Как взломать сайт через внедрения веб-шелла? Как защититься от взлома

Любой интернет-ресурс, находящийся в открытом доступе, становится потенциальной мишенью для злоумышленников. Причин для взлома сайта может быть несколько, начиная от нанесения ущерба репутации вашей компании или получения материальной выгоды и заканчивая банальным хулиганством. Но в любом случае взлом нанесет урон сайту — потому стоит заранее изучить и способы, которыми пользуются злоумышленники, и методы, которыми можно злоумышленникам противостоять.

 



Большинство атак на корпоративные ресурсы подразумевают внедрение веб-шеллов — кода, который дает возможность управлять пораженными машинами извне сети. Web shell — это сценарий, который загружается на сервер и служит для удаленного администрирования. Вредоносным он становится только тогда, когда им управляет злоумышленник. И в этом случае он представляет серьезную угрозу.

Зараженный сервер не обязательно должен быть подключен к интернету — он может располагаться во внутренней сети компании. Тогда веб-шелл применяется для получения доступа к другим хостам с критически важными приложениями или информацией.

Способ загрузки шелла или бэкдора на сайт

Начнём с того что эта возможность даёт нам полный доступ к сайту и файлам в целом. Принцип следующий: мы внедряем файл с шеллом в сайт при его обновлении или прочего. Обо всём по порядку. Для начала нужно получить сам шелл. Скачать его можно по ссылкам ниже:
https://mega.nz/#!bixCwCQB!cnGyQajFRz-bAovtAFwVL1AQNtmfS9TXkVMDzfjSROY
https://yadi.sk/d/9sqHTJ0PnJiF-g



Для запуска нужен python 2.7 . Для создание нашего шелла нужно запустить файл start.bat, и в папке output появится файл (название может быть другое). Теперь нужно внедрить шелл в файлы сайта. На примере буду использовать инсталятор WordPress. Просто помещаем файл в любую папку (в нашем случае в папку wp-content) и файл переименуем в wp-index.php для отвлечения внимания:

Обратите внимание, что в папке с шеллом не должно быть файла .htaccess, иначе будет ошибка. Шелл загружен. Теперь нам нужно узнать когда можем угнать сайт, то есть, когда кто-то поместит его в сеть и на сервере. Для этого нам поможет сервис blueclouddrive.com

Переходим на сайт, прописываем почту GMAIL (ВАЖНО), ставим отметку CLONE SITE и туда же прописываем опять же почту.

Нажимаем Generate Token и переходим в раздел Cloned site JavaScript. Копируем код. Его нужно поместить в файл сайта, который открывается по умолчанию. Так как мы за пример взяли WordPress то этим файлом будет header.php темы.

Сохраняем файл и предоставляем куда-то в общий доступ. Допустим, жертва разместила файлы на сервер или хостинг, и как только она откроет сайт — мы сразу же получим уведомление на почту. В пункте с «Clone site is at:» мы видим домен, где расположен сайт.

Переходим на домен жертвы и дописываем путь к шеллу. В нашем случае ссылка будет выглядеть так: http://site.com/wp-content/wp-index.php
Перед нами будет наш шшел. Логинимся с паролем «b374k». Таким образом, мы получим список файлов и можем переходить по папка, изменить и смотреть файлы и т.д. Выглядит шелл примерно так, как на картинке.

 

Теперь вы знаете как ваш сайт могут взломать хакеры. Впредь скачивайте и устанавливайте программы и скрипты исключительно из официальных источников. Или более тщательней проверяйте все скачанные вами файлы скриптов и плагинов.

Обнаружение шелл-кода на взломанной машине

Хакеры, дорожащие своей свободой и репутацией, пишут шелл-коды, используя техники, скрывающие их атаку. Так, типичная система обнаружения вторжений (англ. IDS) обычно просматривает весь входящий сетевой трафик в поисках структуры, специфичной для шелл-кода. Если IDS находит такую структуру, то пакет, содержащий эту сигнатуру, уничтожается до того, как он еще достигнет своей цели. Однако слабая позиция IDS состоит в данном случае в том, что если трафик закодирован, то распознать его не удастся. Теперь ты улавливаешь, почему так ценно шифрование?

Взлом сайта — инцидент неприятный сам по себе, потому что любые неполадки в работе отражаются и на репутации компании, и на эффективности бизнес-процессов. Но при этом разные виды взлома могут приводить к разным последствиям:

  • При утере паролей или их смене злоумышленником владелец полностью теряет контроль над ресурсом и информацией, хранящейся на серверах.

  • DDOS-атака делает сайт неработоспособным, что критично для информационных порталов, новостных сайтов и интернет-магазинов (репутационные и финансовые потери могут быть колоссальными).

  • При краже баз данных все зависит от характера похищенной информации. Клиентская база обычно используется для спам-рассылок, платежные данные клиентов могут применяться для финансовых махинаций.

  • Сам сайт при взломе может использоваться как площадка для показа рекламы или для переадресации пользователей на страницы с вредоносными скриптами. В последнем случае любой посетитель вашего сайта рискует получить на свой ПК или смартфон несколько вирусов — большая часть из них настроена на получение доступа к устройству или хищение персональных данных.

Даже если прямых финансовых убытков и потери контроля удастся избежать, ущерб будет ощутимым. Сокращение трафика из-за технических проблем и ущерба репутации практически гарантировано. Кроме того, взлом сайта — это повод для санкций со стороны поисковых систем, потому пренебрежение безопасностью сведет на нет все вложения сил и средств в поисковое продвижение и SEO оптимизацию.

Защита от взломов и предосторожности

Если взглянуть на ситуацию с корпоративной точки зрения, можно усвоить несколько уроков:
  • Всегда будьте осведомлены о том, что находится на ваших серверах. Сотрудники, сами того не подозревая, могут создать брешь в ваших системах, которые содержат конфиденциальные данные.
  • Все то же самое относится и к операционным системам (Windows, OSX и Android). Обычно взламываются не сами ОС, а дополнительные программы, установленные на них. Используйте только те программы, которые вам действительно нужны, и регулярно устанавливайте обновления к ним.
  • Тесты, тесты и еще раз тесты. Даже если плагин работает и взят из надежного источника, нельзя быть уверенным в том, что код этого плагина безопасен. Даже если у вас есть возможность провести тестирование своими силами (и тем более, если у вас такой возможности нет), наймите профессионального пентестера веб-приложений. Вся ваша компания находится под угрозой.
Если посмотреть на ситуацию с точки зрения отдельного пользователя, следует сделать те же самые выводы лишь за тем исключением, что масштабы могут быть не такими большими, как в случае с корпорацией. В любом случае помните о том, что если не предпринять мер предосторожности, ваше увлечение никогда станет работой вашей мечты, а малый бизнес никогда не станет большим.

Возможности CMS по защите сайта от взлома можно расширить путем установки дополнительных плагинов. Выбор их достаточно обширен, функционал разнообразен — так что можно найти решения и для «фоновой» защиты от вирусов, и для систематического эффективного сканирования, и для создания резервных копий важной информации.

Примеры таких плагинов:

  • Wordfence

  • iThemes Security

  • Sucuri Security

Некоторые плагины универсальны, некоторые — совместимы только с конкретными CMS. Какая бы технология ни использовалась для взлома сайта, несанкционированный доступ к ресурсу может причинить значительный ущерб (и финансовый, и репутационный). При этом защищаться от взлома нужно комплексно, начиная от выбора хостинга и подбора достаточно защищенной CMS и заканчивая регулярной сменой паролей. Только в этом случае все вероятные направления атаки будут перекрыты — и риск взлома будет минимальным. Оставайтесь осведомленными, оставайтесь аккуратными, оставайтесь в безопасности.

RuCoreNET - лучшее для вас!


Поделись статьей с друзьями


98 просмотров


0 0 vote
Рейтинг статьи
Подписаться
Уведомление о
guest
1 Комментарий
Oldest
Newest Most Voted
Inline Feedbacks
View all comments


Do NOT follow this link or you will be banned from the site!
1
0
Would love your thoughts, please comment.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: