Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1
в сутки Яндекс находит более 1400 новых заражений сайтоввсего Яндексу известно более 230k заражённых сайтовза год было 121...
(в 99% случаев пользователи не переходят на заражённые сайты, на выдаче – по10 документов)2 массовых заражения со взломами...
пользователям      не терять деньги (кража, мошенничество), ценные данные, время на      лечение компьютеров, репутациюинт...
сайту – чтобы его трафик, пользователи (→ деньги) не доставались другим      не редиректить на другие сайты      не заража...
6
7
контроль ввода данных (WAF) – защита от атак XSS, Injectionконтроль операций ( Insecure Direct Object References ) – защит...
компьютер вебмастера – тоже защищён от malwareминимум служебных данных (например, версия сервера или CMS)анти-кликджекинг ...
блоки и реклама      избегать «уникальных предложений» (подозрительно высокая плата за      счётчики и блоки, монетизация ...
всякие радио-виджеты для ucozконтроль служебного доступа      рассказ про утечку базы FTP      та же ситуация с различными...
валидация данных     нет javascript в <script>, тегах, гиперссылках     нет <iframe>, <object>, <embed>, список разрешённы...
12
В двух словах:На зараженном сайте происходит подгрузка/перенаправление на системураспределения траффика, цель которой– отф...
по возможности посмотреть через прокси / попросить товарища посмотреть издоматестовый стенд      Windows XP на виртуальной...
15
16
17
18
19
0. в коде<?phpheader(“Location: evil.com”);?>в настройках веб-сервера или интерпретатора.htaccess     php_value auto_appen...
если до или после обычного блока <html> – возможно, в настройках веб-сервера или интерпретатора                           ...
21
22
в 90% случаев на сервере есть backdoor – найти!  обычно web-shell, но бывают и tcp-bind шеллы                             ...
И потом 2 недели следить                           24
вообще надо сказать, что хорошо помимо, регистрации стандартных абуз-адресов, указать их на сайте в разделе контакты и удо...
26
27
+ Яндекс.XML: результаты поиска + информация о заражённых документах                                                      ...
мы стараемся для вас, и помогаем вам вылечить ваши сайтымы понимаем, что потеря трафика – это плохо для сайта, но не дават...
30
31
32
Почта, твиттеры                  33
Upcoming SlideShare
Loading in …5
×

как не заразить посетителей своего сайта All а.сидоров, п.волков

688 views

Published on

  • Be the first to comment

  • Be the first to like this

как не заразить посетителей своего сайта All а.сидоров, п.волков

  1. 1. 1
  2. 2. в сутки Яндекс находит более 1400 новых заражений сайтоввсего Яндексу известно более 230k заражённых сайтовза год было 121 случай заражения сайтов, которые знают всеобычные массовые заражения 2
  3. 3. (в 99% случаев пользователи не переходят на заражённые сайты, на выдаче – по10 документов)2 массовых заражения со взломами, 1 партнёрская система, заражающаяпользователей через свои блоки на «выгодных» для сайтов условиях 3
  4. 4. пользователям не терять деньги (кража, мошенничество), ценные данные, время на лечение компьютеров, репутациюинтернету существовать (быть полезным для людей), без DDoS’ов, накрутки, спама интернет-индустрия сможет получать больше денег, если в интернете станет безопаснее (онлайн-банкинг, электронные платёжные системы, веб-магазины)злоумышленникам пойти заниматься чем-нибудь полезным 4
  5. 5. сайту – чтобы его трафик, пользователи (→ деньги) не доставались другим не редиректить на другие сайты не заражать компьютеры пользователей не показывать чужих ссылок и рекламы не терять имидж и доверие заражение – 99% трафика, поисковый спам до – 100% трафикапоисковой системе – чтобы было, чем отвечать на запросы пользователей заражённые, испорченные, перенаправляющие сайты – это плохой ответ 5
  6. 6. 6
  7. 7. 7
  8. 8. контроль ввода данных (WAF) – защита от атак XSS, Injectionконтроль операций ( Insecure Direct Object References ) – защита от IDOR, CSRF,закрытие доступа к админкам, бэкапам, SVNобновлять CMS и серверное ПО, минимум «кустарных» модулей, отключатьлишнее, следить за новостями об уязвимостях своей CMSПример другого серверного ПО – OpenX, phpMyAdminсложный пароль от веб-сервера (FTP, SSH, админ-панели хостинга, CMS) 8
  9. 9. компьютер вебмастера – тоже защищён от malwareминимум служебных данных (например, версия сервера или CMS)анти-кликджекинг Js-проверки if (top != window) top.location = window.location top.location = http://example.com HTTP-Header X-FRAME-OPTIONS SAMEORIGIN X-FRAME-OPTIONS DENY 9
  10. 10. блоки и реклама избегать «уникальных предложений» (подозрительно высокая плата за счётчики и блоки, монетизация мобильного трафика) – вместо денег отсутствие трафика и потеря позиций в поисковых системах использовать партнёрские программы со скрытыми блоками – опасно блоки и реклама – только от проверенных систем по возможности принимать только статический контент (ссылки, картинки. Не скрипты и не фреймы) о новых партнерках – искать отзывы, проверять, что через них приходит рассказ про траффбиздистрибутивы осторожнее с дистрибутивами CMS из сомнительных источников, виджетами и чужими библиотеками случай с DLE постоянные проблемы с wordpress-темами 10
  11. 11. всякие радио-виджеты для ucozконтроль служебного доступа рассказ про утечку базы FTP та же ситуация с различными фрилансерами – периодически приходят жалобы на заражения после их работы (особенно если их обидели, ну и утечь может от них)качественный хостинг телекомы тоже страдают (см. статью в блоге) 10
  12. 12. валидация данных нет javascript в <script>, тегах, гиперссылках нет <iframe>, <object>, <embed>, список разрешённых HTML-тегов 11
  13. 13. 12
  14. 14. В двух словах:На зараженном сайте происходит подгрузка/перенаправление на системураспределения траффика, цель которой– отфильтровать потенциальных жертв по критериям:1. Уникальный заход (1 перенаправление на 1 ip, cookie итп).2. Уязвимые версии операционной системы, браузера и прочего ПО, напримерflash, acrobat, JRE.3. Проверка подгрузки с зараженного сайта с реферером поисковой выдачи.4. Различные попытки отсева запросов поисковых роботов и антивирусныхсистем.5. Дополнительные критерии, например время суток.Если все критерии пройдены – перенаправление на связвку эксплоитов длязаданных ОС и ПО.Задача связки эксплоитов – установить в ОС вредоносное ПО ( бинарный файл ).Действия вредоносного ПО внутри ОС зараженного компьютера – тема дляотдельной презентации. 13
  15. 15. по возможности посмотреть через прокси / попросить товарища посмотреть издоматестовый стенд Windows XP на виртуальной машине, IE+FF+Chrome+Opera без cookies и истории посещений Желательно IE6 и не последние версии Java, Acrobat Reader, Flash после каждого просмотра страницы – revert к исходному образу 14
  16. 16. 15
  17. 17. 16
  18. 18. 17
  19. 19. 18
  20. 20. 19
  21. 21. 0. в коде<?phpheader(“Location: evil.com”);?>в настройках веб-сервера или интерпретатора.htaccess php_value auto_append_file “tmpevil.txt«если сайт статический на соседнем сайте shared-хостинга, а также, вероятнее всего,утечка реквизитов доступа, либо заражение всего сервераесли серверный редирект, в т.ч. работающий только для мобильных – .htaccess,в т.ч. конструкции для mod_rewriteесли строки в конце страниц – в шаблонах CMS 20
  22. 22. если до или после обычного блока <html> – возможно, в настройках веб-сервера или интерпретатора 20
  23. 23. 21
  24. 24. 22
  25. 25. в 90% случаев на сервере есть backdoor – найти! обычно web-shell, но бывают и tcp-bind шеллы 23
  26. 26. И потом 2 недели следить 24
  27. 27. вообще надо сказать, что хорошо помимо, регистрации стандартных абуз-адресов, указать их на сайте в разделе контакты и удостовериться, чтоадминистратор регулярно обрабатывает сообщения в них (просто формальнокласть в issue tracker недостаточно)трафик сайта и статистика переходов: Метрика аномалиикнига жалоб для пользователей нужно поддерживать форму для отправки жалоб и/или указать email-адресаадминистратора 25
  28. 28. 26
  29. 29. 27
  30. 30. + Яндекс.XML: результаты поиска + информация о заражённых документах 28
  31. 31. мы стараемся для вас, и помогаем вам вылечить ваши сайтымы понимаем, что потеря трафика – это плохо для сайта, но не даватьпользователям заразиться - важнееЯндекс размечает, только если действительно обнаружил malware, точность – от99.5% до 99.98% (для разных детекторов разная)ваш сайт тоже может заразиться самым неожиданным способом, если вы ненашли malware на сайте – поищите ещё разесли антивирусы не находят – это тоже не значит, что malware нетмы не реагируем только по факту обфускации, или если блок находится внеположенном месте, а детектируем именно вредоносный кодбывает, что нас пытаются обмануть, но это нам очень хорошо видно, не надотратить на это время 29
  32. 32. 30
  33. 33. 31
  34. 34. 32
  35. 35. Почта, твиттеры 33

×