Уязвимости и их устранение. Защита от разных способов взлома.

Причины и последствия взлома

alex » 28 фев 2013, 00:58

Эта статья для всех, кто работает в интернете с конфиденциальной информацией: например, имеет доступ к административным разделам своих сайтов, или просто заходит в веб-интерфейс своей почты и т. п. Я её периодически дополняю, редактирую. Начинается она со слов о CMS Joomla, но к Joomla относится только первый абзац, всё остальное, начиная с расширений — относится ко всем продуктам, используемым в интернете, да и вне его.
______________________________________


Ядро Joomla имеет репутацию одного из самых устойчивых ко взлому по сравнению с другими CMS, за 6 лет обнаружены были только 2 критические уязвимости (данные на Декабрь 2015 года). Но взлому иногда поддаются сторонние расширения, чем менее проверенные расширения вы ставите и чем их больше, тем выше вероятность взлома сайта.
Разработчики расширений иногда неумышленно допускают уязвимости в коде (вообще при написании общедоступной программы иногда половина сил уходит именно на то чтобы сделать код безопасным от взлома).
Не всегда удается создать безопасный код с первого раза, поэтому очень важно устанавливать только уже обкатанные расширения, которые хорошо известны и обсуждаются в интернете.
Вообще, большинство взломов осуществляется автоматически ботами, которые постоянно простукивают сайты в интернете на предмет известных уязвимостей.
Если вы не можете сами проверить исходный код программного продукта, который хотите установить, то руководствуйтесь простыми правилами, которые нарушать просто нельзя:
  • Нельзя устанавливать платные расширения, скачанные с какого-то сайта бесплатно, здесь вероятность того что вас скоро взломают приближается к 100%.
  • Нельзя устанавливать даже официально бесплатные компоненты, но скачанные не с официального сайта разработчика.
  • Очень опасно устанавливать сомнительные компоненты, пусть даже официально бесплатные, но о которых почти нет информации в интернете.
  • Ну и кстати, не ходите в админку сайта через общественный Wi-Fi (если только, у вас доступ не осуществляется через защищённое соединение, т. е. по протоколу https). Или, упаси боже, интернет-кафе — здесь даже защищенное соединение не спасёт от кейлоггеров!
Кратко о последствиях взлома сайта.

В чём вред от взлома сайта


Меня иногда спрашивают: "какой реально вред от взлома сайта, если даже внешне нет признаков каких-то?"
Ну, да, коварство взлома в основном как раз и состоит в том, что владелец далеко не сразу начинает понимать, что его сайт взломан и на протяжении всего этого времени он может нести очень большие убытки.
Вот навскидку сразу несколько вариантов:
  • На сайте будут размещать ссылки (явные или скрытые) на другие сайты, что не любят поисковики (они решат, что сайт торгует местами под ссылки). Т. е. ждите существенного понижения позиций в поисковой выдаче.
  • С сайта начнется рассылка спама, в результате чего ваши реальные письма с сайта контрагентам почтовые сервисы будут заносить в спам или просто игнорировать, а потом ваш хостинг-провайдер просто отключит функции отправки почты с сайта или весь сайт.
  • Из-за рассылки спама и DDOS-атак с сайта, различные глобальные сервисы типа DNS blacklist начнут заносить домен в чёрные списки – это всё, опять-таки, удар по продвижению.
  • Большинство посетителей сайта сразу или через несколько секунд после захода на сайт будут перебрасываться на другой сайт.
  • Будут скопированы все исходники и материалы сайта (включая данные пользователей) с целью продажи, для создания клонов/дорвеев/сателлитов, сбора конфиденциальной информации о пользователях и т. п.
  • Ресурсы сервера, а также компьютеров пользователей, открывающих сайт, будут включены в какую-нибудь систему распределенных вычислений, например майнинг криптовалют. Т. е. сервер будет постоянно загружен под завязку, а также вычисления будут производиться в браузерах пользователей, открывающих сайт с применением JavaScript.
  • Сайт станет частью ботнета, т. е. будет участвовать во взломе других сайтов, DDOS-атаках и т. п.
Это конечно, не полный список всех возможных способов использования ресурсов, которые открываются для хакера, в большинстве случаев результатом всего вышеуказанного будет исключение сайта из поисковых систем и блокировка хостинг-провайдером.

Немного о безопасности и хранении паролей

Для полноты картины нужно упомянуть о таких видах взлома как кража паролей от аккаунтов (хостинга, админки, почты) из взломанных почтовых ящиков. Вы же ведь не храните пароли в почтовых ящиках (в принятых, отправленных, черновиках, корзине), правда?
Как могли взломать ваш почтовый ящик?
Например, Вы использовали один пароль для почтового ящика и для регистрации на других ресурсах. Не используйте один пароль для доступа к разным сайтам! См. пост ниже.
Вы могли стать жертвой "Фишинга" http://ru.wikipedia.org/wiki/фишинг
Или пользуетесь слабым антивирусом, который дали в нагрузку к ноутбуку.. а он детектирует только 30% троянов (вообще, считается что кроме Kaspersky для пользователей ОС Windows всё остальное — одно название от антивируса. А вообще, переходите лучше на Linux (Ubuntu).
Или использовали простой пароль, и программа переборщик паролей, натравленная на веб-интерфейс вашей почты, смогла его подобрать.

Например, на один мой сайт, авторизация на котором была доступна по прямому адресу, долбились боты. Один бот долбился часов 5 подряд по 4 запроса в секунду. Т. е. перебрал более 70.000 вариантов пароля из своего словаря.

UPD 2018
На сегодня стоит отметить, что в ОС Windows 10 встроен собственный антивирус «Windows Defender». Я, например, использую только его, отказавшись от Kaspersky. Раньше встроенные средства защиты в операционных системах от Microsoft считались неполноценными. Но похоже в Windows 8 и 10 ситуация кардинально поменялась. Это моё личное мнение, что Windows Defender достаточно для защиты компьютера, к тому же я достаточно аккуратный пользователь и стараюсь избегать всяких сомнительных сайтов, программ и т. п.

Теперь вы предупреждены, и проникновение посторонних в ваш почтовый ящик будет не так фатально по последствиям, ведь там нет логинов и паролей (в принятых, отправленных, черновиках, корзине).

UPD 01.08.2013
Что-то последнее время резко возросла активность фишеров.
Меня больше фишинг в отношении моих клиентов волнует, последнее время фишеры задолбали.
Обычно я всегда предлагаю своим заказчикам оформлять хостинг на самих себя, соответственно, они там указывают и свои контактные данные.
Поэтому, получив письмо как бы от хостера или еще кого с предложением перейти в админ-панель хостинга, сайта, почты и т . п. и что-то там посмотреть, лучше не ходите по ссылкам из этого письма и тем более ни в коем случае не вводите там свой логин/пароль.
Цель фишеров побудить вас неосмотрительно ввести логин/пароль на сайте-двойнике, для этого они присылают всякие тревожные сообщения как бы от хостера или еще кого-нибудь официального (ведь адрес отправителя который виден в письме подделать совсем не сложно).
Вот пример свежего письма:

Здравствуйте.


В Панели управления хостингом были произведены изменения в разделе Управление записями DNS.

Изменения были сделаны с IP 108.201.200.41 31.07.2013 г.

Подтвердить или отменить произведенные изменения можно в Панели управления аккаунтом.



Ваши персональные данные (домен tamirov.ru):

httр://help.sweb.ru/entry/2594/ (эта ссылка реально вела на фишинговую страницу по адресу httр://polaroidart.net/Blues_Workshops/Media/data/index.php?domain=tamirov.ru)

--

С уважением,

информационный отдел

хостинг-провайдер SpaceWeb

в С.-Петербурге 7 (812) 334-1222

в Москве 7 (495) 663-1612

client @sweb.ru | httр://www.sweb.ru

И вот как выглядела страница, на которую вела эта ссылка:
Пример фишингового сайта

А вот как выглядит страница на реальном сайте провайдера sweb разница только в адресной строке браузера (выделена красным) в первом случае вы находитесь на сайте polaroidart.net, а во втором — на сайте sweb.ru:
Пример не фишингового сайта


Кстати, здесь сразу бросается в глаза, что адрес фишинговый. Но злоумышленники могли бы создать фишинговую страницу на каком-нибудь поддомене какого-то внушающего доверие домена или просто зарегистрировать домен, похожий на sweb.ru например support-sweb.ru.
В общем, суть здесь только одна: не переходить по ссылкам из таких писем или с других сайтов.
Если вы хотите действительно зайти в свой аккаунт, делайте это как делали раньше: вбивая адрес в адресной строке браузера вручную или копируя, где он у вас там хранится.
alex
Администратор
 
Сообщения: 58
Зарегистрирован: 17 апр 2010, 00:45

Re: Причины и последствия взлома

Александр » 19 окт 2018, 18:49

Никогда! Не используйте один пароль для доступа к разным сайтам!


Если вы везде будете регистрироваться с одним паролем, то наверняка какие-то ресурсы умышленно или по-глупости хранят пароли пользователей в своих базах в чистом виде (не зашифрованные). Тогда рано или поздно эта база попадает в руки хакеров и они начинают пробивать ваш Email, Login и прочие контакты через поисковики на предмет того, что этот пароль подойдёт и там!
Да, вы можете использовать один пароль для регистрации на «мусорных сайтах» – т. е. на тех, где вам аккаунт совсем не дорог и нужен для формальности. Но это тоже опасно: а вдруг какой-то аккаунт впоследствии станет вам важен? А пароль поменять уже лень/забыли..
Лучше придумайте для себя правило создания пароля на базе имени такого сайта, например, перемешав буквы и внеся свои буквы/цифры, чтобы видя такой пароль было трудно догадаться, как он создавался.

Иначе, если регистрироваться везде с одним паролем, будете получать такие письма:
Hello!

My nickname in darknet is vance94.
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

So, your password from (тут будет ваш реальный email) is (тут будет какой-то знакомый вам пароль, в худшем случае именно от этой почты).

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $804 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!


Перевод этого же письма:
Здравствуйте!

Мой ник в darknet - vance94.
Я взломал этот почтовый ящик более шести месяцев назад,
через него я заразил вашу операционную систему вирусом (трояном), созданным мной, и долгое время наблюдал за вами.

Итак, ваш пароль от (тут будет ваш реальный адрес электронной почты) - это (тут будет какой-то знакомый вам пароль, в худшем случае именно от этой почты).

Даже если вы изменили пароль после этого - это не имеет значения, мой вирус перехватил все данные кэширования на вашем компьютере
и автоматически сохранить доступ для меня.

У меня есть доступ ко всем вашим учетным записям, социальным сетям, электронной почте, истории просмотров.
Соответственно, у меня есть данные всех ваших контактов, файлов с вашего компьютера, фотографий и видео.

Меня поразили те самые интимные сайты, которые вы иногда посещаете.
Говорю вам, у вас очень дикое воображение!

Во время вашего времяпрепровождения и развлечений, я сделал снимок экрана через камеру вашего устройства, синхронизируюсь с тем, что вы смотрите.
Боже мой! Вы так смешны и взволнованы!

Я думаю, что вы не хотите, чтобы все ваши контакты получили эти файлы, верно?
Если вы придерживаетесь того же мнения, то я думаю, что 804 доллара - довольно справедливая цена, чтобы уничтожить грязь, которую я создал.

Отправьте вышеуказанную сумму на мой кошелек BTC (биткойн): 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
Как только полученная сумма будет получена, я гарантирую, что данные будут удалены, мне это не нужно.

В противном случае эти файлы и история посещений будут получать все ваши контакты с вашего устройства.
Кроме того, я отправлю всем вашим контактам доступ к вашей электронной почте и журналам доступа, я их сохранил!

С момента прочтения этого письма у вас есть 48 часов!
После того, как вы прочтете это сообщение, я получаю автоматическое уведомление о том, что вы видели письмо.

Надеюсь, я научил вас хорошему уроку.
Не будьте настолько беззаботными, пожалуйста, посетите только проверенные ресурсы и не вводите свои пароли нигде!
Удачи!
Александр
 
Сообщения: 261
Зарегистрирован: 20 мар 2014, 17:05

Re: Причины и последствия взлома

Vlad » 20 окт 2018, 20:47

Сейчас эта же тема на серче обсуждается.
Это какая-то база взломанных сайтов старая достаточно гуляет (продается). Паренек пишет, что сегодня получил два подобных письма на два ящика "заглушки" (по факту не существующих).
Использую яндекс почту для домена.
Сделал так чтобы письма отправленные на все не существующие ящики типа любое_слово@my_domen.ru сыпались в один основной ящик.

Самое интересное вот в чем.
Ящики russo@******.ru и rus@*****.ru я действительно использовал. Хакер даже узнал пароли. Но пароли к ящикам подойти ни как не могут потому что по факту их не существует этих ящиков, письма сыпались в другой (основной).

Использовал я эти ящики для мультиаккаунтов на авито (5 лет назад в августе 2013 года). То есть сделал эту схему что бы каждый раз не мучаться и не регистрировать к каждому акку отдельную почту. а просто указать любую и получить ссылку на активацию учетной записи.
пароли совпадают с теми которые я указывал на Авито.

Больше ни в каких сервисах эти два адреса не использовались.


Ещё вымогатель ведь может маскироваться по англоговорящего, на самом деле он может быть откуда угодно.
Vlad
 
Сообщения: 9
Зарегистрирован: 21 фев 2015, 08:56

Re: Причины и последствия взлома

Александр » 21 окт 2018, 00:46

Я провёл небольшое расследование.
Подобные письма начали получать пользователи с середины лета 2018. В основном в англоязычном сегменте интернета информация про это, но возможно, в России просто получают, не понимают, что там написано :D и удаляют, поэтому в русскоязычном сегменте жалоб пока относительно мало.

Но самое важное, что я извлёк из исследования:


Помимо банального вымогательства денег пугающим письмом, хакеры, похоже, решили раскрутить атаку по всем направлениям!
Они рассчитывают на то, что многие не разбираются, что к чему, не понимают, что получение такого письма вовсе не означает, что их компьютер взломан, а многие даже не знают, наверное, что представляет собой Bitcoin-кошелёк.
Хакеры создали сеть сайтов, на которых предлагают скачать прорамму-чистильщик, которая удалит "вирус" типа 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY !!!
Т. е. люди начинают гуглить по номерам кошельков вымогателей из письма "1FHPbKHcSx9CaXJzDpLoXG733ipQ77UNx9", "1D1DZAac5chXcvULdRAk8nbxB5HWWbffwc", "19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB" и т. п. (кол-во Биткоин-кошельков вроде ограничено), псевдонимам этих хакеров типа "rockwell79", "vance94", "harold18", "erwin14" и т. п. — их бесконечно много. И попадают на эти сайты, где им предлагают в качестве средства спасения скачать и установить «прорамму-чистильщик». Там целые инструкции, как перед установкой их программы удалить/отключить антивирус на компьютере, чтобы он не препятствовал установке!
Вот на скорую руку с пары таких сайтов собрал номера Bitcoin-кошельков, которые там обзываются "вирусом", который можно удалить с компьютера, скачав и установив их программу:
  • 1nxnt72qfmhpzdffueqrycypeuzyr6lmgh
  • 1FHPbKHcSx9CaXJzDpLoXG733ipQ77UNx9
  • 1D1DZAac5chXcvULdRAk8nbxB5HWWbffwc
  • 19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
  • 1g93wr2ldzd2euj92epbmgzz2zpydrwu4g
  • 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq
  • 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
У кого есть время и желание, можете ещё помониторить подобные ресурсы и составить базу таких кошельков.
Стоит ли говорить, что установив их «программу-чистильшик», вы сами себе вирус и установите!

Ещё разновидность подобных писем — это когда не пароль в письме в качестве доказательства взлома приводят, а заголовок From (От), который, как известно, подделать не проблема.
Последний раз редактировалось Александр 21 окт 2018, 02:42, всего редактировалось 1 раз.
Александр
 
Сообщения: 261
Зарегистрирован: 20 мар 2014, 17:05

Scam email: My nickname in darknet ..., I hacked this mailbox

Александр » 21 окт 2018, 02:22

Перевод поста выше.
Due to importance of the theme in the above post «Scam email: "My nickname in darknet ..., I hacked this mailbox ..."», i decided translate one into English.
I apologize for my not perfect english, I'm in a bit of a hurry ))
So..
From the middle of summer 2018 there is massive email extortion scam attack.
Many of you could receive a letter, in which some hacker claimed:
I hacked this mailbox more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.
So, your password from (here will be your real email) is (here will be some familiar password to you, at worst - from this email).
Etc...
Send the above amount on my BTC wallet (bitcoin): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Etc...

In a nutshell


How did they get your password?
Your password has been leaked through a data breach in some website in last 1–10 years.
Never use same password for different sites!
No password in the letter, but the letter "From" head is my email!
The letter is not sent from your mailbox (look in «Sent» folder — 99.9999 % there is no one)! Because it's not a problem to fake "From" head!

And be warned


I did a little investigation
In addition to banal extortion of money with a scary letter, the hackers seem to have decided to head the attacks in all directions!
They rely on the fact that many people don’t understand that they are been cheated (that receiving such a letter doesn’t mean that their computer is hacked), and many don’t even know what the Bitcoin wallet is.
Hackers have created a network of sites on which they offer to download a «Removal tool» that will remove the "virus" of the type 1EZS92K4…PNF5idPE62e9XY !!!
So victim begin googling bitcoin wallets from the letters: "1FHPbKHcSx9CaXJzDpLoXG733ipQ77UNx9", "1D1DZAac5chXcvULdRAk8nbxB5HWWbffwc", "19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB" and hackers' nicknames: "rockwell79", "vance94", "harold18", "erwin14" etc... And get on these sites, where they are offered as a means of salvation to download and install a “Removal tool”. There are whole instructions on how to remove/disable antivirus on your computer before installing their tool (program) so that it does not interfere with the installation!
Here, hastily, with a couple of such sites I collected the numbers of Bitcoin wallets, which call out there a “virus” that can be removed from the computer by downloading and installing their “Removal tool”:
  • 1nxnt72qfmhpzdffueqrycypeuzyr6lmgh
  • 1FHPbKHcSx9CaXJzDpLoXG733ipQ77UNx9
  • 1D1DZAac5chXcvULdRAk8nbxB5HWWbffwc
  • 19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
  • 1g93wr2ldzd2euj92epbmgzz2zpydrwu4g
  • 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq
  • 1EZS92K4xJbymDLwG4F7PNF5idPE62e9XY
Needless to say, having installed their “Removal tool”, you install the virus yourself!
Александр
 
Сообщения: 261
Зарегистрирован: 20 мар 2014, 17:05

Re: Причины и последствия взлома

Pasha programmist » 22 окт 2018, 14:13

Помимо банального вымогательства денег пугающим письмом, хакеры, похоже, решили раскрутить атаку по всем направлениям!

Ещё один вектор атаки — если кто-то поведётся и отправит письмо хакеру, мол докажи, что у тебя есть снимки с моей камеры, то вероятно в ответ ему пришлют: смотри, и прикрепят файл, скажут что самораспаковывающийся архив, например. Или файл Pdf, Word, эксплуатирующий zero-day (уязвимость нулевого дня). Это и будет вирус, который начнет работать, как только пользователь попробует открыть этот файл.
Pasha programmist
 
Сообщения: 10
Зарегистрирован: 30 апр 2015, 22:52

Re: Причины и последствия взлома

English student » 23 окт 2018, 00:26

И мне наконец-то "письмо счастья" прилетело.
Заглавие письма такое
(xxxxxxxxx — это я затер так реальные данные)

password (xxxxxx) for ххххххх@yandex.ru is compromised


I'm a hacker who cracked your email and device a few months ago.
You entered a password on one of the sites you visited, and I intercepted it.
This is your password from ххххххх@yandex.ru on moment of hack: xxxxxx

Of course you can will change it, or already changed it.
But it doesn't matter, my malware updated it every time.

Do not try to contact me or find me, it is impossible, since I sent you an email from your account.

Through your email, I uploaded malicious code to your Operation System.
I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources.
Also I installed a Trojan on your device and long tome spying for you.

You are not my only victim, I usually lock computers and ask for a ransom.
But I was struck by the sites of intimate content that you often visit.

I am in shock of your fantasies! I've never seen anything like this!

So, when you had fun on piquant sites (you know what I mean!)
I made screenshot with using my program from your camera of yours device.
After that, I combined them to the content of the currently viewed site.

There will be laughter when I send these photos to your contacts!
BUT I'm sure you don't want it.

Therefore, I expect payment from you for my silence.
I think $820 is an acceptable price for it!

Pay with Bitcoin.
My BTC wallet: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj

If you do not know how to do this - enter into Google "how to transfer money to a bitcoin wallet". It is not difficult.
After receiving the specified amount, all your data will be immediately destroyed automatically. My virus will also remove itself from your operating system.

My Trojan have auto alert, after this email is read, I will be know it!

I give you 2 days (48 hours) to make a payment.
If this does not happen - all your contacts will get crazy shots from your dark secret life!
And so that you do not obstruct, your device will be blocked (also after 48 hours)

Do not be silly!
Police or friends won't help you for sure ...

p.s. I can give you advice for the future. Do not enter your passwords on unsafe sites.

I hope for your prudence.
Farewell.


Да, действительно, раньше частенько пользовал данный пароль для регистрация на малозначимых сайтах. Мозгов не использовать такой же пароль для важных сайтов и почты, слава богу хватило ))
Пополняйте список Bitcoin-кошельков: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj
Кстати, отправителем письма тоже как бы меня указали ))
И интересно, здесь зачем-то открыто пишут, где взяли мой пароль "You entered a password on one of the sites you visited, and I intercepted it."
Буду еще более осмотрителен теперь ))
English student
 
Сообщения: 2
Зарегистрирован: 24 авг 2018, 11:21


Вернуться в Безопасность