Последствия работы скрипткидисов все же устраняются намного проще. И именно поэтому они по-моему мнению не представляют значительной угрозы. В вашем случае к примеру достаточно было востановить бекап (бекапы то надеюсь все делают). Максимум что может такой «кулхацкер» — это сломать работоспособность сайта но не более. Да, это неприятно, но это очень просто лечится.
А я неоднократно встречал работы людей, которые были как раз как как вы говорите с «мышлением». К примеру, интернет магазин, с которого каким то мифом начали утекать данные кредитных карт. При разборе выяснилось, что прошел целый год между моментом взлома и началом какой-либо активности на сервере, а целый год выжидался скорее всего ради того чтобы бекдоры попали в бекапы, и их сложнее было обнаружить.
Вы говорите проверка даты изменения? Мало того что прошел год после встраивания бекдоров, так еще и файлы тачились под остальные. Поиск по регуляркам? Да фиг там. Бекдоры маскировались под общий код. Я вобщем-то до сих пор не уверен что было найденно все.
И подобных случаев на моей практике — довольно много. Так что, не то чтобы я надеюсь, что лично меня будут ломать профессионалы, я просто знаю каково это. Зря вы так скептически относитесь к моему мнению, поверьте, я знаю о чем говорю.
Статья же преподносит предложенные в ней методы как панацею, хотя эти методы являются лишь первоначальными. А пока вы, согласно статье, будете защищаться только от киддисов, вас будут продолжать взламывать.
Видите ли… Я не осуждаю статью в целом. Я осуждаю предложенные методы.
Я будучи взломщиком, вписал бы в скрипты конструкцию типа:
include($_REQUEST['foo']);
Согласитесь, никому бы в голову не пришло искать подобную конструкцию регулярками. В обычных проектах сотни вызовов функции include. А я в свою очередь смогу элементарно востановить доступ к сайту. А таких вариантов как этот тысячи.
К чему я это пишу. К тому что даже в случае
сторонний человек, которого попросили проверить/исправить сайт
бесполезно действовать по инструкции, а надо начать мыслить как взломщик (как бы пафосно это не звучало).
А тех кто обсуждают на «какерских» форумах бат вирусы и прочее, можно отнести к категории скрипт киддисов. И угрозы как таковой они не представляют. Статья расчитана как раз на обнаружение следов взлома людей из данной категории и не более. Так что, извините, действенной эту методику назвать нельзя.
Отключение исполнения php в директориях, куда помещаются загружаемые файлы, проблему решает.
Это вобщем то тоже не совсем так. Остается возможность залить злоумышленнику свой .htaccess в папку «куда помещаются загружаемые файлы» со своими директивами, которые в свою очередь обратно разрешат выполнение php.
Одно но: если файл имеет несколько точек в имени, то mod_mime считает, что это «несколько расширений», в этом случае для исполнения файла mod_php достаточно, чтобы любое из них совпало. А mime-тип, с которым вернёт файл Apache, потом определится из последнего «расширения».
Немного не верно.
Если точек в имени файла несколько, т.е., проще говоря, несколько расширений, то проверяется последнее расширение, и, если данное расширение зарегестрированно в mime.types, то файл обрабатывается в соответствии с этим расширением. Если это расширение НЕ зарегестрированно, то проверяется предыдущее расширение, до тех пор пока не будет обнаруженно зарегестрированное.
Т.о. файл с именем file.blabla.php.blabla.blabla будет интерпретирован как php скрипт. Так, например, в большинстве веб приложений разрешено загружать файлы с расширением *.rar, но по дефолту апач это расширение не знает. Это делает это приложение уязвимым перед заливкой файла script.php.rar, т.к. такой файл при прямом обращении к нему будет интерпретирован как PHP скрипт, подробнее об этом: httpd.apache.org/docs/2.2/mod/mod_mime.html#multipleext intsystem.org/892/how-do-you-upload-files-at-the-server/#doubleext
Насчет статьи. Позволю себе описать взгляд с другой стороны баррикад. Все описанное выше — прошлый век. Рядовой взломщик об этом знает. Так, например, менять дату последнего изменения файла — уже то что злоумышленник делает в первую очередь. Даже скажу больше, большинство существующих вебшеллов умеют не менять дату последнего изменения при редактировании файлов. Описанные в статье способы поиска левых скриптов — опять же, извините, бред. Практически никто на сегодня не использует в бекдорах функцию eval, в php хватает других функций умеющих выполнять php код.
Единственный 100%-ый вариант обнаружить что сайт взломан — это либо полный diff, либо ручная проверка всех файлов на сервере. А единственный способ гарантированно востановится после взлома — это исправление уязвимости и востановление из бекапа. Все остальное оставляет шансы злоумышленнику.
Вот кстати интересно такой вопрос разбирался или нет…
Допустим я владелец обычного сайта который мне приносит некоторый доход. Рядом со мной хостится сайт который было решено заблокировать, всвязи с чем блокируется и мой сайт, т.к. находится с ним на одном IP. Естественно, с этого момента я теряю этот доход, который мне приносил мой сайт.
Внимание вопрос, кто должен мне компенсировать потерянный доход? Провайдеры, которые блокируют весь IP вместо одной страницы? Владелец заблокированного сайта?
На странице в iframe размещалась куча абсолютно позиционированных дивов 100х100 пикселей, которым на фон через css файл в виде base64 натянуты тайлы, нарезанные из изображения.
Также не понимаю стремления сделать все как можно тоньше. Ну не удобно же в руке держать тонкий смартфон, пусть он будет толще на 3мм, но батарея будет держать на 3 часа дольше — за это пользователи скажут большое спасибо.
Целиком и полностью поддерживаю. Давно хочу найти замену своему старенькому смартфону. Но нынешние модели меня просто удручают. В основном все либо огромная лопата, либо аккумулятора хватает на сутки, либо еще что нибудь.
Ну действительно откуда взялась эта тупая мода на тонкие смартфоны. Ладно бы, я понимаю, шагнул бы прогресс в области создания аккумуляторов. Но ведь нет же. Уменьшение толщины идет в основном за счет увеличения размеров смартфона в целом (читай превращения в лопату) и уменьшения размеров батареи. И ни то ни другое я не могу назвать плюсом.
Я вот что подумал… Многие говорят что биткоин — валюта которую не сможет контролировать ни одно государство, в том числе и запретить ее, в виду ее архитектуры. Но к примеру, что там 1 млрд долларов на фоне государства — можно банально выкупить весь биткоин из оборота, и учитывая то, что его колличество ограниченно, это сделать вполне реально. Но это так, параноидальные мысли, не пинайте меня за то что это больше похоже на бред)
Ээх… это была по сути первая моя компьютерная игра… И кстати не так давно вспомнил про нее и прошел еще раз)
Отличная новость, прям аж настроение поднялось.
Вставлю свои пять копеек, про автоматическое определение языка компьюетром.
Один из способов определения языка, это частотный анализ текста. То есть подсчет количества каждой буквы и сочетаний этих букв в тексте. Для каждого языка свойственен «свой отпечаток». Но этот способ будет работать только для достаточно больших текстов.
Да, может изначально частотный анализ пошел из криптографии, но его можно использовать и во вполне мирных целях)
Вы меня конечно извините… Но что то я прочитал ваш пост и откровенно говоря не понял что вы хотели им сказать. Выглядит очень скупо, сумбурно и написано явно без желания донести информацию для аудитории.
Если же это попытка описать процесс разрыва сессий для того чтобы вынудить конечного клиента авторизироваться, то это просто отвратительно. Писать целый пост чтобы описать частный случай реализации атаки «Man in the middle»… Или это просто реклама утилиты?
соберите базу в 11 000 картинок, 10 000 склассифицируйте руками, а 1000 оставьте для теста и посчитайте какой процент из этой 1000 будет верно определен.
Знаете, просто то что вы говорили лично мне, и то что вы говорите на публику разительно отличается. И именно это заставляет меня спорить с вами. Я понимаю это ваш продукт, и ваша цель его защитить и разрекламировать, но делайте это честно. Согласитесь, намного было бы лучше, если бы в ответ на первое мое сообщение вы бы написали, что то в духе «да, действительно нашу защиту взламывали, но каждый раз, на основе демонстрируемых нам наших ошибок, мы улучашаем защиту», чем пытались бы зацепить меня?
А насчет меньше деструктива, уж извините, работа у меня такая. Но и конструктивные вещи я тоже приношу в этот мир. Не так давно принимал участие в разработке системы защиты голосования от накрутки на одном довольно крупном проекте, и там, вы не поверите, мы смогли отказаться от капчи и прочих классических видов защиты.
А я неоднократно встречал работы людей, которые были как раз как как вы говорите с «мышлением». К примеру, интернет магазин, с которого каким то мифом начали утекать данные кредитных карт. При разборе выяснилось, что прошел целый год между моментом взлома и началом какой-либо активности на сервере, а целый год выжидался скорее всего ради того чтобы бекдоры попали в бекапы, и их сложнее было обнаружить.
Вы говорите проверка даты изменения? Мало того что прошел год после встраивания бекдоров, так еще и файлы тачились под остальные. Поиск по регуляркам? Да фиг там. Бекдоры маскировались под общий код. Я вобщем-то до сих пор не уверен что было найденно все.
И подобных случаев на моей практике — довольно много. Так что, не то чтобы я надеюсь, что лично меня будут ломать профессионалы, я просто знаю каково это. Зря вы так скептически относитесь к моему мнению, поверьте, я знаю о чем говорю.
Статья же преподносит предложенные в ней методы как панацею, хотя эти методы являются лишь первоначальными. А пока вы, согласно статье, будете защищаться только от киддисов, вас будут продолжать взламывать.
Я будучи взломщиком, вписал бы в скрипты конструкцию типа:
Согласитесь, никому бы в голову не пришло искать подобную конструкцию регулярками. В обычных проектах сотни вызовов функции include. А я в свою очередь смогу элементарно востановить доступ к сайту. А таких вариантов как этот тысячи.
К чему я это пишу. К тому что даже в случае
бесполезно действовать по инструкции, а надо начать мыслить как взломщик (как бы пафосно это не звучало).
А тех кто обсуждают на «какерских» форумах бат вирусы и прочее, можно отнести к категории скрипт киддисов. И угрозы как таковой они не представляют. Статья расчитана как раз на обнаружение следов взлома людей из данной категории и не более. Так что, извините, действенной эту методику назвать нельзя.
Это вобщем то тоже не совсем так. Остается возможность залить злоумышленнику свой .htaccess в папку «куда помещаются загружаемые файлы» со своими директивами, которые в свою очередь обратно разрешат выполнение php.
Немного не верно.
Если точек в имени файла несколько, т.е., проще говоря, несколько расширений, то проверяется последнее расширение, и, если данное расширение зарегестрированно в mime.types, то файл обрабатывается в соответствии с этим расширением. Если это расширение НЕ зарегестрированно, то проверяется предыдущее расширение, до тех пор пока не будет обнаруженно зарегестрированное.
Т.о. файл с именем file.blabla.php.blabla.blabla будет интерпретирован как php скрипт. Так, например, в большинстве веб приложений разрешено загружать файлы с расширением *.rar, но по дефолту апач это расширение не знает. Это делает это приложение уязвимым перед заливкой файла script.php.rar, т.к. такой файл при прямом обращении к нему будет интерпретирован как PHP скрипт, подробнее об этом:
httpd.apache.org/docs/2.2/mod/mod_mime.html#multipleext
intsystem.org/892/how-do-you-upload-files-at-the-server/#doubleext
Насчет статьи. Позволю себе описать взгляд с другой стороны баррикад. Все описанное выше — прошлый век. Рядовой взломщик об этом знает. Так, например, менять дату последнего изменения файла — уже то что злоумышленник делает в первую очередь. Даже скажу больше, большинство существующих вебшеллов умеют не менять дату последнего изменения при редактировании файлов. Описанные в статье способы поиска левых скриптов — опять же, извините, бред. Практически никто на сегодня не использует в бекдорах функцию eval, в php хватает других функций умеющих выполнять php код.
Единственный 100%-ый вариант обнаружить что сайт взломан — это либо полный diff, либо ручная проверка всех файлов на сервере. А единственный способ гарантированно востановится после взлома — это исправление уязвимости и востановление из бекапа. Все остальное оставляет шансы злоумышленнику.
Допустим я владелец обычного сайта который мне приносит некоторый доход. Рядом со мной хостится сайт который было решено заблокировать, всвязи с чем блокируется и мой сайт, т.к. находится с ним на одном IP. Естественно, с этого момента я теряю этот доход, который мне приносил мой сайт.
Внимание вопрос, кто должен мне компенсировать потерянный доход? Провайдеры, которые блокируют весь IP вместо одной страницы? Владелец заблокированного сайта?
Спасибо вам за то, что вы нас услышали!
Китайцы знают толк в извращениях…
Целиком и полностью поддерживаю. Давно хочу найти замену своему старенькому смартфону. Но нынешние модели меня просто удручают. В основном все либо огромная лопата, либо аккумулятора хватает на сутки, либо еще что нибудь.
Ну действительно откуда взялась эта тупая мода на тонкие смартфоны. Ладно бы, я понимаю, шагнул бы прогресс в области создания аккумуляторов. Но ведь нет же. Уменьшение толщины идет в основном за счет увеличения размеров смартфона в целом (читай превращения в лопату) и уменьшения размеров батареи. И ни то ни другое я не могу назвать плюсом.
Я вот что подумал… Многие говорят что биткоин — валюта которую не сможет контролировать ни одно государство, в том числе и запретить ее, в виду ее архитектуры. Но к примеру, что там 1 млрд долларов на фоне государства — можно банально выкупить весь биткоин из оборота, и учитывая то, что его колличество ограниченно, это сделать вполне реально. Но это так, параноидальные мысли, не пинайте меня за то что это больше похоже на бред)
Отличная новость, прям аж настроение поднялось.
PS: а за статью спасибо, познавательно
Один из способов определения языка, это частотный анализ текста. То есть подсчет количества каждой буквы и сочетаний этих букв в тексте. Для каждого языка свойственен «свой отпечаток». Но этот способ будет работать только для достаточно больших текстов.
Да, может изначально частотный анализ пошел из криптографии, но его можно использовать и во вполне мирных целях)
Если же это попытка описать процесс разрыва сессий для того чтобы вынудить конечного клиента авторизироваться, то это просто отвратительно. Писать целый пост чтобы описать частный случай реализации атаки «Man in the middle»… Или это просто реклама утилиты?
Знаете, просто то что вы говорили лично мне, и то что вы говорите на публику разительно отличается. И именно это заставляет меня спорить с вами. Я понимаю это ваш продукт, и ваша цель его защитить и разрекламировать, но делайте это честно. Согласитесь, намного было бы лучше, если бы в ответ на первое мое сообщение вы бы написали, что то в духе «да, действительно нашу защиту взламывали, но каждый раз, на основе демонстрируемых нам наших ошибок, мы улучашаем защиту», чем пытались бы зацепить меня?
А насчет меньше деструктива, уж извините, работа у меня такая. Но и конструктивные вещи я тоже приношу в этот мир. Не так давно принимал участие в разработке системы защиты голосования от накрутки на одном довольно крупном проекте, и там, вы не поверите, мы смогли отказаться от капчи и прочих классических видов защиты.