Эксплуатация уязвимости – противостоим модулем «Проактивная Защита» 1С-Битрикс

19.04.2012

Это продолжение первой статьи, где рассказывается теоретическая часть того как можно эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в прошлой статье – универсальные методы, которые могут быть использованы для нанесения вреда сайту на практически любой системе управления.

В данном материале мы разберём некоторые более конкретные способы нанесения эксплуатации и противодействия им. Напомним, в рамках этих материалов делается допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у злоумышленника и которую нет возможности закрыть администратору (по крайней мере до момента обнаружения её эксплуатации).

уязвимость web проекта

В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что провели исследование в данной области до конца), а в основном ограничимся файловыми эксплуатациями.

Рассмотрим 3 основных способа:

Способ 1 – заражение публичных файлов или файлов ядра CMS

По сути, самая примитивная эксплуатация.

Изменения легко обнаруживаются в часто изменяемых файлах администратором, редакторами или разработчиками.

В редко редактируемых служебных файлах изменения обнаружить «вручную» очень непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы управления контентом даже в минимальных редакциях редко когда могут похвастаться цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна!

Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс (Веб-антивирус и Проактивный фильтр успешно справляются с вырезанием большинства представителей таких зловредов, дополнительную степень безопасности от «слива трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно работал!

ВНИМАНИЕ! Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит он может отключить модуль (легко обнаруживается администратором) или внести собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о том, что записи исключений хранятся в базе данных в явном виде! Это критично, если вы используете журнал событий в качестве монитора авторизаций пользователей и контролируете несанционированный доступ к административному разделу!!!

Мониторинг осуществляется с помощью инструмента «Контроль целостности файлов» модуля Проактивная защита 1С-Битрикс – регулярно создавайте реперные точки, не забывайте периодически скачивать и на локальный компьютер или отдельное файловое хранилище! Для многих других CMS существуют аналогичные плагины или скрипты (качество их работы очень различное, так что необходима проверка надёжности работы).

Способ 2 – заражение файлов кеша

Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1С-Битрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в большом количестве, а спустя определённое время должен удаляться, поэтому слежение за ним очень затруднительно).

Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса делает практически необнаруживаемую эксплуатацию. Работает для всех существующих CMS по описанным выше причинам.

Эксплуатация предотвращается использованием кеширования в оперативной памяти сервера (не всегда возможно в случае виртуального хостинга, а так же накладывает определённые ограничения на ресурсы сервера).

Способ 3 – создание вредоносного кода в директории для бекапирования

Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в настоящее время. Помните о возможности такого сценария и регулярно проверяйте не появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в случае падения сервера они могут быть повреждены так же, как файлы и БД самого сайта).

В других CMS так же возможны определённые директории «служебного пользования», где может оказаться подобный «зловред» - внимательно изучите архитектуру своего движка!

Обратите внимание, что данные способы эксплуатации могут быть в значительной мере предотвращены лишь комплексно. Обратите самое пристальное внимание на модуль Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш ресурс от вторжений. Однако даже самый параноидальный режим безопасности не исключает нахождения и эксплуатации очень ограниченной локальной уязвимости злоумышленником – регулярно проводите аудит своего ресурса.

Эксплуатация уязвимости – противостоим модулем «Проактивная Защита» 1С-Битрикс

Это продолжение <a href="/information/ekspluatatsiya_uyazvimosti_skrytye_ot_administratora_zlovredy/" title="Эксплуатация уязвимости – скрытые от администратора «зловреды»" >первой статьи</a>, где рассказывается теоретическая часть того как можно эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в прошлой статье – универсальные методы, которые могут быть использованы для нанесения вреда сайту на практически любой системе управления. В данном материале мы разберём некоторые более конкретные способы нанесения эксплуатации и противодействия им. Напомним, в рамках этих материалов делается допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у злоумышленника и которую нет возможности закрыть администратору (по крайней мере до момента обнаружения её эксплуатации). <img src="/upload/medialibrary/8d4/8d4710cee8254bf2f751dd8df37d7b12.png" title="уязвимость web проекта" hspace="5" vspace="5" border="0" alt="уязвимость web проекта" width="700" height="942" /> В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что провели исследование в данной области до конца), а в основном ограничимся файловыми эксплуатациями. Рассмотрим 3 основных способа: <h2 style="text-align: justify; ">Способ 1 – заражение публичных файлов или файлов ядра CMS</h2> По сути, самая примитивная эксплуатация. Изменения легко обнаруживаются в часто изменяемых файлах администратором, редакторами или разработчиками. В редко редактируемых служебных файлах изменения обнаружить «вручную» очень непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы управления контентом даже в минимальных редакциях редко когда могут похвастаться цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна! Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс (Веб-антивирус и Проактивный фильтр успешно справляются с вырезанием большинства представителей таких зловредов, дополнительную степень безопасности от «слива трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно работал! ВНИМАНИЕ! Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит он может отключить модуль (легко обнаруживается администратором) или внести собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о том, что записи исключений хранятся в базе данных в явном виде! Это критично, если вы используете журнал событий в качестве монитора авторизаций пользователей и контролируете несанционированный доступ к административному разделу!!! Мониторинг осуществляется с помощью инструмента «Контроль целостности файлов» модуля Проактивная защита 1С-Битрикс – регулярно создавайте реперные точки, не забывайте периодически скачивать и на локальный компьютер или отдельное файловое хранилище! Для многих других CMS существуют аналогичные плагины или скрипты (качество их работы очень различное, так что необходима проверка надёжности работы). <h2 style="text-align: justify; ">Способ 2 – заражение файлов кеша</h2> Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1С-Битрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в большом количестве, а спустя определённое время должен удаляться, поэтому слежение за ним очень затруднительно). Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса делает практически необнаруживаемую эксплуатацию. Работает для всех существующих CMS по описанным выше причинам. Эксплуатация предотвращается использованием кеширования в оперативной памяти сервера (не всегда возможно в случае виртуального хостинга, а так же накладывает определённые ограничения на ресурсы сервера). <h2 style="text-align: justify; ">Способ 3 – создание вредоносного кода в директории для бекапирования</h2> Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в настоящее время. Помните о возможности такого сценария и регулярно проверяйте не появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в случае падения сервера они могут быть повреждены так же, как файлы и БД самого сайта). В других CMS так же возможны определённые директории «служебного пользования», где может оказаться подобный «зловред» - внимательно изучите архитектуру своего движка! Обратите внимание, что данные способы эксплуатации могут быть в значительной мере предотвращены лишь комплексно. Обратите самое пристальное внимание на модуль Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш ресурс от вторжений. Однако даже самый параноидальный режим безопасности не исключает нахождения и эксплуатации очень ограниченной локальной уязвимости злоумышленником – регулярно проводите аудит своего ресурса.