Comments 33
А самое интересное не написали — как модуль попадает на сервер?
Очевидно что раз добавляются модули apache и вносятся изменения в конфиг, то для этого нужен root-доступ, то есть путём кражи данных пользователей. Либо, как вариант, exploit для серверного софта, того же apache + повышение привилегий.
Скачать модуль ускорения apache бесплатно без регистрации и смс здесь
ключ по ssh подобрали
«Запусти апач от рута! Это модно! Это круто!»
Есть несколько простых советов, которыми, к сожалению, не все пользуются, поэтому у злоумышленников и есть возможность устанавливать вредоносные модули Apache.
Нужно очень тщательно беречь свои реквизиты для FTP- и SSH-доступа, а также доступа к системам настройки веб-серверов:
1) предоставлять root-доступ только тем, кому доверяете;
2) пароль должен быть по-настоящему сложным, его нужно регулярно менять и нельзя отправлять в открытом виде;
3) если сервер настраивается с компьютера или устройства, на котором Microsoft Windows, MacOS, Android – нужно, чтобы на нём обязательно были антивирус и firewall;
4) необходимо, чтобы соединение было зашифрованным, нужно обращать внимание на валидность сертификатов и сообщения об ошибках, связанных с ними, с осторожностью пользоваться прокси транспортного уровня.
Нужно очень тщательно беречь свои реквизиты для FTP- и SSH-доступа, а также доступа к системам настройки веб-серверов:
1) предоставлять root-доступ только тем, кому доверяете;
2) пароль должен быть по-настоящему сложным, его нужно регулярно менять и нельзя отправлять в открытом виде;
3) если сервер настраивается с компьютера или устройства, на котором Microsoft Windows, MacOS, Android – нужно, чтобы на нём обязательно были антивирус и firewall;
4) необходимо, чтобы соединение было зашифрованным, нужно обращать внимание на валидность сертификатов и сообщения об ошибках, связанных с ними, с осторожностью пользоваться прокси транспортного уровня.
И это все оказывается бесполезным в результате не обновленной Убунты с php-cgi и дырявым ядром) После чего приходит ботнет, через пару дней приходит ботовод, получает рут и делает зло.
blog.imperva.com/2014/03/threat-advisory-php-cgi-at-your-command.html
Это я к тому, что вариантов проникновения много, и Ваши советы не полные и не учитывают наиболее частые сценарии.
Далее: ваши советы можно и нужно улучшить.
1) Не представлять рут доступ. Если нужно, то только через SUDO.
2) Никакой аутентификации по паролям. Ключи.
ФТП — зло, противоречит пункту 4, только если не VPN или FTPS. И то, зачем FTP, если есть SSH?
blog.imperva.com/2014/03/threat-advisory-php-cgi-at-your-command.html
Это я к тому, что вариантов проникновения много, и Ваши советы не полные и не учитывают наиболее частые сценарии.
Далее: ваши советы можно и нужно улучшить.
1) Не представлять рут доступ. Если нужно, то только через SUDO.
2) Никакой аутентификации по паролям. Ключи.
ФТП — зло, противоречит пункту 4, только если не VPN или FTPS. И то, зачем FTP, если есть SSH?
Плюс ко всему, часто заражение начинается с эксплуатации уязвимости в скриптах какой-нибудь популярной CMS. Далее осуществляется загрузка на сервер php shell'а, а там уже как получится.
В этой связи, необходимо следить за актуальностью версий используемых CMS. Если по каким-то причинам обновить CMS до актуальной версии не представляется возможным, как показывает практика, довольно эффективной мерой является максимальное ограничение прав на запись в поддиректориях таких сайтов (хотя, это, конечно, не панацея).
В этой связи, необходимо следить за актуальностью версий используемых CMS. Если по каким-то причинам обновить CMS до актуальной версии не представляется возможным, как показывает практика, довольно эффективной мерой является максимальное ограничение прав на запись в поддиректориях таких сайтов (хотя, это, конечно, не панацея).
Более полное описание, как не допустить заражения сайта в общем случае, тоже есть, help.yandex.ru/webmaster/security/protecting-site.xml. Но даже если самые простые меры выполнять, не вызывающие больших неудобств и не требующие глубоких технических знаний, то вероятность, что сайт попадёт под автоматизированное, массовое заражение, уже существенно снижается. К сожалению, не все даже это делают.
5) На продакшн-серверах отключить SSH доступ на интерфейсах, смотрящих «в мир». Если сервер у провайдера, тогда SSH для его управления прикручивается только к интерфейсам за VPN.
6) Отказаться от FTP, перейдя на FTPS, SFTP, SCP.
В идеале на продакшн-сервере нет VPN сервера, есть только VPN клиент. Т.е. нет приложения, слушающего входящие порты. В данном случае VPN клиет подключается к VPN серверу, инициируя соединение и создавая защищённый канал. По этому каналу можно ходить на SSH, SFTP, etc. В результате сканеры портов на исследуемом сервере будут видеть со стороны мира открытым только 80 HTTP порт. Ничего сверхзаурядного. Просто и надёжно.
6) Отказаться от FTP, перейдя на FTPS, SFTP, SCP.
В идеале на продакшн-сервере нет VPN сервера, есть только VPN клиент. Т.е. нет приложения, слушающего входящие порты. В данном случае VPN клиет подключается к VPN серверу, инициируя соединение и создавая защищённый канал. По этому каналу можно ходить на SSH, SFTP, etc. В результате сканеры портов на исследуемом сервере будут видеть со стороны мира открытым только 80 HTTP порт. Ничего сверхзаурядного. Просто и надёжно.
Обычно такие посты читаем от ESET, но никак не от Yandex, было очень интересно.
Роботы яндекса начали кушать swf файлы? Иначе как они определяют какая флешка хорошая а какая плохая?
Какая разница, какой объект проверять? Сигнатурному анализатору все равно.
Иногда вредоносный код в графические объекты инжектят (правда, это серверный вредоносный код, но тем не менее). Таким образом, все что отдает веб-сервер имеет смысл проверять.
Иногда вредоносный код в графические объекты инжектят (правда, это серверный вредоносный код, но тем не менее). Таким образом, все что отдает веб-сервер имеет смысл проверять.
Хром даже при отключении плагинов в настройках продолжает выдавать их список скриптам на странице. Это смешно.
С другой стороны, сразу виден уровень современного разработчика. «Какой дурак будет отключать плагины? А JS? У нас половина браузера на нём написана, ха-ха-ха!»
С другой стороны, сразу виден уровень современного разработчика. «Какой дурак будет отключать плагины? А JS? У нас половина браузера на нём написана, ха-ха-ха!»
NB: Весь вредоносный код в посте дан в виде скриншотов для того, чтобы роботы не сочли и эту страницу заражённой.
Странный у вас алгоритм, не различающий чистый HTML-код от экранированного.
Получается, если я перепечатаю то, что на скриншоте и вставлю этот код на страницу какого-нибудь сайта, который корректно заменит символы < и > на соответствующие чаркоды, то при следующем индексировании данной страницы роботом Яндекса, тот посчитает её вредоносной?
Забавно :)
Sign up to leave a comment.
Расследование об информационной безопасности в Яндексе. Rdomn – скрытая угроза