На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
На сайте государственных услуг Российской Федерации (gosuslugi.ru) наблюдается наличие вредоносных iframe-блоков, через которые загружается контент с сайтов злоумышленников и обрабатывается в рамках текущего сеанса. Обращение производится к доменам, состоящим из хаотичного набора символов (например, u7yb1iy1x3xv.ru или m81jmqmn.ru) c которых загружается файл "f.html". Примечательно, что служба поддержки gosuslugi.ru никак не отреагировала на сообщение о проблеме и вредоносный код находится на сайте до сих пор.
В настоящее время через данную вредоносную вставку производится DDoS-атака на один из украинских сайтов: при запросе /f.html выдается редирект на атакуемый сайт, который наводняется запросами, образуемыми при обработке iframe-блоков в процессе открытия страниц на gosuslugi.ru. Судя по всему атака не целевая, а типовая, так как подстановка аналогичного кода наблюдается хостинг-операторами с 2015 года на незащищенных сайтах клиентов.
$ curl -I m81jmqmn.ru/f.html HTTP/1.1 302 Found Server: nginx/1.10.2 Date: Thu, 13 Jul 2017 17:53:15 GMT Content-Type: text/html; charset=iso-8859-1 Connection: keep-alive Location: http://k****i.com/
