Обнаружен крупный спам-бот Stealrat

smok-smok

Заблокирован
Регистрация
18.12.13
Сообщения
449
Реакции
63
Депозит
0
Покупок
0
Продаж
0
Обратите внимание, что пользователь заблокирован на форуме. Не рекомендуется проводить сделки. Если пользователь уже обманул вас каким-либо образом, обратитесь в наш арбитраж, дабы мы могли по возможности урегулировать возникшую у вас проблему.
Сегодня появилась информация о масштабном спам-боте под названием Stealrat. Для рассылки нежелательной корреспонденции Stealrat использует ряд незащищенных CMS, в том числе WordPress, Joomla!, а также Drupal.

Известно, что скрипт написан на РНР, а к коду применялся обфускатор. Сообщается, что Stealrat принимает данные массивом POST методом в Base64. Замечено также повторение строки « die ( PHP_OS. chr(49). chr(48). chr(43). md5 (0987654321)) ; ».

Спам-сообщения формируются со случайными именами отправителей. При этом учитывается домен инфицированного сайта. Затем бот пытается отправить электронное письмо, используя функцию php – mail. Если последняя недоступна, то Stealrat рассылает письма, содержащие ссылки на сайты с контентом для взрослых. Происходит это через проксирование html страничек. Стоит отметить, что наименование скриптом происходит случайным образом (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php и пр.). Если папки не имеют индексного файла, или он пустой, используется index.php.

Неизвестно, на протяжении какого времени активен Stealrat, однако на текущий момент в логах зафиксировано свыше 580 тысяч POST обращений, порядка 1200 уникальных IP-адресов, а также зараженных ресурсов из 59 стран. Наибольшее количество инфицированных сайтов располагаются в Росси, США и Германии.
 
Профиль пользователя не подтвержден! Работа с ним может быть не безопасна!
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.
Сверху Снизу