Сб, 03.12.2016, 02:21
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво
Безлимитный хостинг, бесплатный домен, бесплатный хостинг, Хостинг, dedicated, сервер, хостинг в Европе, хостинг в Германии, выделенный сервер

Сторінка 1 з 11
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.3 Хостінг, розкрутка сайту » Взлом сайтов. Вирусы на сайте. Вопросы, ответы, опыт
Взлом сайтов. Вирусы на сайте. Вопросы, ответы, опыт
Jokerz Дата: Вт, 05.07.2016, 09:12 | Повідомлення № 1
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Наверно стоит начать такую тему. Поскольку многие из форумчан являются веб мастерами, многие из них используют популярные cms системы как joomla, wordpress и подобные. Мир IT технологий растет. Еще лет 10-15 тому хакеры взламывали ради удовольствия, сегодня это в 99 случаях из 100 чисто выгода. Взлом сайта редко носит характер целевой атаки. Рутинные процессы поиска уязвимостей стали автоматическими с использованием поисковых систем и сканеров.

Причем чаще всего процесс взлома вообще автоматизирован без участия самого хакера. Мы как хостинг компания, имеем дело с взломами сайтов очень часто. И некоторые из них заслуживают отдельного внимания.

Сегодня на одном из сайтов который у нас хостится, это сайт гимназии, был скоспрометирован, причем так что визуально этого не заметно не для владельца сайта не для посетителя.

Суть взлома была в том что через уязвимости в joomla плагинах (а именно эту систему они используют, причем используют самую актуальную, пароли сложные, постоянно обновляют. Вообщем отношение к безопасности серьезное) сайт был скомпрометирован, загрузили так называемые хакерские утилиты, шел коды.
Последние коды весь код шифруют специально что бы было трудно его прочесть и обнаружить. Как пример такого кода:


Это часть шел кода который дает возможность как инструмент работать с файлами и обладает другими возможностями. Таких файлов хакер загружает не один, а с десяток в разные места. Для того что бы если один удалят он мог снова войти в систему.

Чаще всего используют взломанные сайты для спам рассылки, установки проксирования, проведение ddos атак на целевые сайты, фейковые страницы и для обмана и накрутки разных счетчиков. Во всех случаях хакер получает пользу от взлома, а не просто пошалив.

Так вернемся к сегодняшнему взлому. Заметили не понятный трафик и обращения к сайту. Вызвало подозрение. Начали копать и обнаружили ботнет.
Причем часть его была написана на perl, которую хакер использовал как проксирующий скрипт (выкладывать сюда не буду по понятным соображениям), затем он загрузил уже готовый cgi бот, который осуществлял атаку, кроме этого был загружен список прокси через которые генерировался поток трафика, вероятно для осуществления целевой ddos атаки на какой то ресурс.

Обращаю еще раз внимание всех на то что как правило ресурсы для взлома хакер не выбирает как целевую атаку. Т.е. вопрос о том почему мой школьный сайт с посещением в 1 человек за месяц, взломали, ответ просто, просто попали под раздачу слонов. Ваш сайт интересен лишь потому что он имеет уязвимость для того что бы его использовать в других целях и не более того.

Постараюсь в этой теме описывать подробно как искать или как обнаружить взлом.

Если у Вас есть вопросы, я попробую их описать в этой ветке форума.
vinohodov Дата: Нд, 24.07.2016, 14:08 | Повідомлення № 2
Прописаний назавжди
Повідомлень: 287
Нагороди: 1
Рейтинг: 15
А какие существуют способы защиты сайта, если не получается из-за определенных причин, обновить версию джумлы?
Jokerz Дата: Нд, 24.07.2016, 16:34 | Повідомлення № 3
Хостер
Повідомлень: 1064
Нагороди: 4
Рейтинг: 63
Цитата vinohodov ()
А какие существуют способы защиты сайта, если не получается из-за определенных причин, обновить версию джумлы?

Было такое в личной практике

1. Для начала проверить все файлы на наличие "лишнего кода" вдруг уже взламывали. Или часто во всяких нуленных или скачанных с о сторонних сайтов скриптов или компонентов есть всякие не хорошие сюрпризы.

2. Второе Проверить пользователей на наличие тех кого праа админа еще есть (мало ли)
3. Смена пароля на хороший для админа
4. Защита папки /administrator/ паролем от веб сервера (большинство современных панелей могут такое сделать просто в интерфейсе панели в том числе и ISPmanager).
5. Поставить на конфигурационные файлы. и index.php и .httaccess минимальный права доступа (если это wishhost то 444 )
6. Во всех каталоги что далее корня необходимо запретить выполнение скриптов прямым обращением к ним через браузере, делается через httacces файл.
таким образом если хакер загрузит шел с помощью уязвимости он не сможет им воспользоваться.
Все остальные сугубо индивидуально.

Это основное.


Відредаговано: Jokerz - Нд, 24.07.2016, 16:34
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.3 Хостінг, розкрутка сайту » Взлом сайтов. Вирусы на сайте. Вопросы, ответы, опыт
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2016.