2017-Jul-14, Friday

qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
Новость на ДрВебе:

13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.


Судя по кешу поисковиков, минимум с 3 апреля 2017 на портале госуслуг УЖЕ БЫЛО непотребство.
Просто его никто не замечал.

Почему не замечал?
Скорее всего потому, что ssl сертификат у сайта, который отображался в iframe, долгое время был валидным и отображал то, что нужно было авторам вредоноса.

А сейчас - невалиден. И потому вместо iframe с тем, что задумано вредоносами, показывает:
Как этот iframe выглядит сейчас

И кто-то таки увидел и отреагировал.

Скриншот результата поиска в Яндексе о том, что было 3 апреля:
3 апреля на портале госуслуг УЖЕ БЫЛА вредоносная вставка.

Да, как это могло случиться?

1. Человек, который вносит правки в портале, имеет права, достаточные для внесения к текст любых html тэгов (и пользуется визуальным редактором).
2. Админ, который настраивал права этого конкретного человека, а скорее группы, не ограничил набора html тегов.
3. Комп вносящего правки заражён вирусом, который в textarea каждой формочки добавляет свои ифреймы.

Это давний вирус. Упоминания в сети с 2015 года. Подсаживает iframe при вводе текста в онлайн редакторе. Т.е. контентщик госуслуг редактировал контент через веб-формы, а вирус на его компе досадил iframe в каждый текст.

https://dev.1c-bitrix.ru/support/forum/forum6/topic74489/

Главное, что всё это минимум с 3 апреля уже было заражено. То есть "вся страна под этим дамокловым мечом" уже 2 месяца...