Websecurity - Веб безпека

Свої логи я регулярно досліджую і виявляю атаки (сотні атак щодня), які відбуваються на мій сайт. І з моменту запуску мого сайта в липні 2006 року, кількість щоденних атак постійно зростає. Зокрема відбуваються і RFI атаки. Хоча в мене на сайті немає і ніколи не було RFI дір , але такі атаки щоденно відбуваються.

За звичай для RFI атак (на PHP-додатки) використовуються скрипти, що розміщенні на інших сайтах. І це похакані сайти, які використовуються для атак на інші сайти (в тому числі й на мій). Нападники їх використовують для того, щоб не світити власними сайтами - вони взламують одні сайти, розміщують на них скрипти, а потім атакують інші сайти з використанням цих скриптів.

І в мене в логах таких похаканих сайтів увесь час є чимало. В основному це іноземні сайти, але сьогодні, досліджуючи логи, я виявив і українські сайти. Тому я вирішив почати використовувати свої логи як джерело похаканих сайтів в Уанеті . На додачу до інших джерел, що я використовую для дослідження безпеки Уанету, зокрема до розробленої мною в 2008 році методики пошуку похаканих сайтів.

Похакані сайти в Уанеті:

• http://injek.at.ua (хакером Casper_Kae) - 10.08.2010
• http://www.stomatformula.com.ua (хакером FeeLCoMz) - 04.09.2010

Файли, що використовуються для RFI атак:

http://injek.at.ua/e107id1.txt
http://www.stomatformula.com.ua/includes/domit/a

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beesoft.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://skachat-besplatno.com.ua - інфекція була виявлена 14.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://goodgirlsbadguys.com - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://minus-mp3.ucoz.ua - інфекція була виявлена 28.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 06.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт skachat-besplatno.com.ua також хостить в себе Укртелеком.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Після попередніх записів на тему DNS Rebinding (також відомого як Anti-DNS Pinning), пропоную вам нові записі на дану тему.

В своєму записі Sample DNS Rebinding Code, RSnake розповідає про приклад коду для проведення DNS Rebinding атак, що він розробив (щоб надати людям можливість проводити дані дослідження).

В своєму записі Session Fixation Via DNS Rebinding, RSnake розповідає про проведення Session Fixation атак з використанням даної техніки атак на браузери.

В своєму записі DNS Rebinding for Credential Brute Force, RSnake розповідає про використання DNS Rebinding для брутфорсу облікових даних користувачів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cs-servera.net (хакером SAms0n) - 28.08.2010, зараз сайт вже виправлений адмінами
• http://valfork.com (хакером CmTr) - 24.08.2010, зараз сайт не працює (закритий адмінами)
• http://firstline.com.ua (хакером TekZ)
• http://shela.org.ua (хакером Delp0rt3) - 20.08.2010, зараз сайт не працює
• http://muza.lg.ua (хакерами з AHG)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-ukraina.gov.ua - інфікований державний сайт - інфекція була виявлена 24.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pku.gov.ua - інфікований державний сайт - інфекція була виявлена 26.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3-online.com.ua - інфекція була виявлена 11.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://referat-center.com - інфекція була виявлена 29.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mp3forum.com.ua - інфекція була виявлена 31.08.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт mp3-online.com.ua також хостить в себе Укртелеком.

Сьогодні в мене день народження - мені виповнилося 27 років. З чим вас і себе поздоровляю .

Традиційно одним з перших мене поздоровив мій Palm. Але й деякі відповідальні люди також не забули це зробити.

В зв’язку з цією подією, я оновив SQL Injection ASCII Encoder. Після розміщення його в себе на сайті в 2008 році, я регулярно його оновлював (спочатку локальну версію, а потім і онлайн версію), щоб він ставав ще більш корисним і зручним інструментом при проведенні SQL ін’єкцій. І зараз я розмістив на сайті останню версію даного інструменту.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://taxi-k.org (хакерами SysTem-Tr0jAn і FaSt’HaCkEr)
• http://ntl.hmarka.net (хакером NOCKAR1111)
• http://www.dj-wheels.com.ua (хакером houssem jrad)
• http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security Team) - причому спочатку сайт був взломаний 06.08.2010 J0J0k, як я вже писав, потім 11.08.2010 сайт не працював (не було контенту), а як тільки запрацював, то вже 15.08.2010 він був взломаний HAMED WOLF. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті. Зараз сайт вже виправлений адмінами
• http://77.120.114.100/~jdemo/ (хакерами з AHG)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://audiofile.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://jet.if.ua - інфекція була виявлена 07.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 10 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://photo-crimea.com.ua - інфекція була виявлена 09.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 21.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3xa.com.ua - інфекція була виявлена 12.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти audiofile.org.ua та mp3xa.com.ua також хостить в себе Укртелеком.

Нещодавно була оприлюднена Cross-Site Scripting уразливість в WordPress. Уразливі WordPress 3.0.1 та попередні версії.

Використовуючи дану уразливість можна провести XSS атаку на адміна. Але зазначу, що для атаки потрібно знати токен (_wpnonce), призначений для захисту від CSRF атак (який є в WP 2.9.2 та попередніх версіях), тому реально використати дану XSS буде важко.

До речі, під час проекту День багів в WordPress 2 я розповів про уразливість в плагіні WordPress Database Backup, що потенційно може працювати з WP 3.0 та 3.0.1, тому вона також може торкнутися користувачів останньої версії движка.

• WordPress 3.0.1 - Cross Site Scripting Issue (деталі)

Зазначу, що версії WordPress 2.0.x невразливі, бо в них немає даного функціоналу. Зате, як я перевірив, вразливі версії 2.7 - 2.9.2 (так само як і у випадку версій 3.0 та 3.0.1). Також вразлива WP 2.6.2, але там атаку потрібно робити по іншому (зовсім інший запит), причому можливий тільки POST запит (при тому, що в WP 2.7 і вище можливі як GET, так і POST запити). В WP 2.6.x даний функціонал по іншому реалізований. Додам, що досліджуючи дану дірку я виявив багато інших дірок в цьому функціоналі, про що я напишу окремо .

Також зазначу, що дослідник який знайшов цю дірку заявив, що атака відбувається через параметер checked[0] в скрипті wp-admin/plugins.php, коли параметер action рівний delete-selected. Як я перевірив, XSS код можна вказувати як в checked[0], так і в checked[1] і т.д., а також в checked[]. До того ж, в WP 2.8 - 2.9.2, 3.0 та 3.0.1 можна вказувати як action рівний delete-selected, так і action2 рівний delete-selected, а в версіях 2.7.х можна використати тільки action.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це ZeuS Tracker.

Даний сервіс дещо відрізняється від раніше згаданих сервісів. Він не призначий для виявлення вірусів на веб сайтах, а сконцентрований на ботнеті ZeuS. Мета сервіса - виявлення командних серверів ZeuS по всьому світі та надання блеклістів по їх доменам та IP.

Веб сервіс ZeuS Tracker в цьому подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на головну сторінку сайта та переглянути карту хостів ботнета ZeuS (у вигляді карти на Google Maps). Також можете ознайомитися зі статистикою, переглянути повний список хостів ботнета і викачати блеклісти (по домену чи IP). А також можна подивитися детальну інформацію по хостам даної бот мережі.

Можете подитивитися на детальну інформацію про інфікований сайт strbypass.uz.ua:

https://zeustracker.abuse.ch/monitor.php?host=strbypass.uz.ua