Атака. Попытка анализа.
Раз уж мой пост попал в топ жж, то распишу подробнее. Сразу скажу, что особенно тщательно я атаку не изучал, поэтому возможны ошибки.
Итак, атака осуществляется путем публикации специально заготовленного кода, использующего уязвимость в стандартных стилях жж. Код работает в любом, даже самом защищенном браузере, поскольку не используются скрипты и прочие активные элементы. При просмотре зараженного блога в ленте друзей или напрямую, код, насколько я понимаю css, рисует новый слой с формой логина. В строке адреса высвечивается правильный сервер ЖЖ, поэтому атака оказалась достаточно эффективной. Пользователи вводили свои логины и пароли, нажимали кнопку сабмита, код формы перенаправлял эти данные методом POST на специальный скрипт, который тут же логинился в жж и оставлял пост с вредоносным кодом. Таким образом, по сути происходило вирусное заражении ЖЖ, так как код копировал сам себя.
Мое оценочное мнение - атака была направлена на дискредитацию жж как сервиса. Два основных варианта - политический заказ или месть недавно забаненных в большом количестве читеров. Или и то, и другое одновременно. Другие варианты мне кажутся не особо логичными, учитывая, что не было дефейса, ссылки на хакерскую группу или чего-то характерного для обычных хакеров.
UPD. Обращение к руководству ЖЖ:
http://teh-nomad.livejournal.com/1122397.html
Итак, атака осуществляется путем публикации специально заготовленного кода, использующего уязвимость в стандартных стилях жж. Код работает в любом, даже самом защищенном браузере, поскольку не используются скрипты и прочие активные элементы. При просмотре зараженного блога в ленте друзей или напрямую, код, насколько я понимаю css, рисует новый слой с формой логина. В строке адреса высвечивается правильный сервер ЖЖ, поэтому атака оказалась достаточно эффективной. Пользователи вводили свои логины и пароли, нажимали кнопку сабмита, код формы перенаправлял эти данные методом POST на специальный скрипт, который тут же логинился в жж и оставлял пост с вредоносным кодом. Таким образом, по сути происходило вирусное заражении ЖЖ, так как код копировал сам себя.
Мое оценочное мнение - атака была направлена на дискредитацию жж как сервиса. Два основных варианта - политический заказ или месть недавно забаненных в большом количестве читеров. Или и то, и другое одновременно. Другие варианты мне кажутся не особо логичными, учитывая, что не было дефейса, ссылки на хакерскую группу или чего-то характерного для обычных хакеров.
UPD. Обращение к руководству ЖЖ:
http://teh-nomad.livejournal.com/1122397.html