Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (7)
Similar to Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Similar to Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте (20)
More from revisium
More from revisium (8)
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
- 1. Яндекс.Вебмастерская, 21/05/15 Григорий Земсков, компания «Ревизиум» «Как найти иголку в стоге сена» или руководство по поиску вредоносного кода на сайте
- 2. Какие последствия после взлома сайта? Что искать? Где искать? Как искать? 2 Краткое содержание
- 3. На сайте вирус :( С чего начать анализ?
- 4. Срабатывают антивирусы Редирект на внешние ресурсы, попандеры Сторонние баннеры, «black hat seo» ссылки на страницах Спам-рассылка Вредоносная активность на хостинге Сайт сломался («дефейс», пустая страница, ошибки) Тысячи спам-страниц в поисковом индексе Внешне - не проявляется. Взлом без «полезной нагрузки» 4 Негативные последствия взлома
- 5. Что искать?
- 6. Хакерские скрипты (шеллы, бэкдоры, «загрузчики») Инжекты в существующих скриптах Вредоносный код в базе данных Инжекты в кэширующих сервисах Инжекты в системных компонентах сервера 6 Виды вредоносного кода
- 10. Статические БД, шаблоны, вставки в скрипты, в кэш. сервисы Динамические Вставки в скрипты, в компоненты сервера, подгрузка с внешних серверов, виджеты 10 Инжекты
- 11. 11 Пример инжекта в .php
- 12. 12 Пример инжекта в .js
- 13. 13 Примеры инжекта в БД
- 14. Как искать?
- 15. Сканерами и антивирусами Вручную (опыт и командная строка) Анализ траффика Анализ логов Сторонними сервисами Integrity Check, VCS, встроенные антивирусы и др. 15 Варианты поиска «вредоносов»
- 17. Поиск вредоносных и подозрительных скриптов Удаление или размещение в карантин указанных файлов Работает через браузер Удобный и функциональный интерфейс Каждое действие контролируется пользователем http://yandex.ru/promo/manul 17 Манул - антивирус для сайтов
- 18. 18 Манул - антивирус для сайтов
- 19. Поиск вредоносного кода в файлах сайта Обнаружение фишинговых страниц Определение уязвимостей в скриптах Поиск дорвеев Обнаружение хакерских инструментов В командной строке или браузере (для небольших сайтов) http://revisium.com/ai/ 19 AI-BOLIT - сканер для сайтов
- 21. Поиск вредоносного кода на сервере Требуют установки и навыков работы с командной строкой ClamAv ищет вирусы в архивах и бинарных файлах clamav.net rfxn.com/projects/linux-malware-detect/ 21 ClamAv, Maldet - сканеры для сервера
- 22. Не подходят для лечения сайтов База данных содержит небольшое число сигнатур хакерских скриптов - пропуски «вредоносов» сайта Но можно просканировать бэкап сайта (проверить бинарные файлы) 22 Антивируса для десктопов
- 23. find . -name ‘*.ph*’ -mtime -7 find . -name ‘*.ph*' -newermt 2015-01-25 ! -newermt 2015-01-30 -ls find . -name ‘*.ph*’ -exec grep -l ‘eval(base64’ {} ; grep -ril 'src="http://stummann.net/jquery-1.6.5.min.js" type="text/javascript"></script>' * find / -perm -4000 -o -perm -2000 lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ' { if(!str) { str=$1 } else { str=str","$1}}END{print str}'` | grep vhosts | grep php 23 Поиск вручную
- 24. Анализ директорий upload/cache/tmp/backup/log Нестандартные имена файлов (обфусцированные) Нехарактерные расширения файлов Нестандартные атрибуты файлов Много файлов .html/.php в директории 24 Использование «эвристики»
- 25. 1. Настраиваем среду тестирования 2. Включаем сниффер траффика или HTTP прокси 3. Загружаем сайт 4. Анализируем сессию Fiddler Charles Wireshark IE11 25 Анализ траффика
- 26. Поиск вредоносных активностей на хостинге (например, спам-скриптов) в access_log Анализ взлома (access_log, error_log, xferlog) Анализ логов проактивной защиты (атаки) 26 Анализ логов
- 28. Integrity Check (контроль целостности) Системы контроля версий (git, svn, cvs) Антивирус CMS 28 Другие варианты поиска вредоносов
- 29. Prevention is Better Than Cure
- 30. Григорий Земсков Компания «Ревизиум» Вопросы? Спасибо! @revisium Revisium +7 (499) 506 76 73 ai@revisium.com