçün nəzərdə tutulmuş saytların linklərini göndərir. Bütün proses “proksiləşmiş html səhifələr” vasitəsilə gedir.
Qeyd etmək yerinə düşər ki, scriptin adı təsadüfü adlarla qeydə alınır (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php və s.). Əgər folder boşdursa və ya indeks səhifəsi mövcud deyilsə onda ziyanverici kod index.php adını alır.
VladimirTT sözlərinə görə, problemi ancaq lokal həlli metodu mövcuddur. Severin sahibləri artıq Trend Micro antivirus şirkətinə müraciət etmişlər. Düzdür şirkət hələ də baş vermiş insidentlə əlaqədar heç bir həll tapmamışdır.
Stealrat nə zamandan aktiv olduğu məlum deyildir, ancaq indiki vaxta 580 min POST sorğu, 1200 unikal IP ünvandan, eləcədə 59 ölkədən ziyanvericinin yoluxduğu serverlərin olduğu məlumdur. Ən çox ziyanvericiyə yoluxmuş ölkələr Rusiya, ABŞ və Almaniyadır.
Pastebin saytında ziyanverici koda yoluxmuş serverlərin siyahısını izləmək mümkündür.
Mənbə: www.securitylab.ru
