Koncem minulého roku jsme řešili incident na 95 .CZ doménách, které byly kompromitovány za účelem tzv. Black Hat SEO, o kterém jsme již v minulosti informovali. Právě vzpomínka na tento pradávný incident, která se mi vynořila v hlavě při kompletování Postřehů z bezpečnosti, vedla k odhalení těchto aktuálně kompromitovaných webů. Když jsme v roce 2014 původní incident řešili, nedotáhli jsme z kapacitních důvodů nápad na dohledání dalších stejně kompromitovaných webů. Až nyní jsme tedy zkusili dohledat kompromitované weby zneužívané k provozování pochybných SEO praktik pomocí Google vyhledávání. Kompromitovaných domén jsme ale touto cestou našli pouze několik. Potom ale někoho z kolegů napadlo využít nástroj DNS Crawler, který vyvinuli kolegové z Laboratoří CZ.NIC, a který je součástí projektu ADAM (Advanced DNS Analytics and Measurements). ADAM pravidelně prochází všechny .CZ domény a mimo jiné ukládá obsah jejich titulní stránky.
Když jsme ADAMa nechali vyhledat všechny stránky obsahující slovo Viagra, bylo jich 562. Bylo však zřejmé, že většina z nálezů je legitimní. Na základě analýzy stránek, u kterých jsme problém detekovali, jsme tedy hledání po pár pokusech rozšířili ještě o kombinaci slov „erectile dysfunction“. To už nám, jak se později až na jednu výjimku ukázalo, našlo pouze kompromitované weby.
Ukázka zdrojového kódu kompromitovaného webu.
Odkazy vložené do stránek se pochopitelně návštěvníkům na webu nezobrazují a jsou pomocí různých technik schované, protože jejich cílem je zmást vyhledávací roboty. Naopak, před návštěvníky a tedy i správci webu mají tyto odkazy zůstat skryté.
Mezi kompromitovanými doménami byl například i web soukromé školky nebo menšího města a i vzhledem k tomu, že jednou kompromitované domény mohou být v budoucnu zneužity k dalším útokům, například phishingu nebo šíření malware, rozhodli jsme se všechny držitele napadených domén informovat. To jsme provedli ve dvou vlnách, v první jsme informovali držitele a u domén, u kterých nedošlo k nápravě, jsme později kontaktovali i příslušný hosting.
Z reakcí jednotlivých držitelů a hostingů pak lze odhadovat, že ve většině případů šlo o zneužití uniklého hesla, v podezření jsou také některé již nevyvíjené aplikace a v jednom případě byl za útokem pravděpodobně malware, kdy uživatel změnil po našem upozornění heslo, obnovil obsah webu a přesto za dva dny byl obsah s viagrou zpět. Podezření tedy padlo na kompromitaci PC, ze kterého dochází k editaci webu.
I přes naši snahu o informování všech zainteresovaných stran došlo k nápravě pouze u 39 domén. Bohužel se tak opět potvrdilo, že pro některé provozovatele webů končí veškerá péče o webový obsah jeho prvním vystavením na serveru. To je ovšem krátkozraký přístup, na který ve finále doplácí všichni.