Google nas je preko storitve Safebrowsing obvestil o možni zlonamerni spletni strani na spletnem strežniku www2.arnes.si, kjer svoje spletne strani gostijo Arnesovi uporabniki.
Pregled vira strani je pokazal, da se poleg običajne HTML kode na spletni strani nahaja tudi javascript koda, ki bi lahko bila škodljiva.
Do sedaj smo že dostikrat opazili, da napadalci zlonamerno kodo vstavljajo med oznaki <!– o –> in <!– c –>. Zakodirana javascript koda se po zagonu v brskalniku odkodira v naslednjo obliko:
Koda na spletni strani odpre skriti okvir, v katerem poskuša naložiti spletno stran http://adswebsearchredirect. com/ads/stat.php. Po javno dostopnih whois podatkih je bila domena adswebsearchredirect.com registrirana 3 dni nazaj, gostovana pa je na sistemu z IP naslovom 91.196.216.96, ki pripada ruskemu ponudniku storitev SpetsEnergo Ltd.
Spletni strežnik, ki gosti to stran, v času pisanja tega članka ni bil dosegljiv.
Datoteka index.html, v katero je bila vstavljena zgornja javascript koda, je bila zadnjič spremenjena danes zjutraj ob 2:56 uri. Pregled dnevniške datoteke FTP strežnika je pokazal, da se je takrat z up. imenom in geslom našega uporabnika v sistem prijavil nekdo iz IP naslova 91.196.216.96. Gre za isti IP naslov, kot gosti spletno stran adswebsearchredirect.com, kar težko pripišemo naključju. Zelo verjetno gre za zlonamerno aktivnost s strani uporabnika tega IP naslova, pri čemer niti ne poskuša zakriti svojih aktivnosti.
Nadalje smo ugotovili, da se je nekdo iz tega IP naslova v naš sistem prijavljal tudi z up. imeni in gesli še nekaterih Arnesovih uporabnikov. Vse smo obvestili o zlorabi gesla in jih pozvali, da geslo čimpreje zamenjajo. Na mejah našega omrežja smo tudi preventivno blokirali ves promet iz ruskega IP naslova. Čeprav trenutno vstavljena javascript koda ne predstavlja nevarnosti za obiskovalce spletne strani, se bo to zelo verjetno kmalu spremenilo. Kaj se bo nahajajo na tej strani ne vemo, skoraj zagotovo pa bo šlo za neko zlonamerno vsebino.
Še vedno pa ostaja odprto vprašanje, kako je nekdo lahko prišel do gesel naših uporabnikov. Možnih načinov je več, najpogostejša pa sta phishing napad, kjer vas storilec s potvorjenim elektronskim sporočilom obvesti, da morate zaradi nekega razloga vpisati ali poslati svoje uporabniško ime in geslo, ali pa okužba računalnika z zlonamernim programom, ki napadalcu pošilja zabeležena up. imena in gesla.