Asi pred pol rokom som sa začal trošku zaujímať o slovenské domény. Vtedy som napísal článok so štatistikami, ktorý som mienil písať každý mesiac. Dodnes ma to nepustilo, akurát som sa rozhodol pre ne urobiť celý web, nech to nemusím robiť ručne.
Keďže mám toho dosť veľa, moc sa mi nedarí dokončiť tento web a tak som sa rozhodol podeliť sa s vami aspoň o niekoľko veľmi zaujímavých informácií. Jednou z vecí, ktoré kontrolujem na doménach je aj to, či nerozširujú malware (vírusy, trojany, atď.). Táto informácie je pre mňa veľmi dôležitá hlavne preto, že na väčšine týchto domén existuje zraniteľnosť v podobe RFI (Remote File Inclusion), resp. persistant XSS.
Samozrejme mi to dáva aj iné informácie. Napríklad, aké skupiny infikujú tieto weby, aký malware distribuujú, akou metódou, ako sa dostali na web, atď. Tieto informácie mi slúžia k lepšiemu poznaniu ich správaniu a potom samozrejme aj k lepšej prevencii. Tieto informácie zdieľam aj s Davidom Vorelom z projektu HoneyNet, ktorý ich analyzuje a získava z nich ďalšie užitočné dáta.
Ako to celé funguje
O malwari distribuovanom cez XSS som písal už mnohokrát, ale skúsim vám priblížiť postup, akým sa malware dostane na konkrétny web a čo znamená nielen pre návštevníkov, ale aj majiteľa webu.
Aby mohol byť malware umiestnený niekam na web, musí mať útočník možnosť zmeniť kód webu. Na to existuje niekoľko možností, väčšinou sa jedná o využitie bezpečnostnej zraniteľnosti. Keby som chcel rozdeliť tie najzákladnejšie postupy, akým sa dostávajú útočníci k deravým webom, bolo by to asi takto:
- Automaticky, robotom
- Ručne, hľadaním náhodnej zraniteľnosti
Ďalej sa dajú tieto pokusy o získanie prístupu rozdeliť podľa miesta, na ktoré sa útočí.
- FTP, SSH, RPC
- WEB (napríklad XSS, SQL injection, RFI, remote upload)
- SQL
- Sociálne inžinierstvo, slabé a často používané heslá
Aby mohol útočník spustiť akéhokoľvek robota, musí vedieť, akú zraniteľnosť bude hľadať. Preto sa najčastejšie zameriavajú na tie najrozšírenejšie systémy, ako napríklad blogovací systém WordPress, či rôzne fóra.
Niektoré staršie systémy bez ochrany umožňujú vložiť do komentárov odkazy, ktoré útočníci nahradzujú napríklad iframom, takže sa nejedná tak úplne o hackerský spôsob. Výsledok je však úplne rovnaký.
Keď útočník pozná zraniteľnosť daného systému, často využíva tzv. Google Dorks pre nájdenie patričného systému. Napríklad, ak hľadá WordPress konkrétnej verzie, stačí do Google zadať
"<meta name=generator content=WordPress 2.0.3"Samozrejme, ide to aj inak, ale to nie je podstatou tohoto článku. Keď robot získa výsledky z Googlu, začne ich prehľadávať a skúšať otestovať, resp. použiť danú zraniteľnosť. Ak je potvrdená, buď tento web označí a hľadá ďalej, alebo vykoná dopredu pripravené úkony. Na takúto činnosť bývajú používané aj samotné botnety a nie je ich málo. Takto vedia útočníci infikovať doslova tisíce webov behom niekoľkých dní. Ručne sa hľadajú zraniteľnosti na weboch len veľmi zriedka a to hlavne v prípadoch, keď je záujem infikovať konkrétny web. Dôvodov môže byť veľké množstvo, napríklad vysoká návštevnosť, prestíž webu, atď.
Weby sa dnes infikujú najčastejšie za pomoci iframov a JavaScriptu a to hlavne kvôli možnosti udržiavať ich dlhodobo živé. Tento kód býva vždy schovaný tak, aby ho nebolo jednoduché rozoznať pre bežného laika. JavaScripty majú veľmi často morfovaný (maskovaný) kód, aby nebolo možné poznať jeho obsah voľným okom. Používať vzdialené načítavanie stránok má svoju logiku. Za prvé si majiteľ webu nevšimne žiadny vyšší traffic, ktorý by tam mohol vzniknúť, ak by návštevníci sťahovali malware priamo z jeho servera. Taktiež je možné udržiavať takýto kód “živý” oveľa dlhšie. Ak je doména, ktorá distribuuje malware označená, je jednoducho vymenená za inú. Tento úkon sťažuje identifikáciu infikovaných domén, ktoré distribuujú malware. Aktuálne pridávajú útočníci aj niekoľko ďalších ochranných techník, ako napríklad overovanie IP adries, či referera. Ak potencionálna obeť používa IP adresu, ktorú má vo svojom “portfóliu” Google, pravdepodobne sa jedná o jeho testovacieho robota, ktorý sa snaží odhaliť takéto weby. Kód teda zostane neaktívny a robot ho neodhalí. Príklad červa, ktorého som našiel na jednom webe si môžete pozrieť na našom fóre.
Hneď ako je web úspešne infikovaný, začne pôsobiť samotný malware. Tu sa tiež využíva niekoľko techník pre distribúciu. Tou najpoužívanejšou je samozrejme sociálne inžinierstvo. Najčastejšie vám vyskočí hláška, že ak chcete vidieť nejaké video, potrebujete stiahnuť kódek a ponúkne vám ho na stiahnutie. Sofistikovanejší útočníci po stiahnutí softvéru prehrajú žiadané video a tak obeť nemá žiadne pochybnosti. Druhým veľmi častým spôsobom je skúšanie rôznych bezpečnostných chýb samotných prehliadačov. Táto metóda je v mnohých prípadoch úspešná, keďže podstatná časť užívateľov si neaktualizuje svoje softvérové vybavenie (často so slovami: “Veď mi slúži dobre, tak načo”). Prehliadač je dnes jednou z najzraniteľnejších častí.
Určite ste si spomenuli na antivírusovú ochranu. Áno, aj tá vám čo to pomôže, no veľmi sa spoliehať na antivírus nemôžete. Anti-vírus vás chráni pred tým, čo pozná. Pre šikovných útočníkov je otázkou niekoľkých málo minút upraviť kód malwaru tak, že ho antivírus už neodhalí. Najsofistikovanejší malware využíva rôzne techniky automatického morfovania kódu tak, že ho mení pri každom pokuse o infikáciu obete. Na tieto účely býva veľmi často používaný práve JavaScript. Žiadny antivírus na svete vás nedokáže ochraniť pred takýmto malwarom, aj keď vám spoločnosti nasľubujú hory-doly. Ak sa chcete skutočne chrániť, určite nezabudnite na svoj prehliadač a zdravý, chladnokrvný rozum. To, že ste aktuálne na dôveryhodnom webe neznamená, že sa vás nesnaží infikovať. Ak používate Firefox, odporúčam okamžite nainštalovať rozšírenie NoScript. Toto rozšírenie vám automaticky blokuje všetky pokusy o spustenie škodlivého kódu a to aj pri povolení spúšťania globálnych skriptov.
Aké dôsledky má infikovanie webu
Dôsledky pre obeť sú jasné. Na 95% sa stanete súčasťou botnetu. Vaše súkromné dáta budú pravdepodobne nazdielané na servery útočníkov a začnete zasielať obrovské množstva spamu.
Pre majiteľa webu je v prípade odhalenia infikácie dôsledkom zablokovania webu v novších prehliadačoch so zapnutou ochranou ako aj zakázaný prístup z Googlu. Prístup na infikovaný web zabezpečuje aj Google Toolbar, ak ho máte nainštalovaný. To či je web infikovaný sa zisťuje z dvoch zdrojov. Prvým je databáza, ktorú plnia samotní ľudia. Rovnako je tomu aj pri phishingu. Druhým spôsobom je tzv. Honeyclient, ktorý sa pripája spolu s Google robotom na skúmaný web a čaká, či sa objaví nejaký malware, ktorý sa pokúsi o infikáciu. Ak sa tak stane, Google robot označí web za infikovaný a ten je potom blokovaný z vyššie popísaných miest.
Google sa pri tejto službe inšpiroval dlhšie fungujúcim projektom honeynet. Nám najbližší je práve český honeynet.cz, ktorý takýmto spôsobom prechádza rôzne infikované weby a následne skúma daný malware. Davidovi sa doteraz podarilo niekoľko veľmi zaujímavých objavov botnetov, ktoré podrobne popísal na webe. V jeho databázy môžete nájsť aj konkrétne weby, ktoré úspešne infikovali klienta a ako postupovali pri prvom spustení na počítači.
Slovenské domény
Bohužiaľ, aj na u nás na Slovensku máme niekoľko webov, ktoré sú infikované a snažia sa nakaziť príchodzích návštevníkov. Domén s funkčným malwarom je dnes u nás až 100. Tieto domény som po ich objavení zahlásil do databázy, aby bola aspoň časť užívateľov chránená pred nimi. Ďalších vyše 350 domén bolo, alebo stále je infikovaným dnes už nefunkčným kódom. Napriek tomu však väčšina týchto domén obsahuje rovnú zraniteľnosť a tak je to len otázka času, kým budú opätovne infikované.
Zoznam domén s aktívnym kódom:
Zoznam domén s neaktívnym, alebo odstráneným kódom:
Informácie o infikovaných doménach môžete získať aj priamo do Googlu, ak do url zadáte konkrétnu doménu:
http://www.google.com/safebrowsing/diagnostic?site=blog.synopsi.comGoogle vám poskytne niekoľko informácií o tejto doméne.
Ochrana
V súvislosti s týmito doménami mi napadol jeden spôsob, ako by bolo možné chrániť všetkých užívateľov a to nielen tých, ktorí majú aktualizovaný a dobre ošetrený prehliadač, resp. systém. Celé riešenie spočíva v tom, nechať každý slovenský web prehľadávať robotom, ktorý bude kontrolovať, či sa na tomto webe nenachádza žiaden nebezpečný kód. Ak by sa našiel, bol by web označený za nebezpečný a kód by bol porovnaný s už existujúcou databázou, ktorú ponúka v rámci spolupráce český honeynet. Ak by bol kód potvrdený aj z tejto databázy, bol by web zablokovaný na úrovni SK-NICu, pričom by sa zobrazovala varovná hláška. Ak by kód overený nebol, doména by šla na preskúmanie odborníkovi, ktorí by ju skontroloval a v prípade potreby zablokoval.
Určite budú niektorí namietať, že je to príliš drastické riešenie a ja súhlasím. No musíte brať do úvahy aj fakt, že tieto domény (resp. weby) poškodzujú svojich návštevníkov a je to vo väčšine prípadov ich chyba (občas za to môže aj hostingová spoločnosť), že je ich web deravý a že bol infikovaný malwarom. Po zablokovaní má samozrejme majiteľ webu možnosť kód odstrániť a doména bude opäť sfunkčnená. Je potrebné si uvedomiť, že tu nejde o desaťtisíce domén, ale o niekoľko stoviek. To pri súčasnom počte cca. 170 000 slovenských domén a cca. 500 infikovaných predstavuje približne 0,3%. Takáto ochrana však môže ochrániť tisícky návštevníkov pred infikovaním škodlivým kódom.
Nebránim sa však ani iným nápadom, ak poznáte lepší spôsob ako zaručiť čo najvyššiu mieru bezpečnosti ľuďom na Slovensku.
Mne je samozrejme jasné, že pri súčasnom stave SK-NICu sa o niečom takomto ani len nedá uvažovať, ale ja pevne verím, že sa tento stav čoskoro zmení, ale o tom zase inokedy.
Zaujal vás článok? Sledujte ma na Twitteri.
Hodnotny clanok na nove informacie, mohol by som vediet ako udziavat aktualny zoznam infikovanych slovenskych domen? Tie ktore si tu spomenul som pridal aj do mojho katalogu, resp. nastavil im priznak nebezpecnych stranok.
Vdaka
“Zoznam domén s neaktívnym, alebo odstráneným kódom” – no ten zoznam asi nebude uplne presny alebo niektore weby su znova nakazene???
Napriklad domena obeckolarovice.sk – AVAST hlasi, ze nasiel vzorku VBS:Malware-gen pri pokuse o pristup na tuto domenu.
Inak k tej ochrane:
Napad s SKNICom je dobry ale tiez myslim, ze je to nerealizovatelne.
Co keby sa na taky deravy web pridal KOD, ktory by varoval uzivatelov pred malwarom :)? Spravca daneho by s tym uz potom asi nieco urobil.
vlado: nuz mam napisaneho botika v pythone, ktory prechadza vsetky zive weby a snazi sa tam identifikovat skodlivy kod. ak ho najde, da mi warning a posle req na databazu google. ked tam pride google bot, ten do par min uz vie, ci tam malware je alebo nie. ja to potom este kontrolujem rucne, lebo nie vzdy je to uplne presne, kedze sa snazia uz filtrovat prichodzie stroje.
andrej: no tie neaktivne domeny mozu byt aktivne behom sekund. v dobe ked ju navstivil moj bot (chodi len raz denne) dany kod nefungoval, teda napr iframe smeroval na mrtvu domenu, atd. update sa robi vzdy automaticky od 5 rano do nejakej 9, cize bezi priblizne teraz. tie zoznamy su tu preto, aby ste si na ne davali pozor. aj uz neaktivne kody mozu byt nebezpecne ako mozes vidiet, preto odporucam byt co najviac opatrny.
co sa tyka tej vystrahy, to zarucene nepomzoe. v sekunde ako na ten web prides a mas deravy komp, mozes mat malware pekne v pc, potom ti uz vystraha asi tazko pomoze. toto riesenie co som navrhol je mozno drasticke, ale aspon 100% ucinne.
To jee pravda, ze to neochrani uzivatela Ale aspon ho to varuje, ze ho nieco take moze postihnut resp postihlo na prave navstivenom webe.
Ak sa mu pekne v tichosti malware usadi v pocitaci tak aj ked to po case zisti, nebude vediet odkial to prislo.
Samozrejme nakoniec plati stale to iste: Za bezpecnost svojho pocitaca je kazdy sam zodpovedny.
Mate nejaky napad (jednoduchy) ako by sa dalo pravidelne testovat niekolko domen(cca10) ktore spravujem bez toho aby som ovladal pyton?
Ide mi o to aby ked sa nieco vyskytne mohol som to cim skor riesit aj ked sa snazim predchadzat takym situaciam.
Mozes prezradit akym sposobom sa snazi tvoj “pythomi” bot ;) identifikovat skodlivy kod ? Co presne hlada ?
Zablokovanie domeny je naozaj prilis drasticke uz len preto, ze to moe byt domena vyuzivana iba na maily a web nepouzivaju, akurat je na webhostingu aktivny a bol infikovany…
Lepsie by bolo informovat spravcu servera, kde je stranka ulozena. Napr. cez jeden deravy web moze skript infikovat dalsich 100 na danom serveri (pokial obsahuju adresare s pravom zapisu pre webserver – a dost systemov ma aspon 1 taky adresar na upload obrazkov a pod.)
Andrej: ked ti napisem “boli ste infikovany malwarom” za prve, uveris tomu? za druhe, co to bude pre teba znamenat? za tretie, co urobis aby si ho odstranil ked vacsina ludi ani len nevie co to je, nie to sa ho zbavit? ano, mas pravdu, za kazdy pc je zodpovedny sam dotycny clovek, kazdopadne za bezpecnost domeny (resp. webu) je zodpovedny majitel a musi cakat nasledky
andr0: bohuzial nemam. nemam, predstavu ako by si to urobil bez znalosti programovacieho jazyka, vobec to nemusi byt python. nateraz prechadzam tvoje domeny aj ja, ale nijak moc ti to nepomoze
MaCrek: samozrejme ze mozem. hladam niekolko znamych znakov. vzdy iframe a javascripty, applety a flash, silverlight a vsetky podobne prvky. ak najdem iframe, pozriem sa ci ho uz nepoznam, ak nie, snazim sa ho nasledovat (podo mnou myslim bota). ak to nie je znama domena tak ju preskumava a zistuje co sa na nej nachadza, pozera sa na jej PR a alexa rank. tieto info mi zapise. Ak nenajde ziadny exe subor, ani ziadny jar tak to ukonci. potom to riesim rucne. ak najde, okamzite oznaci domenu a snazi sa stiahnut subor.
ak je to js, tak ho jednoducho zacne de-morfovat a jeho output mi zapise do suboru, opat postupuje po rovnakych chodnickoch.
Marki: ak je na domene len mail a nebezi tam web, nemoze byt infikovana. moj bot sa nezaujima o to, ci je to na jednom alebo 70tich serveroch. zaujima ho konkretna domena, nie jej server.
ale mas pravdu, ak bude infikovany hosting, tak jednoducho mas smolu. stale si infikovany a infikujes ludi a tomu musime zabranit. to ze na to doplatia aj “nevinni” majitelia webov nik nepopiera, ale vzdy lepsie, ako ked bude cast slovakov v botnete a budu odosielat denne spam atd. nie ze by to uplne zastavilo infikovanie slovenskych pc, ale aspon to trosku pomoze znizit tieto pocty.
Suhlasim s tvrdenim, ze blokovanie nakazeneho webu na urovni DNS zaznamov SK-NICu je ucinne. Kebyze vsak zajtra zablokuje SK-NIC moj nakazeny web, zvysia mi adrenalin a budem si vymahat usly zisk a budem tvrdit ze nedodrzuju uzavretu zmluvu, nakolko domenu mam riadne zaplatenu avsak nefunkcnu (asi stav DOM_SICK, ktohovie, ci mi akurat neusiel daky dobry tender :-D). V pravidlach SK-NICu absentuje povinnost majitela udrziavat svoje stranky zdrave. Ak by tam aj takato povinnost pribudla zase nastupi otazka, kto a z akeho titulu moze robit doktora, ktory bude tvrdit, ze tato stranka je zdrava a tato nie. Mhmmm pravne otazky :-). Podla pravidiel je SK-NIC kryty ak ma vypadok kratsi ako 24 hodin – tuto klauzulu teda mozno teoreticky zneuzit na kratkodobe zablokovanie, avsak nie je to systemove riesenie.
vlk: ono sa to da riesit samozrejme aj presne opacne. z kazdej napadnutej domeny si stiahnem malware a hned ako poda majitel zalobu za usly zisk, zazalujem ho nielen za poskodenie cudzej veci, usly zisk, ale aj za kopec inych veci, ktore mi umozni zakon. samozrejme, toto by nikam neviedlo.
ako som pisal, urobit to pri dnesnom fungovani sk-nic by neslo. preto to chce najskor reorganizovat tuto spolocnost, vratit ju statu, zamestnat tam skutocne zodpovednych a znalych ludi, upravit podmienky, priniest nove sluzby, atd. ale to je uz ina pesnicka. jednoducho by sa zmluva upravila, kde by bola jasna klauzula, ze v pripade pozitivnej infikacie domeny mas jednoducho smolu.
ako som povedal, ak mas iny navrh, sem s nim. mne toto pride ako skutocne najlepsie riesenie. nie mozno dokonale pre vsetkych, ale lepsie mi nenapadlo
Dobry den, rad citam vas blog, lebo stale sa dozviem nieco zaujimave. Az teraz mam konkretnu otazku, myslim ze presne suvisiacu s temou clanku. Niekolko webov hostujeme u spolocnosti exohosting, zakaznici nas upozornli ze po nacitani stranky sa im spusti hlaska AVS. Zkotroloval som index a na konci kodu bol dodany kodovany JS. index som odstranil a nahradil novym, o den to iste a tak stale dookola. Spolosnost prevadzkujucu hosting somna to upozornil, ich odpoved opakovane bola ze problem je u nas a oni nemaju ako ho riesit. Na druhej strane islo o stat. stranky v html, bez JS a php… ziadna zmena atributov aatd….
Problem som nakoniec vyriesil tak ze v 30 min. intervaloch server spusti script, porovna velkost suborov a ak je velkost zmenena, prepise zmeneny subor, suborom zalohovanym v databaze.
Takze je to problem hostingu alebo problem pouzivatela?
Tomáš: podla toho co pises, to vyzera na problem hostingu, ale nerad by som robil urychlene zavery. moze to byt chyba aj vas, ze mate velmi slabe hesla, resp. zname hesla, alebo jednoducho chybu v niecom, nad cim si neuvazoval. skor to vsak vyzera prave na chybu exohostingu. pokial sa nemylim, pred nejakym casom niekto upozornoval na jeho strasne slabe zabezpecenie. nehladal som to, ale mozno to niekde na ggl najdes. kazdopadne, moze to byt problem ftp ktore tam maju, ktore je jednoducho stare a derave, resp. dotycny pouziva 0day zranitelnost. tazko povedat. ak sa ti to opakuje, zmen hostingovu spolocnost
Tomáš: určite si treba zmeniť FTP heslo za nejaké bezpečné, ktoré si ale neukladaj do žiadneho z FTP klientov, čo máš. Ak bude problém pretrvávať, je to chyba hostingu, ak prestane, chyba bola v uniknutom hesle a treba sa zamerať na dôkladnú kontrolu počítačov, z ktorých s kontom pracuješ.
Za posledného pol roka som počul o viacerých podobných prípadoch. Predpokladám, aj keď neviem to preukázať, že k úniku hesla dochádza tým spôsobom, že ho má dotyčný uložené v Total Commander-i alebo inom FTP klientovi, odkiaľ mu ho “ukradne” vírus.
To s ftp a TotalCommandrom mi napadlo, tak som tam zmazal heslo, zmenil a nove neulozil a stalo sa to zas… A dokonca na tom istom hostingu som mal v roote index.html -ten bol uplne prazdny, potom som tam mal adresar, nie ako subdomenu test a v nom som mal index.php -zmenilo to obe. Heslo bolo 12miestne cisla a pismena, skor to chodi nejak cez server…
Inac dik kazdemu za odpoved :-))
“bol by web zablokovaný na úrovni SK-NICu”
Ved toto nedava zmysel, ako si autor predstavuje, ze by toto mohlo fungovat? Na zaklade akych pravidiel by bol SK-NIC opravneny len tak odstavit nejaku domenu?
lukasL keby si cital vsetko, tak by si vedel. neslo by len tak o odstavenie domeny, samozrejme ze by slo o dostavenie domeny z jasneho dovodu a to po dvojitom az trojim potvrdeni, ze je domena infikovana. postupy som uz pisal. popravde, za domenu je zodpovedny prevadzkovatel a to je v mnohych pripadoch hosting, kedze ten obsahuje infikovane subory. cize by sa to mozno dalo robit aj vdaka spolupraci s hostingom, ale to skor nie ako ano. tazko povedat.
kazdopadne, ak je tvoja domena infikovana, je to tvoja chyba (resp. hostingu) a nie ludi, ktori na tu domenu pridu a su infikovani malwarom. za to musis niest zodpovednost. to ze si podcenil bezpecnost (resp. hostingova spolocnost, ktoru si si vybral ty), je uz bohuzial problem tvoj.
Neboj, cital som to poriadne.
Predpokladam, ze by so skoncilo pri staznostiach a natahovackach o nahradu moznej skody sposobenej nefunkcnostou domeny. Nikto nedokaze poriadne zistit, kto na ake ucely pouziva zaznamy danej domeny a ake sluzby by prestali byt funkcne.
3 krat za posledny polrok sa vyskytol problem s infekciou index.htm .php a inych suborov na roznych weboch klientov, ktore hostujem. Mal som tazku hlavu z toho, ci som hosting zabezpecil dobre… fakt som nic nenasiel a robil som uz paranoidne nastavenia… nakoniec sa ukazalo, ze “upravy” suborov vo weboch spravili po tom, co ukradli FTP ucty/hesla pomocou nejakych trojanov z klientskych pocitacov. Vsetky “upravy” prebehli legitimne cez FTP.
Netusim, ci trojany v klientskych PC odchytili FTP ucet/heslo sniffovanim sietovej prevadzky, alebo proste ukradli z konfiguracie TotalComandera ci ineho FTP klienta. Preto som na pochybach, ci vnutitenie uzivatelom FTP SSL bude mat nejaky efekt.
Tomáš M: je velmi pravdepodobne ze mas v pocitaci rootkit ktory ti ukradol vsetky hesla z total commanderu. Zo zaciatku odporucam pustit mrt.exe (Malicious Software Removal tool ktory je sucastou windowsu). Neviem sice ci mrt nieco najde, ale ked uz ho vyrabaju a aktualizuju tak hadam ma nejake pouzitie. Mne este nic nechytil. Dalej samozrejme pravidelne patchovat win. Dalsie veci ako odstranit rootkit najdes na nete.. Skontroluj si vsetky weby ktore si robil (hlavne tie kde si pisal do total commanderu adresu spravnym sposobom http://www.nieco.sk ak sio mal zapisane .Web Jasli v Hornej dolnej tak ti to tak rychlo trojanom nenapadnu). Mimochodom tento problem ja tu stale a neocakavam ze by sa v blizkej buducnosti nieco zmenilo,.. priznam sa uprimne ze som tento problem riesil aj u seba.. to je za trest.. nemate cumet na pracovnej masine na porno.. ;-).
Vacsina z developerov uklada hesla do total commandera, vacsina nema poriadny firewall a spolieha sa iba na antiviry. (NOD so vstavanym firewallom vyzera celkom fajn, uz ho pouzivame druhy rok a vyzera ze funguje.. aj ked.. minule tu zopar webov bolo infikovanych (na inom hostingu ako Exo, ale spominat nebudem pretoze nemozeme vediet ako tie hesla unikli)).
Oooo: o takom nastroji na kontrolu som uvazoval aj ja. Minimalne na weby co robim. Moj predstava je nasledovna. Najprv si skontrolujes web ci je cisty, potom si ho zaregistrujes do “kontrolovaca” on si ho natiahne ako odtlacok, pozrie si pocet vyskytov JS , IFRAME a pod. a zaznamena si. Potom v pravidelnych intervaloch bude robit kontrolu, ak zisti odlisny pocet vyskytov, posle ti majl. Jednoduche a ucinne, nie je potrebne ziadne porovnavanie z public databazami.
roman : tak to je pekna hlupost. snad nejaky ten developer som, a uprimne, tc ani nemam na pc. neveim ako vy, ale ked nieco robim tak sa moj editor pripaja rovno na server a hesla na weby su ulozene v nom ( to mam akoze savnut subor, skopirovat ho na web a vyskusat ci ide ? alebo nebodaj robit doma s db co ma 7.5 gb ? god bless dev. servery ).
antivir a fw, holt ked su prilis hlupy na to aby mali poriadny browser ( noscript, ze ? ) tak nehc sa necuduju ze maju virusy :) …
.. a ten total commander .. ked uz chcem ftp klienta, pouzijem ftp clienta ( hocico co hesla saltuje )
a localhost .. salamander :) in love with.
ayslix: neviem presne na co teraz reagujes ale ak na to riesenie co som opisal, tak si to precitaj este raz pozorne a ak to pochopis potom sa vyjadruj.
Developer ci nedeveloper, teraz to vyzera tak ze si to totalne nepochopil pretoze FTP pristupy nepotrebuje ani OOOO-ckove riesenie, jeho je rozdielne v tom ze sa sprava ako kvazi-antivirusovy scanner obiehajuci weby. To moje je urcene na individualne pouzitie (teda take nieco ako si pytal andr0). Je jednoduchsie v tom, ze za cistotu povodneho odtlacku zopodveda pouzivatel sam (odtlacok sa *samozrejme* natiahne cez normalne http ). Zadas http://nejakyweb.sk ono si to stiahne sucasnu verziu ktoru povazujes za cistu, dalej uz pravidelne chodi a kontroluje a informuje pri nejakej zmene v pocte “js, iframe a dalsich potencialne napadnutelnych objektov”. Chapes uz teraz ci to mam vysvetlit este jednoduchsie?
Lukas: ako som povedal, v sekunde ako by padla zaloba na usly zisk, padla by seria zalob na poskodenie cudzej veci, usly zisk nasledkom poskodenia cudzej veci, atd. dany malware sa vzdy do pc stiahne, ako potvrdenie celeho konceptu.
Robo: nuz, ako som pisal uz predtym, nemusi to nutne byt. kludne mozu byt vyuzivane php shelly, resp. remote exploity na ftp (netvrdim ze boli) a traffic bude vyzerat skutocne velmi legitimne. ale pravdepodobne to ono nebude, no i tak treba davat velky pozor na nastavenie celeho systemu a vsetkych jeho casti.
Roman: na niekolkych weboch to pouzitelne je, pretoze vies ty, kedy si urobil upravu. Teraz to aplikuj na globalnu problematiku, ze by som takto riesil 170 000 domen (ok, funguju 2/3, ale aj tak). kazdy den by som mal tak 70% domen zmenenych, lebo kazdy sa v nich vkuse rype. toto nie je pouzitelne riesenie. ten moj sposob je velmi ucinny dodnes som nemal jediny FP (klop klop). samozrejme, overovanie s databazou je len kontrolna vec, mne dokoncale funguje hladanie zhodnych znakov, ktore sa moc obchadzat nedaju. celkom mi ma zlozil odkaz na exe subor, s cim skutocne nepocitam. ale inak, vsetko ostatne by malo byt viac menej pokryte.
ayslix hovoril o pouzivani total commanderu atd., nie na tvoj navrh.
inak si mi vnukol napad. mohol by som urobit windows, resp unix-like bota a dat ho von pod nejakou licenciou, ktory ti nieco taketo oznami vzdy, ked k tomu dojde. to by mal byt minimalny problem. najviacsi problem je zaindexovat cely web. najcastejsie su vsak infikovane hlavne stranky, takze by som to urobil zatial asi na to.
btw. riesim teraz dilemu, ako indexovat, resp. zistit, ci ma domena subdomeny. zatial som neprisiel na ziadne silver bullet riesenie. ak vam nieco napadne, sem s tym
roman : ja som reagoval na toto
“Vacsina z developerov uklada hesla do total commandera, vacsina nema poriadny firewall a spolieha sa iba na antiviry.”
vase protimalware riesenia su mi .. maximalne ukradnute. ked sa uz hrame na bigtime firmu tak mame aspon jeden vlastny dedicate server na ktory nieje pristup z *.* ale pouzivame tabulku allowed ipciek, niekedy mozno aj sifrujeme data ktore na neho tecu a cuduj sa svete, mame niekolko milionov visits denne, niekolko desiatok webov ( mozno aj stoviek ) a … ani na jednej nebol ziadny malware .. nikdy.
a to protimalware riesenie .. tak mne je to viacmenej jedno. toto hovor zakaznikom, na nich asi urobi dojem ze ked vam unikli vsetky pristup data tak ste to vyriesili tym ze cas od casu tie weby fixnete …
prepac, ale fakt nevidim absolutne ziadny rozdiel medzi nezabezpecenym pc z ktoreho sa da na ten web dostat a medzi velkym sql injectom/xss.
slovensko.
OOOO, tvoje riesenie je ok. Len ma trosku iny ciel a je tazsie realizovatelne.
Ayslix, co sa tyka tvojich truhlíkovín, tým môžeš ohurovať deti na základnej škole, mne z toho sánka nespadne. Zjavne nezvládaš emócie. Najviac sa mi páči ako začneš v jednom odstavci ako ti je moje “protimalware riesenie” ukradnuté a potom tu splietaš nejaké teórie. Sklidni hormón.
Roman
oooo: co sa tyka toho total commanderu, kazdy ma svoje oblubene veci. No mozno to nebudu taki uzasni developeri ako ayslix, ale podla mojho skromneho nazoru, je uplne jedno ake nastroje pouzivas, dolezity je vysledok. To ze je kopec ludi co si don uklada hesla sa mozno casom potvrdi ked sa tento trojan rozsiri. Myslim ze jeho era este nenastala, aj ked som teda od konca 2007 cakal vacsi boom ako len zopar stovak sajtov.
roman: ano to moje riesenie je zlozitejsie, pretoze musi byt. nemam inu moznost, resp. mi dodnes nic ine nenapadlo. samozrejme, pre lokalne ucely, alebo skor ucely konkretnej osoby je tvoje riesenie o nieco lepsie, kedze nevyzaduje take nasadenie, zlozitost a kopec inych veci okolo.
to k tomu tc som pisal ako odpoved na tvoju otazku k asylixovi, ze nevies co komentuje. ja samm tc rad pouzivam, taktiez tam mam hesla a vobec mi to nevadi. podla mna je dnes najdolezitejsie mat zabezpecene tri veci. OS, browser a mailklienta. ked mas aktualizovany os, resp drzis sa spravnych sec. zasad, ked mas dobre osetreny browser a mas dobreho mail klienta (nie outlook), tak sa riziko znizuje o mozno aj 98%.
oooo: Bez debaty.
co mam robit aby som nebol na ciernej listine , ked uz moj web bol oznaceny.
google vypisal:
“Hostí táto stránka škodlivý softvér?
Nie, táto stránka za posledných 90 dní nehostovala škodlivý softvér.”
ako postupovat ?
koho ciernej listine? ak google neeviduje web ako infikovany, tak je predsa vsetko v poriadku, nie?
no vsetko v poriadku ani nie . neviem kto vytvaral tu listinu domen, a teraz je moja domena oznacovana antivirusom nod ako ze je nan nej malware. cize ked explorera si zadam stranku … (nebudem to tu teraz pisat aku konkretne to iba v usej debate ) tak mi zahlasi ze tam bol vir a presmeruje respektive nepusti ma na danu stranku
#31 martin: ver mi, ze tento zoznam nema nic spolocne s esetom a ani nikym inym. tento zoznam bol priamym obrazom toho, ako boli jednotlive domeny identifikovane mojim robotom v tej dobe a potvrdene googlom. silne pochybujem, ze by eset to bral za vzor. chybu musis hladat niekde inde
ahaa urobil som par zasahov do stranky viete alebo vies mi ju pozriet robotom ako a ci sa nieco zmenilo ?
Ahoj všetkým. Na túto diskusiu som narazil čiste náhodne, preto taká oneskorená reakcia. Nebudem sa púšťať do odborných diskusií ohľadom kontroly stránok a podobne, keďže sa nepovažujem za neakého extrémne profesionálneho odborníka. Zaujala ma ale diskusia o právnych následkoch. Pravdou je, že ak by bol môj web zablokovaný z dôvodu /či už oprávneného, alebo nie/ údajnej distribúcie akejkoľvek hávede, okamžite by som podal žaloby dve, jednak na prevádzkovateľa hostingu, ktorý mi web zablokoval, tu by to bola žaloba za ušlý zisk a jednak na neznámeho páchateľa, ktorý môj web “nakazil”. Verím tomu, že ak by ktokoľvek podal recipročnú žalobu voči mne za údajné poškodenie veci, mal by veľkú smolu. Na Slovensku totiž neexistuje žiadny právny predpis, ktorý by mi prikazoval môj web nejakým spôsobom chrániť a už vôbec nie, aká úroveň ochrany je vyžadovaná. Okrem toho nakazenie webu vírusom, alebo čímkoľvek s veľkou pravdepodobnosťou spôsobila iná osoba, takže nie je možné brať na zodpovednosť mňa, som len človek, ktorý či už z dôvodu nezáujmu, nevedomosti, alebo nedostatku prostriedkov nedokáže svoj web ochrániť.
Ani krátkodobé zablokovanie so strany SK.NICu by neprinieslo výsledky, práve napak, spôsobili by si ďalšie problémy. Ak by mi web zablokovali niekoľkokrát krátkodobo, samozrejmosťou by bolo podanie žaloby a ak by sa im nepodarilo preukázať, že to isté robia so stovkami ďalších domén a vyšlo by najavo, že moja doména bola blokovaná práve kvôli údajnej distribúcii čohosi, asi by mi zase hradili ušlý zisk.
Som rád, že sa na Slovensku diskutuje o takýchto veciach, len ma mrzí, že sa vždy hľadá vina vo vlastníkoch domén, alebo ich hostingoch. Rád by som vedel, kedy sa už niečo začne robiť s pôvodcami problémov, právny poriadok nám to umožňuje.
#34 Surehand: najskor sa ti chcem podakovat za nazor, urcite je cennym prinosom do diskusie.
aby som celu situaciu objasnil. domenu by ti blokoval sk-nic. mozno to nevies, ale domenu v skutocnosti nevlastnis, len si ju prenajimas. to znamena, ze sk-nic by pri novej zmluve (domena sa da kupit len na jeden rok) jednoducho pridal podmienku, ze ak je tvoja domena nakazena, tak bude docasne odstavena do vyriesenia problemu. potom mozes davat zalobu na koho chces. hostingova spolocnost s tym nic nema a ty si suhlasil s podmienkami. pravny poriadok, nech uz je akokolvek nedokonaly nikdy nevyriesi povodcov vsetkych tychto problemov. ti su v krajinach na ktore nema ziadny stat paku a taktiez velmi dobre vedia co a ako robia, cize ich pravdepodobne nikdy nikdo nenajde (aj keby to bol rovno tvoj sused). tu je jedina moznost a to chranit uzivatelov aj za cenu poskodenia majitela webu. ina cesta tu proste nevedie. aj samotny google ci firefox ti zablokoje web, ak sa na nom najde malware, co ma zarucene podobne nasledky (nie rovnake, ale podobne).
ak mas iny napad, rad si ho vypocujem