Лечение мобильных, поисковых редиректов и дорвеев на...
DESCRIPTION
- Зачем взламывают сайты - Какие виды вредоносного кода встречаются на сайте - Как поймать, проанализировать и удалить мобильный и поисковый редирект - Как найти и удалить дорвеи - Угрозы спам-рассылок, дефейс, нагрузка на cpu - Реальные кейсы по лечению сайтов компании "Ревизиум"TRANSCRIPT
Сайт после взлома: удаление редиректов и дорвеев
Григорий Земсков, компания “Ревизиум”
Вебинар PENTESTIT
О себе
“Ревизиум” – лечение и защита сайтов
– Григорий Земсков, директор– Разработчик сканера “AI-Bolit”
© “Ревизиум”, 2014, www.revisium.com
Причины взлома
1. Заработок 2. Тренировка3. Хулиганство или сведение счетов
© “Ревизиум”, 2014, www.revisium.com
Следствия взлома
1. Вирусы или несанкц. реклама2. Редиректы3. Дорвеи4. Спам рассылка5. Black Hat Seo, фишинг, дефейс и
другое© “Ревизиум”, 2014, www.revisium.com
“Закладки” и лазейки
• Веб-шеллы, бэкдоры, аплоадеры• Менеджеры БД (sxd, pma,
mysqladminer)• Инжекты в сервисы• Привилегированная учетная запись• suid/guid файлы © “Ревизиум”, 2014, www.revisium.com
[1] Вирусы
<script … /><iframe… /><embed …/><object… />html tags© “Ревизиум”, 2014, www.revisium.com
[2] Редиректы
Несанкционированная переадресацияМобильные / поисковые / загрузкаДля чего:• Воровство посетителей• Партнерские программы• Drive-By Downloads© “Ревизиум”, 2014, www.revisium.com
[2] Как работают
• Строка user agent, ip адрес для определения мобильной сети или страны,время захода, cookie, ссылающийся сайт или поисковая система, url страницы
© “Ревизиум”, 2014, www.revisium.com
[2] Статические
• Код всегда на странице или в файле
• Редирект на один и тот же ресурс• Вставка в .htaccess, nginx.conf,
javascript или файл .php• Легко поймать и удалить© “Ревизиум”, 2014, www.revisium.com
[2] Динамические
• Код вставляется эпизодически• Редирект на разные ресурсы• Учитывает параметры пользователя• Инжект в сервер, код php +
javascript• Сложно поймать и удалить© “Ревизиум”, 2014, www.revisium.com
[2] Анализ
• Панели веб-мастера поисковых систем
• Специализированные сервисы (YaGo, Sucuri)
• Инструменты разработчика браузеров
• Снифферы траффика © “Ревизиум”, 2014, www.revisium.com
[2] Типы
• Серверные (301/302 HTTP статус)• Клиентские (скрипты, flash, activeX)• Смешанные (на сервере
формируется клиентский код)
© “Ревизиум”, 2014, www.revisium.com
[2] Пример серверного 1
© “Ревизиум”, 2014, www.revisium.com
[2] Пример серверного 2
© “Ревизиум”, 2014, www.revisium.com
[2] Как воспроизвести
© “Ревизиум”, 2014, www.revisium.com
• Запрос с подменой User Agent и поля Referer (инструменты Simple REST Client, Chrome UA Spoofer, HTTP Sniffer’ы / Wireshark)
[2] Как воспроизвести
© “Ревизиум”, 2014, www.revisium.com
• User Agent Spoofer (Chrome)
[2] Как воспроизвести
© “Ревизиум”, 2014, www.revisium.com
• Simple REST Client (Chrome)
[2] Анализ сессии
• Инструменты разработчика браузеров
• Снифферы (например, Wireshark)
© “Ревизиум”, 2014, www.revisium.com
[2] Статический анализ• Поиск по файлам• Сканер AI-Bolit
© “Ревизиум”, 2014, www.revisium.com
[2] Пример обнаружения
© “Ревизиум”, 2014, www.revisium.com
[2] Анализ браузерных
© “Ревизиум”, 2014, www.revisium.com
[2] Setup для сниффинга
© “Ревизиум”, 2014, www.revisium.com
[2] Снятие HTTP сессии
• Подключить устройство в режиме internet pass-through• Очистить куки браузера и историю посещений в м. браузере• Зайти в поисковую систему, набрать адрес сайта• Запустить запись в Wireshark• Кликнуть по странице сайта в результатах поискового запроса© “Ревизиум”, 2014, www.revisium.com
[2] Анализ сессии
1. Фильтр по http2. Анализировать с последней
переадресации3. Поиск по данным4. Используем Follow TCP Stream5. Выстраиваем цепочку переходов6. Выясняем исходный домен7. Ищем его в коде скриптов, конфигах
или БД
© “Ревизиум”, 2014, www.revisium.com
[2] Полезные ссылки
1. http://www.wireshark.org/2. http://zorrobot.ru/tool/yago.php 3. http://sitecheck.sucuri.net/scanner/4. http://revisium.com/ai/ 5. http://webmaster.yandex.ru/6. http://www.google.com/webmasters/ © “Ревизиум”, 2014, www.revisium.com
[2] Кейс “Редирект”
• Воспроизводим редирект• Снимаем сессию в Wireshark• Ищем код в скриптах• Ищем код в БД• Удаляем код в БД• Перепроверяем редирект© “Ревизиум”, 2014, www.revisium.com
[2] Ищем код в WShark
© “Ревизиум”, 2014, www.revisium.com
[2] Ищем код в WShark
© “Ревизиум”, 2014, www.revisium.com
Последний редирект Первый редирект
[2] Кажется, нашли
© “Ревизиум”, 2014, www.revisium.com
[2] Вот он где спрятался
© “Ревизиум”, 2014, www.revisium.com
[2] Нет кода :( В БД?
© “Ревизиум”, 2014, www.revisium.com
[2] Ищем код в БД
© “Ревизиум”, 2014, www.revisium.com
[2] Нашли!
© “Ревизиум”, 2014, www.revisium.com
• Чистим код• Чистим кэш• Проверяем
Редиректа нет!
[2] Другие варианты
• Вставляться из кода модулей• Подгружаться с удаленного
сервера• Вставляться на уровне сервера• Вставляться на уровне дин.
библиотек© “Ревизиум”, 2014, www.revisium.com
[3] Дорвеи
• Black Hat SEO страницы• Содержат контент + ссылку• Вредят с т.з. SEO• Статические или динамические
© “Ревизиум”, 2014, www.revisium.com
[3] webmaster.yandex.ru
© “Ревизиум”, 2014, www.revisium.com
[3] SERP
© “Ревизиум”, 2014, www.revisium.com
[3] Как искать
• Проверяем каталоги из webmaster’a• Если их нет, но дорвей открывается
– ищем фрагменты адресов в .htaccess
© “Ревизиум”, 2014, www.revisium.com
[3] .htaccess
© “Ревизиум”, 2014, www.revisium.com
[3] Дорвей (оригинал)
© “Ревизиум”, 2014, www.revisium.com
[3] Дорвей (декодирован)
© “Ревизиум”, 2014, www.revisium.com
[3] Что делать дальше?• Удаляем конфиг + скрипт или
файлы• Настраиваем статус 404 для
страниц• Запрещаем их в robots.txt• Проверяем спам-страницы• Ждем обновления поискового
индекса
© “Ревизиум”, 2014, www.revisium.com
[3] .htaccess / robots.txt
© “Ревизиум”, 2014, www.revisium.com
[3] Проверяем запрос
© “Ревизиум”, 2014, www.revisium.com
Другие угрозы
• Спам-рассылки• Фишинговые страницы• Линкфермы / Black Hat SEO ссылки /
клоакинг• Дефейс, рост нагрузки на CPU и
др…© “Ревизиум”, 2014, www.revisium.com
Вопросы?
Спасибо!
Григорий Земсков, компания “Ревизиум”Лечение сайтов и защита от взлома
www.revisium.com, [email protected]
© “Ревизиум”, 2014, www.revisium.com