IISerpent троян
Троян IISerpent - это особая вредоносная угроза, нацеленная на программное обеспечение веб-сервера Microsoft Internet Information Services. Угроза вводится в установку IIS как поврежденное расширение. В отличие от других вредоносных программ ISS, целью IISerpent не является сбор конфиденциальной информации (номера кредитных / дебетовых карт) или выполнение команд бэкдора в скомпрометированных системах. Функциональность IISerpent можно лучше всего описать как мошенничество с использованием SEO (поисковой оптимизации), предлагаемое как услуга. Угроза использует неэтичные методы SEO, поведение, известное как Black Hat SEO, и пытается повысить рейтинг сторонних страниц, которые, скорее всего, принадлежат клиентам, оплачивающим услуги хакеров.
Оглавление
Технические детали
IISerpent - это собственный модуль IIS. Он реализован как C ++ DLL и добавлен в файл % windir% \ system32 \ inetsrv \ config \ ApplicationHost.config. Это гарантирует как его выполнение, так и постоянство в зараженной системе. После полной установки вредоносная программа начнет перехватывать все входящие HTTP-запросы к веб-сайтам, размещенным на сервере. Однако IISerpent не повлияет напрямую на взломанный сервер или пользователей сервера. Вредоносная программа полностью игнорирует любые запросы, поступающие от легальных посетителей. Его интересуют только запросы, связанные со сканерами поисковых систем, а затем они показывают им различный контент, который находится на реальной странице. Новый контент извлекается либо с C&C (Command-and-Control) сервера операции, либо из локального файла конфигурации.
Используемые методы SEO
Сканеры поисковых систем несут ответственность за поиск в Интернете и анализ содержимого на страницах, которые они находят. Контент, сканируемый этими ботами, обрабатывается сложным алгоритмом, который определяет рейтинг каждой страницы, связанный с определенными условиями поиска. Повышение рейтинга вашей страницы означает увеличение видимости и потенциального трафика.
Для достижения этой цели некоторые операторы страниц готовы использовать теневые методы SEO. IISerpent использует именно такие методы для улучшения рейтинга сторонних веб-сайтов, используя рейтинги на веб-сайтах на скомпрометированном сервере. В частности, IISerepent использует два основных метода:
- Он перенаправляет поисковые системы на специально выбранный веб-сайт, превращая его в дверную страницу.
- Он вставляет список предварительно настроенных обратных ссылок в HTTP-ответ, который доставляется сканерам поисковой системы. Этот метод эффективно превращает серверы, скомпрометированные угрозой, в фермы ссылок.
Последствия инфекции IISerpent
Хотя это правда, что действия IISerpent никоим образом не влияют на законных посетителей сайтов, к его присутствию не следует относиться легкомысленно. Угроза подрывает репутацию взломанных веб-сайтов и использует неэтичные методы SEO для обмана поисковых роботов. Оба действия в конечном итоге будут замечены движками и могут привести к наказанию вовлеченных веб-сайтов, даже если они сами не станут участниками схемы. После этого восстановление их репутации и снятие штрафов может оказаться дорогостоящим и чрезвычайно трудоемким процессом. Чтобы избежать таких неприятных результатов, регулярно обновляйте свои серверы IIS, не загружайте расширения из неподтвержденных источников и рассмотрите возможность добавления на сервер приложения брандмауэра или решения безопасности.
