Уязвимости и их устранение. Защита от разных способов взлома.

Причины и последствия взлома

alex » 28 фев 2013, 00:58

Эта статья для всех, кто работает в интернете с конфиденциальной информацией: например, имеет доступ к административным разделам своих сайтов, или просто заходит в веб-интерфейс своей почты и т. п. Я её периодически дополняю, редактирую. Начинается она со слов о CMS Joomla, но к Joomla относится только первый абзац, всё остальное, начиная с расширений — относится ко всем продуктам, используемым в интернете, да и вне его.
______________________________________


Ядро Joomla имеет репутацию одного из самых устойчивых ко взлому по сравнению с другими CMS, за 6 лет обнаружены были только 2 критические уязвимости (данные на Декабрь 2015 года). Но взлому иногда поддаются сторонние расширения, чем менее проверенные расширения вы ставите и чем их больше, тем выше вероятность взлома сайта.
Разработчики расширений иногда неумышленно допускают уязвимости в коде (вообще при написании общедоступной программы иногда половина сил уходит именно на то чтобы сделать код безопасным от взлома).
Не всегда удается создать безопасный код с первого раза, поэтому очень важно устанавливать только уже обкатанные расширения, которые хорошо известны и обсуждаются в интернете.
Вообще, большинство взломов осуществляется автоматически ботами, которые постоянно простукивают сайты в интернете на предмет известных уязвимостей.
Если вы не можете сами проверить исходный код программного продукта, который хотите установить, то руководствуйтесь простыми правилами, которые нарушать просто нельзя:
  • Нельзя устанавливать платные расширения, скачанные с какого-то сайта бесплатно, здесь вероятность того что вас скоро взломают приближается к 100%.
  • Нельзя устанавливать даже официально бесплатные компоненты, но скачанные не с официального сайта разработчика.
  • Очень опасно устанавливать сомнительные компоненты, пусть даже официально бесплатные, но о которых почти нет информации в интернете.
  • Ну и кстати, не ходите в админку сайта через общественный Wi-Fi (если только, у вас доступ не осуществляется через защищённое соединение, т. е. по протоколу https). Или, упаси боже, интернет-кафе — здесь даже защищенное соединение не спасёт от кейлоггеров!
Кратко о последствиях взлома сайта.

Меня иногда спрашивают: "какой реально вред от взлома сайта, если даже внешне нет признаков каких-то?"
Ну, да, коварство взлома в основном как раз и состоит в том, что владелец далеко не сразу начинает понимать, что его сайт взломан и на протяжении всего этого времени он может нести очень большие убытки.
Вот навскидку сразу несколько вариантов:
  • На сайте будут размещать ссылки (явные или скрытые) на другие сайты, что не любят поисковики (они решат, что сайт торгует местами под ссылки). Т. е. ждите существенного понижения позиций в поисковой выдаче.
  • С сайта начнется рассылка спама, в результате чего ваши реальные письма с сайта контрагентам почтовые сервисы будут заносить в спам или просто игнорировать, а потом ваш хостинг-провайдер просто отключит функции отправки почты с сайта или весь сайт.
  • Из-за рассылки спама и DDOS-атак с сайта, различные глобальные сервисы типа DNS blacklist начнут заносить домен в чёрные списки – это всё, опять-таки, удар по продвижению.
  • Большинство посетителей сайта сразу или через несколько секунд после захода на сайт будут перебрасываться на другой сайт.
  • Будут скопированы все исходники и материалы сайта (включая данные пользователей) с целью продажи, для создания клонов/дорвеев/сателлитов, сбора конфиденциальной информации о пользователях и т. п.
  • Сайт станет частью ботнета, т. е. будет участвовать во взломе других сайтов, DDOS-атаках и т. п.
Это только за 5 минут, что в голову пришло по памяти, в большинстве случаев результатом всего вышеуказанного будет исключение сайта из поисковых систем и блокировка хостинг-провайдером.
Для полноты картины нужно упомянуть о таких видах взлома как кража паролей от аккаунтов (хостинга, админки, почты) из взломанных почтовых ящиков. Вы же ведь не храните пароли в почтовых ящиках (в принятых, отправленных, черновиках, корзине), правда?
Как могли взломать ваш почтовый ящик?
Ну, например, вы стали жертвой "Фишинга" http://ru.wikipedia.org/wiki/фишинг
Или пользуетесь слабым антивирусом, который дали в нагрузку к ноутбуку.. а он детектирует только 30% троянов (вообще, считается что кроме Kaspersky для пользователей ОС Windows всё остальное — одно название от антивируса. А вообще, переходите лучше на Linux (Ubuntu).
Или использовали простой пароль, и программа переборщик паролей, натравленная на веб-интерфейс вашей почты, смогла его подобрать.

Например, на мой сайт tamirov.ru в админку иногда долбятся боты, последний раз он долбился часов 5 подряд по 4 запроса в секунду. Т. е. перебрал более 70.000 вариантов пароля из своего словаря.

Теперь вы предупреждены, и проникновение посторонних в ваш почтовый ящик будет не так фатально по последствиям, ведь там нет логинов и паролей (в принятых, отправленных, черновиках, корзине).

UPD 01.08.2013
Что-то последнее время резко возросла активность фишеров.
Меня больше фишинг в отношении моих клиентов волнует, последнее время фишеры задолбали.
Обычно я всегда предлагаю своим заказчикам оформлять хостинг на самих себя, соответственно, они там указывают и свои контактные данные.
Поэтому, получив письмо как бы от хостера или еще кого с предложением перейти в админ-панель хостинга, сайта, почты и т . п. и что-то там посмотреть, лучше не ходите по ссылкам из этого письма и тем более ни в коем случае не вводите там свой логин/пароль.
Цель фишеров побудить вас неосмотрительно ввести логин/пароль на сайте-двойнике, для этого они присылают всякие тревожные сообщения как бы от хостера или еще кого-нибудь официального (ведь адрес отправителя который виден в письме подделать совсем не сложно).
Вот пример свежего письма:

Здравствуйте.


В Панели управления хостингом были произведены изменения в разделе Управление записями DNS.

Изменения были сделаны с IP 108.201.200.41 31.07.2013 г.

Подтвердить или отменить произведенные изменения можно в Панели управления аккаунтом.



Ваши персональные данные (домен tamirov.ru):

httр://help.sweb.ru/entry/2594/ (эта ссылка реально вела на фишинговую страницу по адресу httр://polaroidart.net/Blues_Workshops/Media/data/index.php?domain=tamirov.ru)

--

С уважением,

информационный отдел

хостинг-провайдер SpaceWeb

в С.-Петербурге 7 (812) 334-1222

в Москве 7 (495) 663-1612

client @sweb.ru | httр://www.sweb.ru

И вот как выглядела страница, на которую вела эта ссылка:
Пример фишингового сайта

А вот как выглядит страница на реальном сайте провайдера sweb разница только в адресной строке браузера (выделена красным) в первом случае вы находитесь на сайте polaroidart.net, а во втором — на сайте sweb.ru:
Пример не фишингового сайта


Кстати, здесь сразу бросается в глаза, что адрес фишинговый. Но злоумышленники могли бы создать фишинговую страницу на каком-нибудь поддомене какого-то внушающего доверие домена или просто зарегистрировать домен, похожий на sweb.ru например support-sweb.ru.
В общем, суть здесь только одна: не переходить по ссылкам из таких писем или с других сайтов.
Если вы хотите действительно зайти в свой аккаунт, делайте это как делали раньше: вбивая адрес в адресной строке браузера вручную или копируя, где он у вас там хранится.
alex
Администратор
 
Сообщения: 52
Зарегистрирован: 17 апр 2010, 00:45

Вернуться в Безопасность