טיפים שימושיים

פריצת אתר: טיפים פשוטים לאבטחה

Pin
Send
Share
Send
Send


כתבנו שוב ושוב שמספר האתרים שנחשפו להתקפות אנונימיות (לא ממוקדות) גדול פי כמה ממספר הקורבנות של התקפות ממוקדות. על פי הסטטיסטיקה שלנו, רק כל אתר רביעי מותקף על ידי האקרים בכוונה, האתרים שנותרו אלינו לטיפול והגנה הם תוצאה של פריצה ענקית וזיהום.

סבל כתוצאה מהתקף שאינו ממוקד הוא די פשוט: מספיק לא לשים לב או להתעלם מהפגיעות הקריטית ב- CMS, בתבניות או בתוספים של האתר שלך. כל פער פתוח הוא סיכוי נהדר למצוא את עצמך בין סוגך של "חברים באומללות" ולרכוש אחיזה בבחירת ההאקרים של המועמדים לפריצה. ובמקרה של התקפה "מוצלחת", התכונן לכך שהאתר שלך ישמש באופן פעיל לצורך דואר זבל, הדבקת משתמשים, אירוח דפי דיוג, התקפות באתרים אחרים או להרוויח כסף מפרסום.

לא למצוא אתרים (אלפים מהם) עם פרמטרים חלשים דומים לא קשה להאקר. תמיד ניתן לגשת למידע על אתרים פגיעים דרך מסד הנתונים של Google Hacking (GHD) - בסיס נתונים של "דורקס" - שאילתות חיפוש בשפת המטה של ​​גוגל, ומאפשרות לך למצוא אתרים הפגיעים להתקפות מסוימות של נכסים דומים מסוימים. לדוגמא, האקרים יכולים למצוא את כל האתרים באינדקס במנוע חיפוש עם פלאגין מותקן או פגיעים המותקנים החושפים את תוכן הספריות, כלומר מאפשרים לך להציג ולהוריד קבצים מהם (עם סיסמאות, הגדרות וכו ').

אם לאתר שלך יש קישור חלש ופרויקט האינטרנט פגיע לסוג מסוים של תקיפה, במוקדם או במאוחר תפרוץ אותך. זה חייב להיות מובנה על ידי כל מנהל אתרים ובעל אתר.

אלה האחרונים, ככלל, אינם מאמינים כי מציאת אתר פגיע וניתן לעשות זאת תוך מספר דקות בלבד, ללא שום כלי פריצה המתמחה בהישג יד. לכן, לצורך המחשה, אנו נותנים דוגמא פשוטה כיצד, באמצעות היכולות של גוגל, תוקפים מוצאים ומפרצים פרויקטים ברשת שבעליהם לא דאגו להגנתם בזמן או טעו בעת הקמת האירוח.

כדוגמה, שקול את "דורק" שהופיע במסד הנתונים של Google לפריצה ב- 1 בספטמבר 2015. זה מאפשר לך למצוא אתרים עם ספריות פתוחות (בספריות כאלה אתה לא יכול לראות רק את רשימת קבצי השירות, אלא גם להציג את תוכנם, למשל למצוא סיסמאות).

אנו שולחים בקשה זו למנוע החיפוש של גוגל ורואים רשימה של אתרים עם רשימות ספריות פתוחות - אלה הם קורבנות פוטנציאליים של האקר. אנו בוחרים באקראי מהאתרים שנמצאו, למשל, האחרון ברשימה.

אנו לוחצים על הקישור - נפתחת רשימת ספריות, אתה יכול "ללכת" דרכן כמו ב- Explorer, וכתוצאה מהגלישה אתה יכול להבחין בקובץ serverconfig.xml, שבדומיין הציבורי שומר כניסות וסיסמאות מהמאגר. בהתחשב בכך שלעתים החשבונות חופפים זה לזה עם FTP או SSH, בדרך זו האקר יכול לקבל גישה לא מורשית לא רק למסד הנתונים, אלא לשרת כולו.

כל התהליך שתואר לעיל ארך כשתי דקות, אך עבור האקר ב"תנאי קרב "המשתמש בפתרונות אוטומטיים, זה לוקח עוד פחות זמן, וכמות המשאבים שנפרצו בדרך כלל עוברת לאלפים.

חבל להיות בין אלה שהפכו לטרף קל בידי האקר, אם כי קל להימנע ממצב זה. חשוב על הגנה מראש על פרויקטים ברשת שלך. אם האתר שלך יהיה מעט יותר מאובטח מהממוצע (עם CMS מחוץ לתיבה והגדרות ברירת המחדל), הבעיה של פריצה לא הולמת תעקוף אותך.

כיצד אתר נפרץ?


הדרכים הנפוצות ביותר להיכנס לאתר:

  • חיפוש סיסמאות פשוטות לגישה לחלונית הניהול / ftp ("שם תחום", 12345, מנהל מערכת, מבחן וכו ') - מספר גדול של פריצות, למרבה הפלא, קורה בדיוק ככה,
  • השימוש בפגיעויות של סקריפט (CMS ומודולים).

הרשה לי להמחיש עם הדוגמה של Joomla + CKForms. כדי לא להוביל לפיתוי, אני לא מפרסם קישור לתיאור, קל מדי להשתמש בואבל גם קל למצוא. פגיעויות במודול CKForms מאפשרות לבצע הזרקת SQL או הכללת PHP, ובאמצעות מניפולציות פשוטות, לקבל גישה ללוח הניהול. הפגיעות מנוצלת באמצעות בקשה פשוטה בסרגל הכתובות של הדפדפן.

זה ממש חמש דקות ואינו מצריך ידע רציני מהפוקר. צעדים נוספים תלויים בדמיונו של המחבר לפריצה - החל מהשחתה לא נעימה, להרס האתר ולנסות להשתלט על אתרים אחרים ועל השרת.

נקטתי בפעולה, אך כיצד נפרץ האתר?

כיצד יכול האקר לקבל גישה לאתרים אחרים באירוח משותף אם כל האמצעים הידועים ננקטו על ידי בעל האתר? אכן, כמעט בכל מקום ההבדל בין הגישה לאתרי אתרים על ידי כניסות משתמשים, ונראה כי הדבר אמור להגן על האתר מפני שכנים.

אנו מגבילים את עצמנו למקרה אחד. סכנה חמורה היא השקת סקריפטים תחת מודול Apache, לדוגמה mod_perl. הסקריפט במקרה זה מופעל תחת משתמש Apache, שיש לו גישה לנתונים של משתמשי האתר.
האקר, כמתואר לעיל, זוכה לגישה לאתר של אתר אחד. ואז ממוקם סקריפט הקונסולה, למשל cgi-telnet. ואם הזכויות לקבצי התצורה באתרי משתמשים אחרים מוגדרות ל- 644 (או פחות מכך 777!), קל לקרוא את התוכן של קבצים עם סיסמאות מהקונסולה. אבל! רק אם סקריפט ה- perl מופעל תחת משתמש Apache, כלומר תחת mod_perl (מצב דומה עם mod_php). כאשר עובדים, למשל תחת FastCGI, שיטה זו לא תעניק גישה לקבצים. אתה יכול להגן על עצמך מפני זה על ידי התקנת 600 זכויות על קבצים קריטיים ושימוש ב- FastCGI.

כיצד אוכל לגשת לניהול השרת עצמו?

הרשה לי לתת לך דוגמא אחת נפוצה למערכות לינוקס. באופן דומה, ראשית אתה זקוק לגישה לאתר של אתר אחד.
ישנן כמה פגיעויות בגרעין דרך מצביע האפס אליו נחשפות עשרות מערכות לינוקס, לדוגמה: פגיעות של התערבות NULL Pointer Dernference ב- Sock_sendpage של Linux (). ניצולים מתוארים שם גם. (היזהר, זה עובד!).
למרות העובדה כי בעיה זו ידועה כבר זמן רב, ישנם שרתים רבים שלא נענו עליהם, כולל ברוסיה. הדרך הקלה ביותר להגן מתוארת, למשל, כאן.
זה אינו מבטיח הגנה של 100%, כמו לדוגמה, בעת התקנת יין, ניתן לאפס את הפרמטר mmap_min_addr ל -0. מומלץ בחום להשתמש בטלאים שניתן לקחת בדף שלמעלה או במקורות רשמיים.
דיון בנושא זה התנהל גם על הבר.
האחריות להגנה מפני נתוני ניצול מוטלת על מנהל השרת.

נוהל מתקנה

אין די בהחלמה של "טיפול" מגיבוי, לאחר פריצה לאתר הם יחזרו אליך. מה על בעל האתר לעשות?

  • נסה לקבוע מייד אילו קבצים הוחלפו, זה יכול להיות index.php או קבצי תבנית, תמונות וכו '.
  • צלם צילומי מסך של ההשלכות,
  • הקפד ליידע את ספק האירוח ולתאם את הצעדים הבאים שלך,
  • שמור את קבצי האתר בספריה נפרדת, הזמן לשינוי הקבצים בעתיד יעזור לך לקבוע את התוקף,
  • שחזר את האתר מהגיבוי או צור קשר עם המארח לשם כך,
  • הורד את יומני השגיאות וגישה לאתר או בקש מהמתאר לספק אותם, עדיף להעתיק אותם לספרייה נפרדת כדי שלא ייעלמו במהלך סיבוב היומנים,
  • ניתוח זמן שינוי הקבצים והשוואה עם רשומות ביומן מאפשר לך לקבוע את אופי הפגיעות המשמשת ואת כתובת ה- IP של התוקף,
  • עדכן סקריפטים או (אם זה לא אפשרי) מסרבים להשתמש במודולים פגיעים,
  • הקפד לשנות את כל סיסמאות הגישה.

פשע ועונש

העניש האקר, במיוחד אם הוא פועל תחת תחום שיפוטה של ​​מדינה אחרת ונוקט בכל האמצעים כך שלא ניתן יהיה לעקוב אחר זה - זה קשה או כמעט בלתי אפשרי. אבל יש דוגמאות מוצלחות.

חטיבה K של העיר נ 'פתחה תיק פלילי על פי סעיף 272 לחוק הפלילי של הפדרציה הרוסית "גישה בלתי חוקית למידע מוגן מחשב מוגן כחוק. »ביחס לאזרח הפדרציה הרוסית לבקשת גורם משפטי (בעל אתר). בפברואר 2010 נפרץ אתר לייצור של אחד מאולפני העיצוב הרוסיים ("סקריפט") באמצעות הפגיעות שנמצאה בקוד האתר על ידי תוקף. מטרת הפריצה הייתה להציב מודעות באנר. התוקף הביא את התנצלותו בכתב לבעל האתר בבקשה להסדר קדם משפט - בנוסף לכתבה הפלילית, הוא מאוים גם על גירוש מהאוניברסיטה. כביכול - לטובת החקירה לא נמסרו פרטים.

אם הנזק הוא משמעותי, וכתובת ה- IP היא "מקומית" (אפילו דינאמית ושייכת לספק האינטרנט) ולא "הגורם הסיני", אתה יכול לפנות לרשויות אכיפת החוק, ובמיוחד למחלקת ק ', עם היישום והחומרים הזמינים במקום מגוריך. הם יבקשו מכתב רשמי של ספק האירוח עם מגזינים והסברים על המצב, מספק האינטרנט - אליו הוקצתה כתובת ה- IP. חברות נדרשות למסור מידע זה לבקשת אכיפת החוק.
תקשורת עם גורמי אכיפת החוק תביא הרבה לפיצוח לאשעות נעימות, במיוחד אם יש עקבות של פעילות בלתי חוקית במחשב, שלא לדבר אפשרי תביעה.

מסקנות קצרות

אבטחת האתר שלך אינה רק משימתם של היזם והמארח, שמחויב לספק אבטחה מקסימאלית לשרתים, אלא גם למנהל האתר.
ייעוץ טרי לבעל האתר:

  • אל תאחסן אישורי גישה בשום מקום
  • השתמש בסיסמאות מורכבות וביומני כניסה שאינם סטנדרטיים, בצע מעת לעת את השינוי שלהם,
  • עדכוני סקריפטים בזמן עם פרסום העדכונים,
  • בבחירת רכיב, בדוק אם יש פגיעויות פתוחות,
  • לפקח על הרשאות בקבצי סקריפט ובעיקר בקבצי תצורה קריטיים,
  • באמצעות שרת אינטרנט (למשל .htaccess ו- .ftpaccess) כדי לאפשר גישה רק מה- IP שלך,
  • כן, יש צורך לשמור על זכויות יוצרים של מחברי תסריטים, אך לדבריהם, כמו גם קטעי סרגל הכתובות של המודולים, התוקפים מחפשים אתרים פגיעים - לשנות לפחות את הכתובות הסטנדרטיות לגישה לסקריפטים
  • מעת לעת, כולל שירותים חיצוניים, בדוק את הזמינות של חלקים ספציפיים באתר,
  • יש אתרי גיבוי מקומיים.

לאחר שבדקת את הסיכוי למצוא תוקף, עליך וצריך לפנות לרשויות אכיפת החוק.

נ.ב: המאמר לא מתיימר להיות שלם לחלוטין ואינו מתמקד בגורו IT, כמובן שאפשר להשתמש באמצעים אחרים לפריצה ממוקדת של שרת או אתר ספציפיים. אשמח להוסיף את הערותיה של התסריטנות, כולל דוגמאות נוספות.
ובקצרה על פעולות פריצה לאתר.

צפו בסרטון: טיפים לאבטחה באינטרנט (סֶפּטֶמבֶּר 2020).

Pin
Send
Share
Send
Send