Взлом сайтов, Вирусные угрозы 2013, Информационная безопасность, Компьютерная безопасность, Полезно знать

Атаки хакеров в США

В июне 2011 года группа хакеров “Лулц секьюрити”, специализирующаяся на атаках слабо защищенных интернет- ресурсов, взломала сайт сената США. В качестве подтверждения своих действий злоумышленники опубликовали в Интернете один из сенатских документов, предназначенных сугубо для служебного пользования.

Атаки хакеров в США
Атаки хакеров в США

19 сентября 2012 года в ответ на выход в США фильма “Невинность мусульман” началась серия беспрецедентных хакерских атак на интернет-сайты крупнейших американских финансовых учреждений, включая “Бэнк оф Америка”. Ответственность за них взяла исламистская группировка “Изз ад-Дин аль-Кассам кибервоины”.
Continue reading “Атаки хакеров в США”

Антивирусы, Взлом сайтов, Вредоносные программы, Информационная безопасность, Компьютерная безопасность

Linux.Sshdkit атакует Linux-серверы

 

В связи с участившимися случаями взлома веб-серверов, работающих под управлением операционной системы Linux, компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — провела собственное расследование данных инцидентов. Специалисты выяснили, что одним из способов кражи паролей на серверах с ОС Linux стало использование троянца, добавленного в базы Dr.Web под именем Linux.Sshdkit.

Вредоносная программа Linux.Sshdkit представляет собой динамическую библиотеку, при этом существуют ее разновидности как для 32-разрядных, так и для 64-разрядных версий дистрибутивов Linux. Механизм распространения троянца пока еще до конца не изучен, однако имеются основания полагать, что его установка на атакуемые серверы осуществляется с использованием критической уязвимости. Последняя известная специалистам «Доктор Веб» версия данной вредоносной программы имеет номер 1.2.1, а одна из наиболее ранних — 1.0.3 — распространяется на протяжении довольно-таки длительного времени.

После успешной установки в систему троянец встраивается в процесс sshd, перехватывая функции аутентификации данного процесса. После установки сессии и успешного ввода пользователем логина и пароля они отправляются на принадлежащий злоумышленникам удаленный сервер посредством протокола UDP. IP-адрес управляющего центра «зашит» в теле троянской программы, однако адрес командного сервера каждые два дня генерируется заново. Для этого Linux.Sshdkit применяет весьма своеобразный алгоритм выбора имени командного сервера.

Linux.Sshdkit генерирует по специальному алгоритму два DNS-имени, и если оба они ссылаются на один и тот же IP-адрес, то этот адрес преобразуется в другой IP, на который троянец и передает похищенную информацию. Используемый данной вредоносной программой алгоритм генерации адреса командного сервера показан на иллюстрации ниже.

Специалистам компании «Доктор Веб» удалось перехватить один из управляющих серверов Linux.Sshdkit с использованием широко известного метода sinkhole — таким образом было получено практическое подтверждение того, что троянец передает на удаленные узлы похищенные с атакованных серверов логины и пароли.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Администраторам серверов, работающих под управлением ОС Linux, специалисты «Доктор Веб» рекомендуют проверить операционную систему. Одним из признаков заражения может служить наличие библиотеки /lib/libkeyutils* размером от 20 до 35 КБ.
Источник http://news.drweb.com/?i=3332&c=23&lng=ru&p=0

Взлом сайтов, Вредоносные программы

Ответ в поддержку Яндекса.Заражение сайтов паразитными скриптами, что можно и нужно предпринять!

Заражение сайтов паразитными скриптами, что можно и нужно предпринять!

В отношении сайтов http://svadbavideo.su, http://blog.svadbavideo.su, http://drcomp.su, http://blog.drcomp.su and http://wordpress.drcomp.su были произведены следующие действия:

1.По логам на сервере определены подозрительные ip-адреса и отсечены в файле .htaccess
2.В файле .ftpaccess запрещены все доступы по ftp кроме моего (сделано для всех важных папок)
3.На самом сайте в панели управления сменен пароль доступа, включен доступ только по моему ай-пи-адресу и убраны все дополнительные доступы по фтп (заранее были включены логи доступа и ошибок для всех сайтов и блогов, тк включаются они, как выяснилось только по предварительному запросу)
4.На самих сайтах были проверены вручную все файлы c возможным потенциальным заражением (index.php, index.html, index.hml в сайтах на wordpress еще и futer.php b и тд…)
5.Убраны все ненужные плагины кроме основных и шаблоны (папка templates)
6.Оставшиеся шаблоны обновлены до последних версий и проверены вручную на наличие паразитного кода
7.Дополнительно в сайтах на движке WordPress установлены последние обновления движка и защитные плагины, помогающие обнаружить зловредные коды и потенциальных взломщиков:
BulletProof Security
TAC (Theme Authenticity Checker) и тд
Дополнительно сайты были помещены в систему защиты сайтов SiteGuard.ru с cообщением найденного паразитного кода.
Все работы на всякий случай проводились с компьютера на Linux (Mandriva) для исключения возможности заражения с компьютера пользователя.Остальные доступы на всякий случай были проверены несколькими антивирусами, вирусов на них обнаружено не было…
После этого паразитного кода не наблюдалось с 14.00 22 февраля и по настоящее время…Ранее он появлялся примерно раз в 2-3 часа после удаления…Если интересно логи доступа и ошибок могу выслать вашим сотрудникам для борьбы с этим явлением…
Расшифрованный код я высылал в предыдущих сообщениях…если интересно могу выслать его незашифрованным.
Еще раз интересуюсь, как можно привлечь к ответственности того кто этим занимается если нам удастся доказать с какого ip-адреса были сделаны эти изменения…Так как помимо времени и головной боли сами сайты много потеряли и в рейтинге и в посещениях и престижности…
Если таких нелюдей не наказывать они будут продолжать заниматься своим грязным делом и все по кругу повториться…
Давайте работать и бороться с этим совместными силами!!!
С уважением, Виктор!

Антивирусы, Взлом сайтов, Вопросы и ответы, Вредоносные программы, Компьютерная безопасность, Полезно знать, Полезные советы

Универсальная JAVA или как заражают пользователей MAC OS

Виктор Чебышев
Эксперт «Лаборатории Касперского»
опубликовано 20 фев 2012

Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко. Тем интереснее был обнаруженный нами Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера.


Часть кода Trojan-Downloader.Java.OpenConnection.fa, определяющего ОС компьютера жертвы

Trojan-Downloader.Java.OpenConnection.fa был обнаружен «Лабораторией Касперского» 15 февраля. Как уже было сказано выше, троянец определяет ОС на зараженном компьютере.

Если на компьютере стоит Windows, происходит загрузка Trojan-Dropper.Win32.Agent.gjtw, который несет в себе Trojan-Downloader.Win32.Agent.ujhb.

Во всех случаях, отличных от Windows, в систему загружается PYTHON скрипт. Данный скрипт «Лаборатория Касперского» детектирует как Trojan-Dropper.Python.Flasfa.a.

Этот дроппер несет два других скрипта, которые записывает в систему:


Часть скрипта №1


Часть скрипта №2


Запись обоих скриптов на MAC OS и запуск скрипта №2

Как видно на последнем скриншоте, работа скрипта-дроппера выполняется только на одной платформе — MAC OS. В случае LINUX, скрипт завершает свою работу.

Помимо записи объектов в систему, дроппер прописывает скрипт №1 в автозапуск в plist-файл. При этом записывается файл с содержимым:


Содержимое файла автозапуска

После этого дроппер запускает скрипт №2 (он записывается в систему под именем update.py).

Основной скрипт в данной цепочке — скрипт № 2 — является HTTP-бэкдором и детектируется «Лабораторией Касперского» как Backdoor.Python.Aharm.a. Aharm.a с определенной частотой посылает запросы серверу злоумышленников и ждет команды от своего хозяина. Как только команда поступает, он выполняет ее на зараженной машине.


Часть кода зловреда, отвечающего за выполнение команд на зараженной MAC OS

Исходная версия бэкдора распространяется как приложение с отрытым исходным кодом, и его может скачать и переделать под себя кто угодно:


Часть исходного кода вредоносной программы Backdoor.Python.Aharm.a на Google Code

Каким же образом попадает на компьютер Java-даунлоадер? Судя по всему, для заражения используется Drive-by атака.

Любопытно, что после срабатывания Java-эксплойта и незаметной загрузки на компьютер Trojan-Downloader.Java.OpenConnection.fa, параллельно с загрузкой дроппера даунлоадер открывает страницу с видеороликом:


Часть кода Trojan-Downloader.Java.OpenConnection.fa, отвечающая за загрузку страницы с видеороликом


Страница с видеороликом, открывающаяся по время загрузки Trojan-Dropper.Python.Flasfa.a

Количество просмотров этого видеоролика — 2501 —дает нам представление о количестве пользователей, которые могли пострадать в ходе этой атаки.

Источник http://www.securelist.com/ru/blog/41035/Universalnaya_JAVA_ili_kak_zarazhayut_polzovateley_MAC_OS

Антивирусы, Взлом сайтов, Вредоносные программы, Информационная безопасность, Компьютерная безопасность

Пути решения проблем с вредоносным кодом на сайте

Заражение сайта вирусом для владельца сайта всегда неприятным сюрпризом и серьезной проблемой. Поисковик, найдя угрозу, выводит предупреждение для посетителей, трафик падает, работа сайта фактически останавливается.

Причины заражения
Основные причины появления вредоносного кода на сайте обычно связаны с нарушениями довольно простых правил безопасности по вине владельца сайта или администратора. Рассмотрим как в типовом случае происходит заражение сайта. Обычно вирусная программа попадает каким-то путем, а их много, на жесткий диск локальной машины, с которой осуществляется FTP-доступ на сайт. Эта программа крадет сохраненные пароли доступа, с их помощью проникает на сайт с правами администратора и меняет содержимое страниц, встраивая в них вредоносный код. Пользователи, посетившие зараженный сайт, рискуют заразить свою машину этим вирусом, далее вредоносная программа распространяется таким же образом.

Компьютер, с которого осуществляется администрирование сайта, должен быть тщательно защищен – антивирусное ПО существенно снижает вероятность возникновения таких неприятных ситуаций.

Обнаружение вредоносного кода
Сервис «Яндекс.Вебмастер» имеет функцию проверки сайта на наличие вредоносного кода, кроме этого можно включить автоматическое оповещение в случае заражения на вкладке «Безопасность». Аналогичный функционал присутствует в «Инструментах для веб-мастеров» Google в разделе «Дигностика».

Чтобы обнаружить вредоносный код самостоятельно, надо знать, как он может выглядеть, и отличать его от прочего кода сайта. Часто в случае заражения опасный код можно найти в тегах script, опознать его можно по замаскированным различными символами ссылками на незнакомые ресурсы. Также «лишний» код бывает в тегах iframe. Особое внимание надо обратить на файлы с расширением .js, именно они в большинстве случаев являются зараженными.

Где искать вредоносный код? Он может быть где угодно, но поиск надо начинать со страниц с типовыми URL, например /index.php или /index.html. Но таким образом придется потратить немало времени. Есть довольно неплохой способ поиска по последним изменениям на сайте, для чего нужно произвести сортировку файлов сайта по этому параметру. Таким способом легко отследить файлы, в которые вносились изменения без вашего участия. Очень часто вирусы маскируются под коды счетчиков посещаемости и другие подобные. Их надо проверять с особой тщательностью.

Для облегчения поиска можно применять регулярные выражения, подключаясь по протоколу SSH к серверу. Таким образом можно легко найти участки кода, которые с наибольшей вероятностью могут содержать ссылки на вредоносные программы. Еще существует несколько способов поиска, например, написание специальных скриптов, но это скорее уже инструментарий профессионалов, так как новичку довольно в этом разобраться и необходимо обладать навыками программирования.

При использовании CMS WordPress или какой-либо другой количество файлов огромно – проверять вручную нет смысла, это отнимет кучу времени и сил. В этом случае помогут специальные плагины для различных CMS. Например, для распространенного WordPress можно использовать плагин TAC (Theme Authenticity Checker).

Удаление вредоносного кода с сайта
Прежде, чем начинать лечение сайта, надо удалить вирусную программу с локального компьютера, то есть разобраться с причиной заражения. Уже потом можно начинать лечение самого сайта. Такие последовательные действия помогут избежать возможных проблем. В противном случае вредоносный код может появиться опять.

Для поиска и удаления вируса с самого компьютера можно воспользоваться антивирусной программой или утилитой, возможно потребуется несколько проверок разными средствами. Стоит лишь отметить, что необходимо регулярно обновлять антивирусное программное обеспечение и использовать утилиты последних версий.

Затем необходимо изменить все пароли для FTP-доступа на сайт и панель администратора и не сохранять их, а вводить вручную при каждом входе. Это существенно снизит риск возникновения проблем с вредоносными программами.

После того, как локальная машина вылечена, и код злоумышленников найден, можно приступать к удалению вредоносных строк. При этом необходимо четко знать, что можно удалять, а что нельзя, чтобы не нарушить работу сайта. Перед проведением этих операций желательно будет сделать бэкап сайта для возвращения к рабочей версии в случае неудачного лечения.

Стоит отметить, что злоумышленники не стоят на месте и постоянно совершенствуют вирусы и способы заражения: в частности, они более тщательно маскируют вредоносный код. Поэтому ручные способы поиска могут не сработать – пользователь с небольшим опытом имеет шанс просто не заметить его наличие. В этом случае использование последних версий специальных плагинов и утилит будет более надежным.

Решение проблем с поисковиками
Как относятся поисковики к зараженным сайтам с точки зрения ранжирования? Логика их действий следующая: если на сайте находится вредоносный код, то это опасно для посетителей, следовательно в результатах поиска выводится предупреждение о том, что переход на этот сайт нежелателен. Посещаемость сайта падает почти до нуля, что предсказуемо. Но многих владельцев сайтов волнует вопрос, восстановится ли она до прежнего уровня посещаемости? Если решение проблемы происходит быстро, то это почти не повлияет на продвижение: предупреждение для пользователей будет снято, а сайт не будет подвергнут пессимизации. Но если вредоносный код на сайте будет оставаться в течение длительного времени, то проблемы неизбежны. Поисковая система расценивает это следующим образом:

сайт «заброшен» владельцем;
вредоносный код специально оставлен на сайте владельцем-злоумышленником.

В этих случаях сайт будет пессимизирован, а его дальнейшее продвижение неизбежно будет связано с определенными трудностями.

Из этого следует, что решать проблемы с заражением сайта нужно как можно скорее. Это даст понять поисковикам, что владелец стал лишь жертвой злоумышленников и принимает все меры для устранения проблемы, а не способствует распространению вирусов.

Взлом сайтов, Полезно знать

Взлом «Фейсбука» и «Твиттера»

Если у вас вайфай, оторвитесь от экрана и посмотрите вокруг: кто-то из них, возможно, только что получил доступу к вашему аккаунту в «Фейсбуке», «Твиттере» и еще на десятке сайтов. Сделать такое может каждый, используя плагин к «Файерфоксу» Firesheep. На картинке неполный список сайтов, которые взламывают с его помощью.

Взлом «Фейсбука» и «Твиттера»
Взлом «Фейсбука» и «Твиттера»

Главное условие — незашифрованное вайфай-соединение. Например, дома, в кафе или аэропорту. Когда человек логинится в «Фейсбуке», сайт передет файл cookie для авторизации, и этот файл перехватывается плагином. Логин и пароль, слава богу, не раскрываются. Но злодей получает что-то вроде удаленного доступа к аккаунту, пока жертва не отключится.

В пятницу мы тестировали плагин на работе (Mac OS, версия браузера 3.6.12) — ничего не произошло. Вчера в нескольких кафе — то же самое. Но поскольку на работе вайфай охраняют злые собаки, а люди в кафе могли, ну вдруг, просто рассматривать картинки на диске, мы решили попробовать сегодня дома — фокус, увы, сработал и заставил домашних (мы предупредили) с визгом отключить «Фейсбук» и почту «Гугла».

Вот как выглядит захват и просмотр чужого аккаунта в «Фейсбуке». Слева — панель плагина, на ней кнопка захвата и список жертв: чужие фейсбук, твиттер и фликр. По клику справа открылся чей-то аккаунт в ФБ.

Взлом «Фейсбука» и «Твиттера»
Взлом «Фейсбука» и «Твиттера»

Плагин сделал случайный парень по имени Эрик Батлер (это его картинка). Сделал из лихости, чтобы показать, насколько хрупка пресловутая приватность в интернете. Мол, любой прохожий способен написать вашим друзьям и от вашего же имени гадости, пошутить в корпоративном блоге, который поручили вести, ну и много чего еще. Новость хоть и ужасная, но повода для серьезной паники нет: плагин работает не везде.

Подробности в блоге Батлера. На всякий случай установите в «Файерфоксе» другой плагин — для шифрования HTTPS-сессий (кажется, это та самая важная штука для авторизации на сайте, данные о которой как раз и перехватываются в файле cookie).

Источник http://web.rambler.ru/

Антивирусы, Взлом сайтов, Информационная безопасность, Компьютерная безопасность

Основные вопросы безопасности сайта в наше время.Этап первый-(Минимальные попытки противостоять взлому сайта)

 Взлом 4-х моих сайтов и потеря хостинга в начале этого месяца сподвигли меня на эту статью.
О хостинге разговор будет особый и отдельный.Скажу сразу только, что людям которые хотят более или менее заниматься сайтами в настоящее время и далее будет очень нелегко, помогать им в случаях даже проблем среднего уровня на почти всех хостингах вряд ли сильно кто будет, поэтому тут 2 варианта:
-садиться и изучать все самому- что нереально в большинстве случаев из-за загрузки работой (если она имеется конечно)
-нанять профессионалов-это повлечет за собой такие расходы, что отпадет желание этим заниматься сразу.

   Итак возьмем минимум для начальной подготовки к сайтостроению и продвижению своих ресурсов на бескрайних просторах Интернета.

Что нужно конечному пользователю?
1.Знать что такое домен и выкупить себе более или менее приличное доменное имя.Варианты типа blablabla.ucoz.ru или blablabla.narod.ru пока рассматривать не будем (это совсем уже для бедных…)
2.Знать хотя бы немного HTML (язык гипертекстовой разметки) -хотя бы основные коды.
3.Можно конечно ограничится страничками в HTML, но я настоятельно рекомендую выбрать CSM для сайта (менеджер контента или попросту “движок” сайта) хотя бы например wordpress на котором построен этот ресурс.
 4.Далее выбор хостинга.Вот тут первая засада!
Обычно те, кто делает сайты навязывают и хостинг, причин здесь много от банальной выгоды, до удобства работы с панелью управления, именно этого человека на именно этом хостинге.(Можно сказать привычка или некоторая форма ригидности)
 Исходя из этого выбирать хостинг прийдется тоже вам…Тут нужно очень большое терпение проявить и проконсультироваться со знакомыми которые в теме и размещают свои сайты на определенном хостинге более 2-х лет.
О том почему пару лет поясню позднее, а пока оплачиваем все расходы и вперед.
Итого примерно набежало: 

(Плата за домен-от 600-1200 в зависимости от зоны, движок будем считать бесплатный, хостинг от 1000 до 2500 примерно за год в зависимости от аппетитов и количества ресурсов,  если хотите эксклюзивный дизайн и мощный движок цены резко возрастут от 7500 примерно made in Ukraine-freelance до 50 000 рублей и более в известной московской студии веб-дизайна.)
Соответственно по-минимуму 1600 без движка и на платном хостинге
(бесплатный сыр типа Ucoz мы пока не рассматриваем) 

5.Желательно знать следующие дополнительные программы:

-Любой редактор графики типа Photoshop (для редактирования графических файлов на сайте 
-Продвинутый текстовый редактор (только не Блокнот!), который мог бы править файлы на сервере.
-И сам даунлодчик FTP для заливки файлов на сервер(Типа CutFtp Pro или FileZilla.) и их редактирования.

    Далее казалось бы все просто делай сайт-заливай на сервер-создавай базы и наполняй контентом.Не совсем это так …
Во-первых: получив письмо от хостера настоятельно советую поменять пароль по умолчанию на вход в панель управления и удалить письмо с почты, сохранив новый пароль в надежном месте (желательно вообще на выносном носителе). Почему объясню позже..

Во-вторых:Далее незамедлительно меняем пароль на вход админки сайта, а так же при возможности ваш логин вместо admin по умолчанию (например, на движке Kandidat  где по умолчанию стоит pwl-admin и login-admin) на что-нибудь свое.

   На этом первый этап безопасности мы будем считать прошли успешно.
Дальше больше..В следующих постах я расскажу, как обезопасить файлы и папки на сервере у хостера и несколько полезных советов по оптимизации самого сайта.

Антивирусы, Взлом сайтов, Вопросы и ответы, Информационная безопасность, Мнения и советы, Полезные советы, Системы CMS, Файерволы

«Официальным партнером по информационной безопасности 7-х зимних Азиатских игр 2011 года» стала компания «Доктор Веб»

20 сентября 2010 года в Казахстанском пресс-клубе состоялось подписание протокола соглашения о сотрудничестве между АО «Исполнительная дирекция Организационного комитета 7-х зимних Азиатских игр 2011 года» и компанией «Доктор Веб». Согласно достигнутым договоренностям «Официальным партнером по информационной безопасности 7-х зимних Азиатских игр 2011 года» стала компания «Доктор Веб» – российский разработчик средств информационной безопасности под маркой Dr.Web.

Сегодня ни одно спортивное мероприятие не обходится без применения новых информационных технологий. Прежде всего это касается обеспечения Игр, их сопровождения, анализа и выработки дальнейшей стратегии. Программное обеспечение компании «Доктор Веб» позволит IT-специалистам «Исполнительной дирекции Организационного комитета 7-х зимних Азиатских игр 2011 года» исключить вероятность вирусных заражений и других интернет-угроз.
Continue reading “«Официальным партнером по информационной безопасности 7-х зимних Азиатских игр 2011 года» стала компания «Доктор Веб»”