Эксплуатация уязвимости – противостоим модулем «Проактивная Защита» 1С-Битрикс


19.04.2012

Это продолжение первой статьи, где рассказывается теоретическая часть того как можно эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в прошлой статье – универсальные методы, которые могут быть использованы для нанесения вреда сайту на практически любой системе управления.

В данном материале мы разберём некоторые более конкретные способы нанесения эксплуатации и противодействия им. Напомним, в рамках этих материалов делается допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у злоумышленника и которую нет возможности закрыть администратору (по крайней мере до момента обнаружения её эксплуатации).

уязвимость web проекта

В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что провели исследование в данной области до конца), а в основном ограничимся файловыми эксплуатациями.

Рассмотрим 3 основных способа:

Способ 1 – заражение публичных файлов или файлов ядра CMS

По сути, самая примитивная эксплуатация.

Изменения легко обнаруживаются в часто изменяемых файлах администратором, редакторами или разработчиками.

В редко редактируемых служебных файлах изменения обнаружить «вручную» очень непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы управления контентом даже в минимальных редакциях редко когда могут похвастаться цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна!

Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс (Веб-антивирус и Проактивный фильтр успешно справляются с вырезанием большинства представителей таких зловредов, дополнительную степень безопасности от «слива трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно работал!

ВНИМАНИЕ! Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит он может отключить модуль (легко обнаруживается администратором) или внести собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о том, что записи исключений хранятся в базе данных в явном виде! Это критично, если вы используете журнал событий в качестве монитора авторизаций пользователей и контролируете несанционированный доступ к административному разделу!!!

Мониторинг осуществляется с помощью инструмента «Контроль целостности файлов» модуля Проактивная защита 1С-Битрикс – регулярно создавайте реперные точки, не забывайте периодически скачивать и на локальный компьютер или отдельное файловое хранилище! Для многих других CMS существуют аналогичные плагины или скрипты (качество их работы очень различное, так что необходима проверка надёжности работы).

Способ 2 – заражение файлов кеша

Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1С-Битрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в большом количестве, а спустя определённое время должен удаляться, поэтому слежение за ним очень затруднительно).

Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса делает практически необнаруживаемую эксплуатацию. Работает для всех существующих CMS по описанным выше причинам.

Эксплуатация предотвращается использованием кеширования в оперативной памяти сервера (не всегда возможно в случае виртуального хостинга, а так же накладывает определённые ограничения на ресурсы сервера).

Способ 3 – создание вредоносного кода в директории для бекапирования

Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в настоящее время. Помните о возможности такого сценария и регулярно проверяйте не появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в случае падения сервера они могут быть повреждены так же, как файлы и БД самого сайта).

В других CMS так же возможны определённые директории «служебного пользования», где может оказаться подобный «зловред» - внимательно изучите архитектуру своего движка!


Обратите внимание, что данные способы эксплуатации могут быть в значительной мере предотвращены лишь комплексно. Обратите самое пристальное внимание на модуль Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш ресурс от вторжений. Однако даже самый параноидальный режим безопасности не исключает нахождения и эксплуатации очень ограниченной локальной уязвимости злоумышленником – регулярно проводите аудит своего ресурса.


автоматы Вулкан Удачи

Эксплуатация уязвимости – противостоим модулем «Проактивная Защита» 1С-Битрикс

<p style="text-align: justify; ">Это продолжение <a href="/information/ekspluatatsiya_uyazvimosti_skrytye_ot_administratora_zlovredy/" title="Эксплуатация уязвимости – скрытые от администратора «зловреды»" >первой статьи</a>, где рассказывается теоретическая часть того как можно эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в прошлой статье – универсальные методы, которые могут быть использованы для нанесения вреда сайту на практически любой системе управления.</p> <p style="text-align: justify; ">В данном материале мы разберём некоторые более конкретные способы нанесения эксплуатации и противодействия им. Напомним, в рамках этих материалов делается допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у злоумышленника и которую нет возможности закрыть администратору (по крайней мере до момента обнаружения её эксплуатации).</p> <p style="text-align: center; "><img src="/upload/medialibrary/8d4/8d4710cee8254bf2f751dd8df37d7b12.png" title="уязвимость web проекта" hspace="5" vspace="5" border="0" alt="уязвимость web проекта" width="700" height="942" /></p> <p style="text-align: justify; ">В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что провели исследование в данной области до конца), а в основном ограничимся файловыми эксплуатациями.</p> <p align="center">Рассмотрим 3 основных способа:</p> <p> </p> <h2 style="text-align: justify; ">Способ 1 – заражение публичных файлов или файлов ядра CMS</h2> <p style="text-align: justify; ">По сути, самая примитивная эксплуатация.</p> <p style="text-align: justify; ">Изменения легко обнаруживаются в часто изменяемых файлах администратором, редакторами или разработчиками.</p> <p style="text-align: justify; ">В редко редактируемых служебных файлах изменения обнаружить «вручную» очень непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы управления контентом даже в минимальных редакциях редко когда могут похвастаться цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна!</p> <p style="text-align: justify; "><b>Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс</b> (Веб-антивирус и Проактивный фильтр успешно справляются с вырезанием большинства представителей таких зловредов, дополнительную степень безопасности от «слива трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно работал!</p> <p style="text-align: justify; "><b>ВНИМАНИЕ!</b> Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит он может отключить модуль (легко обнаруживается администратором) или внести собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о том, что <u>записи исключений хранятся в базе данных в явном виде! </u>Это критично, если вы используете журнал событий в качестве монитора авторизаций пользователей и контролируете несанционированный доступ к административному разделу!!!</p> <p style="text-align: justify; "><b>Мониторинг осуществляется с помощью инструмента «Контроль целостности файлов» модуля Проактивная защита 1С-Битрикс</b> – регулярно создавайте реперные точки, не забывайте периодически скачивать и на локальный компьютер или отдельное файловое хранилище! Для многих других CMS существуют аналогичные плагины или скрипты (качество их работы очень различное, так что необходима проверка надёжности работы).</p> <h2 style="text-align: justify; ">Способ 2 – заражение файлов кеша</h2> <p style="text-align: justify; ">Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1С-Битрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в большом количестве, а спустя определённое время должен удаляться, поэтому слежение за ним очень затруднительно).</p> <p style="text-align: justify; ">Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса делает практически необнаруживаемую эксплуатацию. Работает для всех существующих CMS по описанным выше причинам.</p> <p style="text-align: justify; "><b>Эксплуатация предотвращается использованием кеширования в оперативной памяти сервера</b> (не всегда возможно в случае виртуального хостинга, а так же накладывает определённые ограничения на ресурсы сервера).</p> <h2 style="text-align: justify; ">Способ 3 – создание вредоносного кода в директории для бекапирования</h2> <p style="text-align: justify; ">Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в настоящее время. Помните о возможности такого сценария и регулярно проверяйте не появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в случае падения сервера они могут быть повреждены так же, как файлы и БД самого сайта).</p> <p style="text-align: justify; ">В других CMS так же возможны определённые директории «служебного пользования», где может оказаться подобный «зловред» - внимательно изучите архитектуру своего движка!</p> <p style="text-align: justify; "> <br /> </p> <p> </p> <p style="text-align: justify; ">Обратите внимание, что данные способы эксплуатации могут быть в значительной мере предотвращены лишь <b>комплексно</b>. Обратите самое пристальное внимание на модуль Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш ресурс от вторжений. Однако даже самый параноидальный режим безопасности не исключает нахождения и эксплуатации очень ограниченной локальной уязвимости злоумышленником – регулярно проводите аудит своего ресурса.</p>

Возврат к списку

Яндекс.Метрика