Dicas Úteis

Hackear um site: dicas simples de segurança

Pin
Send
Share
Send
Send


Temos repetidamente escrito que o número de sites sujeitos a ataques anônimos (não segmentados) é várias vezes maior do que o número de vítimas de ataques direcionados. De acordo com as nossas estatísticas, apenas cada quarto site é atacado por hackers deliberadamente, os sites restantes que nos procuram para tratamento e proteção são o resultado de um grande ataque e infecção.

Sofrer como resultado de um ataque não direcionado é bastante simples: basta não notar ou ignorar a vulnerabilidade crítica no CMS, nos modelos ou nos plug-ins do seu site. Qualquer brecha aberta é uma grande chance de encontrar-se entre o seu próprio tipo de "companheiros de infortúnio" e ganhar uma posição firme na seleção de hackers de hackers. E, no caso de um ataque "bem-sucedido", prepare-se para o fato de seu site ser usado ativamente para spam, infectar usuários, hospedar páginas de phishing, ataques a outros sites ou ganhar dinheiro com publicidade.

Encontrar sites (milhares deles) com parâmetros fracos semelhantes não é difícil para um hacker. As informações sobre sites vulneráveis ​​sempre podem ser acessadas por meio do banco de dados do Google Hacking (GHD) - um banco de dados "dorks" - consultas de pesquisa no meta-idioma do Google, permitindo encontrar sites vulneráveis ​​a certos ataques por determinadas propriedades semelhantes. Por exemplo, os hackers podem encontrar todos os sites indexados em um mecanismo de pesquisa com um plug-in vulnerável instalado ou sites que revelam o conteúdo dos diretórios, ou seja, permite visualizar e baixar arquivos deles (com senhas, configurações, etc.)

Se o seu site tiver um link fraco e o projeto da web estiver vulnerável a um certo tipo de ataque, mais cedo ou mais tarde você será hackeado. Isso deve ser entendido por todos os webmasters e proprietários de sites.

Os últimos, como regra, não acreditam que encontrar e hackear um site vulnerável possa ser feito em apenas alguns minutos, sem nenhuma ferramenta de hacking especializada disponível. Portanto, como ilustração, daremos um exemplo simples de como, usando os recursos do Google, os invasores localizam e invadem projetos da Web cujos proprietários não cuidaram de sua proteção em tempo hábil ou cometeram erros ao configurar a hospedagem.

Como exemplo, considere o "idiota" que apareceu no banco de dados do Google Hacking em 1º de setembro de 2015. Ele permite que você encontre sites com diretórios abertos (em tais diretórios você pode não apenas ver a listagem de arquivos de serviços, mas também ver seus conteúdos, por exemplo, encontrar senhas).

Enviamos essa solicitação para o mecanismo de pesquisa do Google e vemos uma lista de sites com listagens de diretórios abertos. Essas são possíveis vítimas de um hacker. Selecionamos aleatório dos sites encontrados, por exemplo, o último da lista.

Clicamos no link - uma lista de diretórios é aberta, você pode "percorrer" eles como no Explorer e, como resultado da navegação, você pode observar o arquivo serverconfig.xml, que no domínio público armazena logons e senhas do banco de dados. Dado que às vezes as contas coincidem com FTP ou SSH, desta forma o hacker pode obter acesso não autorizado não apenas ao banco de dados, mas a todo o servidor.

Todo o processo descrito acima levou cerca de dois minutos, mas para um hacker em “condições de combate” usando soluções automatizadas, isso leva menos tempo, e a quantidade de recursos comprometidos geralmente chega a milhares.

É uma pena estar entre aqueles que se tornaram presas fáceis nas mãos de um hacker, embora essa situação seja fácil de evitar. Pense em proteger seus projetos da web com antecedência. Se o seu site for um pouco mais seguro do que a média (com o CMS fora da caixa e as configurações padrão), o problema de hacking inadequado irá contorná-lo.

Como um site é hackeado?


As formas mais comuns de entrar no site:

  • busca de senhas simples para acesso ao painel de administração / ftp ("nome de domínio", 12345, admin, teste, etc.) - um grande número de hacks, curiosamente, acontece exatamente assim,
  • o uso de vulnerabilidades de script (CMS e módulos).

Deixe-me ilustrar com o exemplo do Joomla + CKForms. Para não levar à tentação, eu não publico um link para a descrição, é muito fácil usá-lomas também é fácil de encontrar. Vulnerabilidades no módulo CKForms permitem que você execute injeção SQL ou inclusão PHP e, através de manipulações simples, obtenha acesso ao painel de administração. A vulnerabilidade é explorada por meio de uma solicitação simples na barra de endereço do navegador.

São literalmente cinco minutos e não exigem conhecimento sério do cracker. Outras etapas dependem da imaginação do autor de hackear - de um desfiguramento desagradável a destruir o site e tentar controlar outros sites e o servidor.

Eu agi, mas como o site foi hackeado?

Como um hacker pode obter acesso a outros sites em hospedagem compartilhada se todas as medidas conhecidas tiverem sido tomadas pelo proprietário do site? De fato, quase todos os acessos aos sites são diferenciados pelos logins dos usuários e, ao que parece, isso deve proteger o site dos vizinhos.

Nos limitamos a um caso. Um sério perigo é o lançamento de scripts sob o módulo Apache, por exemplo mod_perl. O script, neste caso, é executado sob o usuário do Apache, que tem acesso aos dados dos usuários do site.
Um hacker, como descrito acima, ganha acesso ao site de um site. Em seguida, o script do console, por exemplo, cgi-telnet, é colocado. E se os direitos dos arquivos de configuração dos sites de outros usuários estiverem definidos como 644 (ou até menos 777!), É fácil ler o conteúdo dos arquivos com senhas do console. Mas! Somente se o script perl for executado sob o usuário do Apache, ou seja, sob mod_perl (uma situação similar com mod_php). Ao trabalhar, por exemplo, no FastCGI, esse método não dará acesso aos arquivos. Você pode se proteger disso instalando 600 direitos em arquivos críticos e usando o FastCGI.

Como posso acessar o gerenciamento do próprio servidor?

Deixe-me dar um exemplo comum para os sistemas Linux. Da mesma forma, primeiro você precisa acessar o site de um site.
Existem diversas vulnerabilidades no kernel por meio do ponteiro nulo ao qual dezenas de sistemas Linux estão expostos, por exemplo: Vulnerabilidade de cancelamento de referência de ponteiro NULL do kernel Kernel 'sock' (). As explorações também são descritas lá. (tenha cuidado, isso funciona!).
Apesar do fato de que esse problema é conhecido há muito tempo, existem muitos servidores sem correção, inclusive na Rússia. A maneira mais fácil de proteger é descrita, por exemplo, aqui.
Isto não garante 100% de proteção, como por exemplo, ao instalar wine, o parâmetro mmap_min_addr pode ser redefinido de volta para 0. É altamente recomendável usar as correções que podem ser obtidas na página acima ou em fontes oficiais.
Discussão sobre esta questão também foi realizada em Habr.
A responsabilidade pela proteção contra dados de exploração é do administrador do servidor.

Procedimento corretivo

"Tratamento" recuperação de backup não é suficiente, uma vez que o site, eles vão voltar para você. O que o dono do site deve fazer?

  • Tente determinar imediatamente quais arquivos foram substituídos, ele pode ser index.php ou arquivos de modelo, imagens, etc.,
  • Tire screenshots das conseqüências,
  • Não se esqueça de notificar o provedor de hospedagem e coordenar seus próximos passos,
  • Salve os arquivos do site em um diretório separado, o tempo para modificar os arquivos no futuro ajudará a determinar o invasor,
  • Restaurar o site a partir do backup ou entre em contato com o hoster para isso,
  • Faça o download dos logs de erros e acesse o site ou peça ao hoster para fornecê-los, é melhor copiá-los para um diretório separado para que eles não desapareçam durante a rotação dos logs,
  • A análise do tempo de modificação do arquivo e a comparação com as entradas de log permitem determinar a natureza da vulnerabilidade usada e o endereço IP do invasor,
  • Atualizar scripts ou (se isso não for possível) recusar-se a usar módulos vulneráveis,
  • Certifique-se de alterar todas as senhas de acesso.

Crime e Castigo

Punir um hacker, especialmente se ele agir sob a jurisdição de outro estado e tomar todas as medidas para que não possa ser rastreado - é difícil ou quase impossível. Mas existem exemplos de sucesso.

A Divisão K da cidade de N abriu um processo criminal nos termos do artigo 272 do Código Penal da Federação Russa “Acesso ilegal a informações protegidas por computador legalmente protegidas. »Em relação a um cidadão da Federação Russa a pedido de uma entidade legal (dono do site). Em fevereiro de 2010, um site foi invadido pela produção de um dos estúdios de design da Rússia (um "script") por meio da vulnerabilidade encontrada no código do site por um invasor. O objetivo do hack foi colocar banners. O agressor apresentou seu pedido de desculpas por escrito ao dono do site, solicitando um acordo pré-julgamento - além do artigo criminal, ele também é ameaçado de expulsão da universidade. Por assim dizer - no interesse da investigação, os detalhes não foram divulgados.

Se o dano for significativo e o endereço IP for “local” (mesmo dinâmico e pertencer ao provedor da Internet), e não o “proxy chinês” - você pode solicitar às autoridades policiais e especificamente ao departamento K. a declaração e os materiais disponíveis no local de residência. eles solicitarão uma carta oficial do provedor de hospedagem com revistas e explicações sobre a situação, do provedor da Internet - para quem o endereço IP foi alocado. As empresas são obrigadas a fornecer essas informações a pedido da lei.
Comunicação com agências de aplicação da lei trará muito para o cracker nãohoras agradáveis, especialmente se houver vestígios de atividade ilegal no computador, para não mencionar possível acusação.

Breves conclusões

A segurança do seu site não é apenas tarefa do desenvolvedor e do hoster, que é obrigado a fornecer segurança máxima para os servidores, mas também ao administrador do site.
Conselho trivial para o proprietário do site:

  • não armazene credenciais de acesso em qualquer lugar
  • usar senhas complexas longas e logins não padrão, periodicamente executar suas alterações,
  • atualização tempestiva de scripts com o lançamento de atualizações,
  • ao selecionar um componente, verifique vulnerabilidades abertas,
  • monitorar permissões em arquivos de script e arquivos de configuração especialmente críticos,
  • por meio de um servidor web (por exemplo, .htaccess e .ftpaccess) para permitir o acesso somente do seu IP,
  • Sim, é necessário preservar os direitos autorais dos autores do script, mas, segundo eles, além dos fragmentos da barra de endereço dos módulos, os invasores procuram sites vulneráveis ​​- altere pelo menos os endereços padrão para acessar scripts,
  • periodicamente, incluindo serviços externos, verifique a disponibilidade de seções específicas do site,
  • tem sites de backup locais.

Tendo avaliado as chances de encontrar um invasor, você pode e deve contatar as agências de aplicação da lei.

PS: o artigo não pretende ser completamente completo e não está focado em um guru de TI, é claro, outros meios podem ser usados ​​para hacking direcionado de um servidor ou site específico. Ficarei feliz em complementar com os comentários da habrasociedade, incluindo outros exemplos.
E brevemente sobre as ações de invadir o site.

Pin
Send
Share
Send
Send