Bułgarskie skrypty wstrzykiwane na stronie Kancelarii Prezydenta RP
Są takie miejsca w internecie, gdzie raczej spodziewamy się, że ktoś dba o ich bezpieczeństwo bardziej. Tym większe nasze zdziwienie budzą takie znaleziska jak to, na które przez przypadek natrafił nasz Czytelnik.
Jeden z naszych Czytelników podesłał nam dość niecodzienne odkrycie. Jak sam pisze, brał niedawno udział w uroczystości w Pałacu Prezydenckim. Na takich imprezach z reguły spotkać można oficjalnego fotografa. Gdy uczestników jest wielu, trudno wszystkim potem wysyłać zdjęcia z imprezy. Wymyślono zatem prostą metodę ich dystrybucji – fotografie umieszczane są na serwerze Kancelarii Prezydenta Rzeczypospolitej Polskiej a uczestnicy otrzymują wizytówki z adresem witryny, gdzie wkrótce będą mogli pobrać zdjęcia. Okazuje się jednak, że nie tylko zdjęcia mogli stamtąd pobrać…
Strona – widmo
Link, który otrzymał nasz Czytelnik, wygląda następująco:
http://foto.kprp.pl/do_pobrania/20180314_PAD_nominacje_profesorskie/
Nie zalecamy jego odwiedzania, ponieważ mogą się tam dziać rzeczy poza nasza kontrolą. Sama strona kprp.pl nie prezentuje się zbyt okazale. Wręcz nie prezentuje się wcale. Są za to podstrony takie jak http://www.co.kprp.pl/ (Centrum Obsługi Kancelarii Prezydenta Rzeczypospolitej Polskiej) czy http://www.belweder-klonowa.kprp.pl (Zespół Rezydencji Belweder Klonowa). Po co Kancelarii Prezydenta osobna domena? Nas o to nie pytajcie… Jest także aktywna subdomena „foto”, gdzie umieszczane są kolekcje fotografii z różnych wydarzeń. Co znajduje się na stronie zanim trafią tam zdjęcia?
Co jednak kryje się w kodzie tej witryny? Okazuje się, że znajdziemy tam odwołanie do dziwnego skryptu serwowanego ze strony bułgarskiej firmy z branży motoryzacyjnej.
http://autokorea.eu/wp-content/themes/boot-store/7th9pqdh.php?id=13204284
Niestety (lub na szczęście) wygląda na to, że docelowy skrypt został już usunięty, więc nie sposób ustalić, jakie jest jego zadanie. Nie udało nam się także ustalić, co mógł robić i z jakim złośliwym działaniem był powiązany – jesteśmy jednak prawie pewni, że nie robił niczego dobrego.
Sprawę oczywiście zgłosiliśmy gdzie trzeba z nadzieją, że ktoś skrypt usunie i przeanalizuje ciąg wydarzeń, który doprowadził do jego umieszczenia na stronie Kancelarii Prezydenta.
Podobne wpisy
- Wyciekła baza ofiar producenta spyware – sprawdź, czy jest tam twój telefon
- Sprzedajesz komputer – uważaj na ten nowy, nietypowy rodzaj ataku
- Poważny błąd Onetu pozwalał pobrać pocztę i dane użytkowników
- Jak Prokuratura Okręgowa nieudolnie próbowała anonimizować dowody w sprawie Sławomira N.
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
A ja dziś, na Forum Google dla Webmasterów, spotkałam wypowiedź jednego z jego ekspertów, udzielaną początkującemu webmasterowi.
@gonzo – napisał; cytuję autentyczny wpis:
„(…) validator w3c bardzo czzęsto pokazuje coś co jest dokładnie na owdrót w SEO.
Nawet Google czy onet nie przechodza walidacji – więc po co się w ogóle w to bawić? Szkoda czasu na w3c.”
Jeśli na publicznie dostępnym Forum udzielane są PORADY przeczące wiedzy na temat roli CZYSTEGO KODU i UX (będących wsparciem dla około 20 procent populacji) – czego można oczekiwać w przyszłości od Czytelników takich treści?
Swoją drogą – ciekawa jestem co by na przytoczone słowa powiedzieli inżynierowie Google lub W3C, pracownicy portalu ONET-u, czy autorzy wielu książek poświęconych CZYSTEMU KODOWI?
No ale w czym problem? Gość miał rację – poprawnie zwalidowany przez W3C kod nie jest do końca SEO friendly.
A w biznesie prowadzonym w internecie liczy się przede wszystkim to jak łatwo cię znaleźć, a nie to, czy masz htmlowe tagi pisane wielkimi literami, czy nazwy klas w js-ie camelcasem.
Ale… co to ma do tematu? Niemniej wyjaśnię, w czym rzecz.
Wiesz, jaka jest różnica pomiędzy przypadkowym „ekspertem” z forum doświadczonym developerem? Ten drugi wyjaśni, dlaczego jest właśnie taka sytuacja.
Google nie da prawidłowego wyniku na validatorze W3C z bardzo prostego powodu. Dostępność. Google musi działać na wielu klientach, które nie są w stanie obsłużyć najnowszych standardów. Jakby tego było mało, aktualizacja to koszty: trzeba przejść długi proces komunikacji między wieloma kolumnami i poziomami managementu etc. Mało? No to dochodzą kwestie rozwoju: np. atrybutu „integrity” jest *jeszcze* niezgodny z tymczasową wersją standardu!
Podsumowując: tak, strona Google nie przejdzie testu. Ale nie dlatego, że tak jest lepiej. Odpadnie, bo jest szereg innych kwestii, które do SEO nijak się mają. Nie wiem, kto na forach mówi, że Google potrzebuje pozycjonowania. ;)
Standardy nie są wymyślane przez Cześka. Standardy, to coś na co umawia się wiele różnych stron. Czesiek siedzi i rzeźbi różne SEO-potworki, nigdy nie słyszał o jakichś standardach czy W3C. Ponieważ różni tacy kupują jego wyroby, to Czesiek jest górą, wie że jest potrzebny i robi arcydzieła.
Jeżeli dostałby taką wizytówkę z niby takim adresem, to wyrzuciłbym ją do kosza. Wszystkie organizacje związane z państwem powinny być w domenie GOV.PL i tyle. Jak dla mnie przekręt grubymi nićmi szyty.
a czemu tylko gov.pl? przecież to strony rządowe, a Prezydent nie jest częścią rządu.
stosowanie poddomen gov. na tym poziomie władzy nie jest przyjętą praktyką ani we francji ani w niemczech.
Bułgarska firma motoryzacyjna reklamuje się podczas oficjalnych uroczystości panstwowych.
A nie trzeba tak wiele. Wdrożona poprawnie CSP mogłaby spokojnie zapobiec (no dobra, może przesadziłem), ale napewno pomóc szybceij wykryć, że coś takiego ma miejsce. No i certyfikat.
Odnośnie do domen GOV tylko w gov.pl: Hmm, teoretycznie tak, niemniej z drugiej strony domena prezydent.pl jest już tyle lat, rozpozawalna medialnie, że chyba trudno byłoby zmienić teraz na np. prezydent.gov.pl. Może faktycznie, lepiej byłoby zrobić przekierowania na wersję gov.pl? Nie wiem.
Niestety obawiam się tylko, że zgodnie z trendami (bardziej miedialnymi?), że praca w sektorze GOV ma być prawie darmo nie spowoduje, że w takich miejscach znajdą się osoby z wiedzą, doświadczeniem, etc. Ale to na ile wiem (częściowo z własnego doświadczenia) polska bolączka od ponad 25 lat…
@Krzysztof
W wielu przypadkach poprawne wdrożenie CSP jest nie do zrobienia (przynajmniej w dobie dzisiejszych frameworków, które wymagają pisania handlerów w htmlu), lub jest omijane explicite (np. w knockout piszesz skrypty w komentarzu, które później są wykonywane).