Hilfreiche Ratschläge

Hacken einer Website: Einfache Sicherheitstipps

Pin
Send
Share
Send
Send


Wir haben wiederholt geschrieben, dass die Anzahl der Websites, die anonymen (nicht gezielten) Angriffen ausgesetzt sind, um ein Vielfaches höher ist als die Anzahl der Opfer gezielter Angriffe. Unseren Statistiken zufolge wird nur jede vierte Site absichtlich von Hackern angegriffen. Die verbleibenden Sites, die zur Behandlung und zum Schutz bei uns eingehen, sind das Ergebnis eines massiven Hacks und einer Infektion.

Das Leid eines nicht zielgerichteten Angriffs ist ganz einfach: Es reicht aus, die kritische Sicherheitsanfälligkeit in CMS, Vorlagen oder Plug-ins Ihrer Website nicht zu bemerken oder zu ignorieren. Jede offene Lücke ist eine großartige Chance, sich unter Ihren eigenen "Kameraden im Unglück" wiederzufinden und einen festen Halt bei der Auswahl der Kandidaten für das Hacken durch Hacker zu finden. Machen Sie sich im Falle eines „erfolgreichen“ Angriffs darauf gefasst, dass Ihre Website aktiv zum Spammen, Infizieren von Benutzern, Hosten von Phishing-Seiten, Angriffen auf andere Websites oder zum Geldverdienen mit Werbung verwendet wird.

Für einen Hacker ist es nicht schwierig, Sites (Tausende von ihnen) mit ähnlichen schwachen Parametern zu finden. Informationen über gefährdete Websites können immer über die Google Hacking Database (GHD) abgerufen werden - eine Datenbank von "dorks" - Suchanfragen in der Metasprache von Google. Auf diese Weise können Sie Websites finden, die durch bestimmte ähnliche Eigenschaften für bestimmte Angriffe anfällig sind. Zum Beispiel können Hacker alle Sites finden, die in einer Suchmaschine mit einem installierten anfälligen Plug-In indiziert sind, oder Sites, die den Inhalt von Verzeichnissen anzeigen, d. H. Ermöglicht das Anzeigen und Herunterladen von Dateien (mit Kennwörtern, Einstellungen usw.)

Wenn Ihre Website über einen schwachen Link verfügt und das Webprojekt für eine bestimmte Art von Angriff anfällig ist, werden Sie früher oder später gehackt. Dies muss von jedem Webmaster und Websitebetreiber verstanden werden.

Letztere glauben in der Regel nicht, dass das Auffinden und Hacken einer anfälligen Site in wenigen Minuten ohne spezielle Hacking-Tools möglich ist. Als Beispiel geben wir daher ein einfaches Beispiel dafür, wie Angreifer mithilfe der Funktionen von Google Webprojekte finden und hacken, deren Eigentümer sich nicht rechtzeitig um ihren Schutz gekümmert haben oder Fehler beim Einrichten des Hostings gemacht haben.

Betrachten Sie als Beispiel den „Trottel“, der am 1. September 2015 in der Google Hacking Database auftauchte. Hiermit können Sie nach Sites mit geöffneten Verzeichnissen suchen (in solchen Verzeichnissen können Sie nicht nur die Liste der Servicedateien anzeigen, sondern auch deren Inhalt anzeigen, z. B. Kennwörter suchen).

Wir senden diese Anfrage an die Google-Suchmaschine und sehen eine Liste von Websites mit offenen Verzeichnissen - diese sind potenzielle Opfer eines Hackers. Wir wählen zufällig aus den gefundenen Sites beispielsweise die letzte in der Liste aus.

Wir klicken auf den Link - eine Liste von Verzeichnissen wird geöffnet, Sie können diese wie im Explorer "durchgehen" und beim Surfen können Sie die Datei serverconfig.xml bemerken, die im öffentlichen Bereich Anmeldungen und Kennwörter aus der Datenbank speichert. Da die Konten manchmal mit FTP oder SSH übereinstimmen, kann der Hacker auf diese Weise nicht nur auf die Datenbank zugreifen, sondern auf den gesamten Server.

Der gesamte oben beschriebene Vorgang dauerte ungefähr zwei Minuten, aber für einen Hacker unter "Kampfbedingungen", der automatisierte Lösungen einsetzt, ist dies noch schneller und die Menge der gefährdeten Ressourcen steigt normalerweise auf Tausende.

Es ist eine Schande, unter denen zu sein, die in den Händen eines Hackers zu einer leichten Beute wurden, obwohl diese Situation leicht zu vermeiden ist. Denken Sie darüber nach, Ihre Webprojekte im Voraus zu schützen. Wenn Ihre Site etwas sicherer ist als der Durchschnitt (mit sofort einsatzbereitem CMS und Standardeinstellungen), werden Sie vom Problem des unangemessenen Hackings umgangen.

Wie wird eine Site gehackt?


Die gebräuchlichsten Wege, die Site zu betreten:

  • Suche nach einfachen Passwörtern für den Zugriff auf das Admin-Panel / FTP ("Domain-Name", 12345, Admin, Test, etc.) - eine große Anzahl von Hacks geschieht seltsamerweise einfach so,
  • die Verwendung von Skript-Schwachstellen (CMS und Module).

Lassen Sie mich am Beispiel von Joomla + CKForms veranschaulichen. Um nicht in Versuchung zu führen, veröffentliche ich keinen Link zur Beschreibung, es ist zu einfach, sie zu benutzenaber auch leicht zu finden. Sicherheitslücken im CKForms-Modul ermöglichen es Ihnen, SQL-Injection oder PHP-Inklusion durchzuführen und durch einfache Manipulationen Zugriff auf das Admin-Panel zu erhalten. Die Sicherheitslücke wird durch eine einfache Anfrage in der Adressleiste des Browsers ausgenutzt.

Es dauert buchstäblich fünf Minuten und erfordert keine ernsthaften Kenntnisse vom Cracker. Weitere Schritte hängen von der Vorstellungskraft des Autors ab, die Website zu zerstören und die Kontrolle über andere Websites und den Server zu erlangen.

Ich habe Maßnahmen ergriffen, aber wie wurde die Website gehackt?

Wie kann ein Hacker über Shared Hosting auf andere Websites zugreifen, wenn der Websitebesitzer alle bekannten Maßnahmen ergriffen hat? In der Tat wird der Zugriff auf Websites fast überall durch Benutzeranmeldungen unterschieden, und dies sollte die Website anscheinend vor Nachbarn schützen.

Wir beschränken uns auf einen Fall. Eine ernste Gefahr ist das Starten von Skripten unter dem Apache-Modul, zum Beispiel mod_perl. Das Skript wird in diesem Fall unter dem Apache-Benutzer ausgeführt, der Zugriff auf die Daten der Site-Benutzer hat.
Ein Hacker erhält, wie oben beschrieben, Zugriff auf die Site einer Site. Dann wird das Konsolenskript, zum Beispiel cgi-telnet, platziert. Wenn die Rechte für die Konfigurationsdateien der Websites anderer Benutzer auf 644 (oder sogar weniger als 777!) Festgelegt sind, können Sie den Inhalt von Dateien mit Kennwörtern einfach über die Konsole lesen. Aber! Nur wenn das Perl-Skript unter dem Apache-Benutzer ausgeführt wird, d.h. unter mod_perl (eine ähnliche Situation mit mod_php). Wenn Sie beispielsweise unter FastCGI arbeiten, wird diese Methode keinen Zugriff auf Dateien gewähren. Sie können sich davor schützen, indem Sie 600 Rechte für wichtige Dateien installieren und FastCGI verwenden.

Wie kann ich auf die Verwaltung des Servers selbst zugreifen?

Lassen Sie mich ein allgemeines Beispiel für Linux-Systeme geben. Ebenso benötigen Sie zunächst Zugriff auf die Site einer Site.
Es gibt mehrere Schwachstellen im Kernel durch den Null-Zeiger, denen Dutzende von Linux-Systemen ausgesetzt sind, zum Beispiel: Sicherheitsanfälligkeit im Linux-Kernel bezüglich Null-Zeigerdereferenzierung 'sock_sendpage ()'. Dort werden auch Exploits beschrieben. (Vorsicht, das funktioniert!).
Trotz der Tatsache, dass dieses Problem seit langem bekannt ist, gibt es viele ungepatchte Server, auch in Russland. Der einfachste Weg zum Schutz wird zum Beispiel hier beschrieben.
Dies garantiert keinen 100% igen Schutz Wenn Sie beispielsweise wine installieren, kann der Parameter mmap_min_addr auf 0 zurückgesetzt werden. Es wird dringend empfohlen, die Patches zu verwenden, die auf der obigen Seite oder in offiziellen Quellen verfügbar sind.
Die Diskussion zu diesem Thema wurde auch über Habr geführt.
Die Verantwortung für den Schutz vor Exploit-Daten liegt beim Serveradministrator.

Abhilfemaßnahme

"Behandlung" Wiederherstellung von Backup ist nicht genug, sobald die Website gehackt wird, werden sie zu Ihnen zurückkehren. Was soll der Site-Inhaber tun?

  • Versuchen Sie sofort festzustellen, welche Dateien ersetzt wurden. Es kann sich entweder um index.php oder um Vorlagendateien, Bilder usw. handeln.
  • Machen Sie Screenshots der Konsequenzen,
  • Stellen Sie sicher, dass Sie den Hosting-Anbieter benachrichtigen und Ihre nächsten Schritte koordinieren.
  • Speichern Sie die Site-Dateien in einem separaten Verzeichnis. Wenn Sie die Dateien später ändern, können Sie den Angreifer leichter ermitteln.
  • Stellen Sie die Site aus dem Backup wieder her oder wenden Sie sich hierfür an den Hoster.
  • Laden Sie die Fehlerprotokolle herunter und greifen Sie auf die Site zu, oder bitten Sie den Hoster, sie bereitzustellen. Es ist besser, sie in ein separates Verzeichnis zu kopieren, damit sie während der Rotation der Protokolle nicht verschwinden.
  • Die Analyse der Dateiänderungszeit und der Vergleich mit Protokolleinträgen ermöglicht es Ihnen, die Art der verwendeten Sicherheitsanfälligkeit und die IP-Adresse des Angreifers zu bestimmen.
  • Aktualisieren Sie Skripte oder lehnen Sie (falls dies nicht möglich ist) die Verwendung anfälliger Module ab.
  • Stellen Sie sicher, dass Sie alle Zugriffskennwörter ändern.

Verbrechen und Strafe

Bestrafen Sie einen Hacker, insbesondere, wenn er unter der Gerichtsbarkeit eines anderen Staates handelt und alle Maßnahmen ergreift, damit er nicht verfolgt werden kann - es ist schwierig oder fast unmöglich. Aber es gibt erfolgreiche Beispiele.

Die Abteilung K der Stadt N eröffnete ein Strafverfahren gemäß Artikel 272 des Strafgesetzbuches der Russischen Föderation. »In Bezug auf einen Bürger der Russischen Föderation auf Antrag einer juristischen Person (Eigentümer der Website). Im Februar 2010 wurde eine Website in die Produktion eines der russischen Designstudios (ein "Skript") gehackt, da ein Angreifer eine Sicherheitslücke im Code der Website gefunden hatte. Der Zweck des Hack war es, Bannerwerbung zu platzieren. Der Angreifer entschuldigte sich schriftlich beim Seiteninhaber und bat um eine Einigung vor dem Prozess. Neben dem strafrechtlichen Artikel droht ihm auch der Ausschluss von der Universität. Sozusagen - im Interesse der Untersuchung wurden Details nicht bekannt gegeben.

Wenn der Schaden erheblich ist und die IP-Adresse "lokal" ist (auch dynamisch und gehört dem Internet-Provider) und nicht dem "chinesischen Proxy" - können Sie bei den Strafverfolgungsbehörden und speziell bei der K. Abteilung mit der Erklärung und den verfügbaren Materialien am Wohnort Ermittler selbst beantragen Sie fordern beim Hosting-Anbieter einen offiziellen Brief mit Magazinen und Erläuterungen zur Situation an, bei dem Internet-Anbieter, dem die IP-Adresse zugewiesen wurde. Unternehmen sind verpflichtet, diese Informationen auf Ersuchen der Strafverfolgungsbehörden bereitzustellen.
Die Kommunikation mit Strafverfolgungsbehörden wird dem Cracker viel bringen nichtangenehme Stunden, besonders wenn es Spuren von illegalen Aktivitäten auf dem Computer gibt, ganz zu schweigen davon möglich Strafverfolgung.

Kurze Schlussfolgerungen

Die Sicherheit Ihrer Site ist nicht nur Aufgabe des Entwicklers und Hosters, der verpflichtet ist, ein Höchstmaß an Sicherheit für die Server zu gewährleisten, sondern auch des Site-Administrators.
Trivialer Rat an den Site-Inhaber:

  • Speichern Sie keine Zugangsdaten
  • Verwenden Sie lange komplexe Passwörter und nicht standardmäßige Anmeldungen. Führen Sie regelmäßig Änderungen durch.
  • zeitnahe Update-Skripte mit der Veröffentlichung von Updates,
  • bei der Auswahl einer Komponente nach offenen Schwachstellen suchen,
  • Überwachen der Berechtigungen für Skriptdateien und besonders wichtige Konfigurationsdateien
  • über einen Webserver (z. B. .htaccess und .ftpaccess), um den Zugriff nur von Ihrer IP-Adresse aus zuzulassen,
  • Ja, es ist notwendig, die Urheberrechte der Skriptautoren beizubehalten. Den Angaben zufolge suchen Angreifer nach verwundbaren Sites und ändern zumindest die Standardadressen für den Zugriff auf Skripte.
  • regelmäßig, einschließlich externer Dienste, die Verfügbarkeit bestimmter Bereiche der Website prüfen,
  • haben lokale Backup-Sites.

Nachdem Sie die Chancen geprüft haben, einen Angreifer zu finden, können und sollten Sie sich an Strafverfolgungsbehörden wenden.

PS: Der Artikel gibt nicht vor, vollständig zu sein und ist nicht auf einen IT-Guru ausgerichtet. Natürlich können auch andere Mittel zum gezielten Hacken eines bestimmten Servers oder einer bestimmten Site verwendet werden. Ich werde mich freuen, die Kommentare der Habrasociety, einschließlich anderer Beispiele, ergänzen zu können.
Und kurz über die Aktionen des Hackens der Website.

Sehen Sie sich das Video an: Ein einfacher Trick, wie man schnell Geld anspart (November 2022).

Pin
Send
Share
Send
Send