bj.hydroponicsbc.com
Conseils utiles

Piratage d'un site Web: conseils de sécurité simples

Pin
Send
Share
Send
Send


Nous avons écrit à plusieurs reprises que le nombre de sites soumis à des attaques anonymes (non ciblées) est plusieurs fois supérieur au nombre de victimes d'attaques ciblées. Selon nos statistiques, seul un quatrième site est délibérément attaqué par des pirates. Les sites restants qui nous sont proposés pour traitement et protection sont le résultat d'un piratage massif et d'une infection.

Souffrir à la suite d’une attaque non ciblée est très simple: il suffit de ne pas remarquer ou d’ignorer la vulnérabilité critique du CMS, des modèles ou des plugins de votre site. Toute lacune ouverte est une excellente occasion de vous retrouver parmi votre propre type de "camarades de malheur" et de vous établir fermement dans la sélection des candidats pour piratage par les pirates. Et dans le cas d'une attaque «réussie», préparez-vous au fait que votre site sera utilisé activement pour spammer, infecter les utilisateurs, héberger des pages d'hameçonnage, attaquer d'autres sites ou gagner de l'argent en publicité.

Trouver des sites (des milliers d'entre eux) avec des paramètres faibles similaires n'est pas difficile pour un pirate informatique. Les informations sur les sites vulnérables sont toujours accessibles via Google Hacking Database (GHD) - une base de données de "dorks" - requêtes de recherche dans le méta-langage de Google, vous permettant ainsi de rechercher des sites vulnérables à certaines attaques par certaines propriétés similaires. Par exemple, les pirates peuvent trouver tous les sites indexés dans un moteur de recherche avec un plug-in vulnérable installé ou des sites qui révèlent le contenu des répertoires, c'est-à-dire vous permet de visualiser et de télécharger des fichiers depuis ces fichiers (avec mots de passe, paramètres, etc.)

Si votre site a un lien faible et que le projet Web est vulnérable à un certain type d'attaque, vous serez tôt ou tard piraté. Cela doit être compris par tous les webmasters et propriétaires de sites Web.

Ces derniers, en règle générale, ne croient pas que la recherche et le piratage d’un site vulnérable puissent être effectués en quelques minutes à peine, sans outils de piratage spécialisés. Par conséquent, à titre d’illustration, nous allons donner un exemple simple illustrant comment, en utilisant les capacités de Google, les attaquants détectent et piratent des projets Web dont les propriétaires n’ont pas pris en charge leur protection à temps ou ont commis des erreurs lors de la configuration de l’hébergement.

À titre d'exemple, considérons le «dork» qui est apparu dans la base de données Google Hacking le 1 er septembre 2015. Il vous permet de rechercher des sites avec des répertoires ouverts (dans ces répertoires, vous pouvez non seulement voir la liste des fichiers de service, mais également voir leur contenu, par exemple, rechercher des mots de passe).

Nous envoyons cette demande au moteur de recherche Google. Une liste des sites contenant des listes de répertoires ouverts est affichée. Ce sont des victimes potentielles d'un pirate informatique. Nous sélectionnons au hasard parmi les sites trouvés, par exemple le dernier de la liste.

Nous cliquons sur le lien - une liste de répertoires s'ouvre, vous pouvez les "parcourir" comme dans l'Explorateur. En surfant, vous remarquerez le fichier serverconfig.xml qui, dans le domaine public, stocke les noms d'utilisateur et les mots de passe de la base de données. Étant donné que les comptes coïncident parfois avec FTP ou SSH, le pirate informatique peut ainsi obtenir un accès non autorisé non seulement à la base de données, mais également à l’ensemble du serveur.

L'ensemble du processus décrit ci-dessus a pris environ deux minutes, mais pour un pirate informatique dans des «conditions de combat» utilisant des solutions automatisées, cela prend encore moins de temps et la quantité de ressources compromises va généralement à des milliers de personnes.

C'est dommage de faire partie de ceux qui se sont transformés en proie facile entre les mains d'un pirate informatique, bien que cette situation soit facile à éviter. Pensez à protéger vos projets Web à l'avance. Si votre site sera légèrement plus sécurisé que la moyenne (avec CMS prêt à l'emploi et paramètres par défaut), le problème du piratage informatique inapproprié vous échappera.

Comment un site est-il piraté?


Les moyens les plus courants d'accéder au site:

  • recherche de mots de passe simples pour accéder au panneau d'administration / ftp ("nom de domaine", 12345, admin, test, etc.) - un grand nombre de piratages, curieusement, se produit comme cela,
  • l'utilisation de vulnérabilités de script (CMS et modules).

Laissez-moi illustrer avec l'exemple de Joomla + CKForms. Pour ne pas être tenté, je ne publie pas de lien vers la description, il est trop facile de l'utilisermais aussi facile à trouver. Les vulnérabilités du module CKForms vous permettent d’effectuer une injection SQL ou une inclusion PHP et, au moyen de manipulations simples, d’accéder au panneau d’administration. La vulnérabilité est exploitée via une simple requête dans la barre d'adresse du navigateur.

Il s’agit littéralement de cinq minutes et ne nécessite pas de connaissances sérieuses de la part du cracker. Les autres étapes dépendent de l’imagination de l’auteur en matière de piratage informatique - allant d’un désagrément déplaisant à la destruction du site en passant par le contrôle d’autres sites et du serveur.

J'ai agi, mais comment le site a-t-il été piraté?

Comment un pirate informatique peut-il accéder à d'autres sites sur l'hébergement partagé si toutes les mesures connues ont été prises par le propriétaire du site? En effet, presque partout, l'accès aux sites de sites est différencié par les informations de connexion des utilisateurs, ce qui, semble-t-il, devrait protéger le site des voisins.

Nous nous limitons à un cas. Le lancement de scripts sous le module Apache, par exemple mod_perl, constitue un grave danger. Dans ce cas, le script est exécuté sous l'utilisateur Apache, qui a accès aux données des utilisateurs du site.
Comme décrit ci-dessus, un pirate informatique accède au site d'un site. Ensuite, le script de la console, par exemple cgi-telnet, est placé. Et si les droits sur les fichiers de configuration des sites d’autres utilisateurs sont définis sur 644 (voire moins sur 777!), Il est facile de lire le contenu des fichiers avec les mots de passe de la console. Mais! Seulement si le script Perl est exécuté sous l'utilisateur Apache, c'est-à-dire sous mod_perl (une situation similaire avec mod_php). Lorsque vous travaillez, par exemple, sous FastCGI, cette méthode ne donnera pas accès aux fichiers. Vous pouvez vous en protéger en installant 600 droits sur des fichiers critiques et en utilisant FastCGI.

Comment puis-je accéder à la gestion du serveur lui-même?

Laissez-moi vous donner un exemple courant pour les systèmes Linux. De même, vous devez d’abord accéder au site d’un site.
Il existe plusieurs vulnérabilités dans le noyau via le pointeur null auquel sont exposées des dizaines de systèmes Linux, par exemple: Vulnérabilité de surdéférence du pointeur du noyau Linux 'sock_sendpage ()'. Les exploits y sont également décrits. (attention, ça marche!).
Malgré le fait que ce problème soit connu depuis longtemps, il existe de nombreux serveurs non corrigés, y compris en Russie. Le moyen le plus simple de protéger est décrit, par exemple, ici.
Cela ne garantit pas une protection à 100%, par exemple, lors de l'installation de wine, le paramètre mmap_min_addr peut être réinitialisé à 0. Il est fortement recommandé d'utiliser les correctifs pouvant être utilisés sur la page ci-dessus ou dans des sources officielles.
La discussion sur cette question a également été menée sur Habr.
La responsabilité de la protection contre les données d’exploitation incombe à l’administrateur du serveur.

Procédure de réparation

"Traitement" de récupération de sauvegarde ne suffit pas, une fois piraté le site, ils vous reviendront. Que doit faire le propriétaire du site?

  • Essayez de déterminer immédiatement quels fichiers ont été remplacés. Cela peut être soit index.php, soit des fichiers modèles, des images, etc.,
  • Prenez des captures d'écran des conséquences,
  • Assurez-vous d’aviser le fournisseur d’hébergement et de coordonner vos prochaines étapes,
  • Enregistrez les fichiers du site dans un répertoire séparé. Le temps de modification ultérieure des fichiers vous aidera à déterminer l'attaquant,
  • Restaurez le site à partir de la sauvegarde ou contactez l’organisateur à cet effet,
  • Téléchargez les journaux d'erreurs et accédez au site ou demandez à l'hébergeur de les fournir, il est préférable de les copier dans un répertoire séparé afin qu'ils ne disparaissent pas lors de la rotation des journaux,
  • L'analyse de l'heure de modification du fichier et la comparaison avec les entrées du journal vous permettent de déterminer la nature de la vulnérabilité utilisée et l'adresse IP de l'attaquant,
  • Mettre à jour les scripts ou (si cela n’est pas possible) refuser d’utiliser des modules vulnérables,
  • Assurez-vous de changer tous les mots de passe d'accès.

Crime et Châtiment

Punir un pirate informatique, en particulier s’il agit sous la juridiction d’un autre État et prend toutes les mesures nécessaires pour qu’il ne puisse pas être suivi - c’est difficile, voire presque impossible. Mais il y a des exemples réussis.

La Division K de la ville de N a ouvert une procédure pénale en vertu de l'article 272 du Code pénal de la Fédération de Russie «Accès illégal à des informations protégées par ordinateur protégées par la loi. »En ce qui concerne un citoyen de la Fédération de Russie à la demande d'une personne morale (propriétaire du site). En février 2010, un site a été piraté dans la production de l'un des studios de design russes (un "script") par le biais de la vulnérabilité trouvée dans le code du site par un attaquant. Le hack avait pour but de placer des bannières publicitaires. L'agresseur a présenté ses excuses écrites au propriétaire du site, lui demandant un règlement avant le procès. En plus de l'article pénal, il est également menacé d'expulsion de l'université. Pour ainsi dire - dans l'intérêt de l'enquête, les détails n'ont pas été divulgués.

Si le dommage est important et que l'adresse IP est «locale» (même dynamique et appartient au fournisseur d'accès Internet), et non au «proxy chinois», vous pouvez vous adresser aux autorités répressives, et plus particulièrement au département K., avec la déclaration et les documents disponibles sur le lieu de résidence. ils demanderont une lettre officielle du fournisseur d'hébergement avec des magazines et des explications sur la situation, du fournisseur Internet - à qui l'adresse IP a été attribuée. Les entreprises sont tenues de fournir ces informations à la demande des forces de l'ordre.
La communication avec les organismes chargés de l'application de la loi apportera beaucoup au pirate pasheures agréables, surtout s’il ya des traces d’activités illégales sur l’ordinateur, sans oublier possible poursuite.

Brèves conclusions

La sécurité de votre site n’est pas seulement la tâche du développeur et de l’hébergeur, qui est obligé de fournir une sécurité maximale pour les serveurs, mais également l’administrateur du site.
Trivial conseil au propriétaire du site:

  • ne pas stocker les identifiants d'accès n'importe où
  • utiliser des mots de passe longs et complexes et des identifiants non standard, effectuer périodiquement leurs modifications,
  • scripts de mise à jour en temps opportun avec la publication des mises à jour,
  • lors de la sélection d'un composant, recherchez les vulnérabilités ouvertes,
  • surveiller les autorisations sur les fichiers de script et particulièrement les fichiers de configuration critiques,
  • au moyen d'un serveur Web (par exemple, .htaccess et .ftpaccess) pour permettre l'accès uniquement à partir de votre adresse IP,
  • oui, il est nécessaire de préserver les droits d’auteur des auteurs de scripts, mais selon eux, ainsi que des fragments de la barre d’adresses des modules, les attaquants recherchent des sites vulnérables - modifiez au moins les adresses standard pour l’accès aux scripts,
  • périodiquement, y compris les services externes, vérifier la disponibilité de sections spécifiques du site,
  • avoir des sites de sauvegarde locaux.

Après avoir évalué les chances de trouver un attaquant, vous pouvez et devriez contacter les forces de l’ordre.

PS: l'article ne prétend pas être complet et ne se concentre pas sur un gourou de l'informatique. Bien entendu, d'autres moyens peuvent être utilisés pour le piratage ciblé d'un serveur ou d'un site spécifique. Je serai heureux de compléter par les commentaires de la habrasociety, y compris d'autres exemples.
Et brièvement sur les actions de piratage du site.

Pin
Send
Share
Send
Send

Des Articles Intéressants