Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Распределенная брутфорс-атака на CMS с точки зрения хостера

Rusonyx
Не секрет, что попытки подбора пароля методом перебора (брутфорс) — постоянное явление. Подбирают пароли к серверам и виртуальным машинам, к админкам сайтов и FTP-аккаунтам, к почтовым ящикам и социальным сетям.

Обычно брутфорс идет в фоновом режиме и практически не заметен для владельцев ресурсов, т.к. не создает значительную нагрузку и не мешает работе сайта, по крайней мере до тех пор, пока злодеи не проникнут на сервер :)

1 августа началась, пожалуй, самая мощная в рунете брутфорс-атака на сайты, созданные с помощью самых распространенных бесплатных CMS: Wordpress, Joomla! и др.

Графики из мониторинга нагрузки

И вот как это было:
Читать дальше →
Всего голосов 34: ↑30 и ↓4 +26
Просмотры27.5K
Комментарии 38

Защита от DDoS атак как сервис ВымпелКом — и история о выигранных тендерах

Билайн БизнесИнформационная безопасность
Когда объявляется крупный онлайн тендер, иногда случается так, что одна заявка приходит довольно быстро, а затем площадка с тендером ложится под крепкой DDoS атакой. Атака странным образом заканчивается в момент окончания тендера. Поскольку одна заявка поступила, именно она и выигрывает. С такой проблемой (как и с обычными DDoS атаками от недоброжелателей и шантажистов) сталкиваются многие наши корпоративные клиенты.

Теперь мы обеспечиваем защиту как сервис. Делается это на двух уровнях: установкой железа Radware DefensePro у клиента и при необходимости переключением трафика на наш центр очистки.



Максимальная мощность атаки — 80 Гб/с (на уровень приложений, более мощные тоже фильтруются, но уже без гарантий по отсутствию потерь легитимного трафика), планируем по мере необходимости расширять до 160. Время от начала до отражения атаки на стороне клиента — 18 секунд максимум, на стороне центра очистки данных — до 40 секунд с учётом времени переключения трафика. При переключении потерь трафика не происходит.
Читать дальше →
Всего голосов 39: ↑30 и ↓9 +21
Просмотры24.2K
Комментарии 65

И опять атака на сайты Wordpress — перебор + XMLRPC

Информационная безопасностьWordPress
С полудня субботы на моем сервере, где хостится около 25 сайтов на Wordpress, начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 — ровно год назад, атака 2 — в марте) не замеченными, то я не сразу понял, в чем дело.

Когда разобрался, то выяснилось, что идет перебор паролей + множество запросов к XMLRPC.

В результате удалось это все отсечь, хотя и не сразу. По катом три простых приема, как этого избежать.
Читать дальше →
Всего голосов 44: ↑37 и ↓7 +30
Просмотры63.8K
Комментарии 21

Подарок от VmWare или как заблокировать свой сервер на хостинге

Информационная безопасность
 jail     Вернувшись в субботу вечером с увеселительной прогулки за грибами, я обнаружил странное состояние ноутбука:
— интернет не работает;
— VPN с сервером установлен и работает.
Отключив VPN, я немедленно получил «письмо счастья» от Hetzner:
Dear Sir or Madam
Your server with the above-mentioned IP address has carried out an attack on another server on the Internet.
This has placed a considerable strain on network resources and, as a result, a segment of our network has been adversely affected.
Your server has therefore been deactivated as a precautionary measure.
A corresponding log history is attached at the end of this email.


    На сайте robot.your-server.de было указано, что был заблокирован только один IP из трех, и основной функционал сервера работает, что немного облегчало задачу.
    Что это? Сервер поломали? Неожиданный эффект моего теста с открытым ресолвером? Мой ноутбук подцепил malware или botnet?
Читать дальше →
Всего голосов 52: ↑39 и ↓13 +26
Просмотры27.1K
Комментарии 31

#NoHacked: устранение последствий взлома с загрузкой URL, содержащих бессмысленный текст

Google DevelopersИнформационная безопасностьРазработка веб-сайтовПоисковые технологии
Перевод
Привет, Хабрахабр! Сегодня в рамках кампании #nohacked мы хотели бы поговорить о том, как решить проблему с несанкционированным внедрением контента на сайт. Даже если вы не подвергались такой атаке, не пренебрегайте нашими рекомендациями – они помогут защитить ваш ресурс и от других методов взлома. Следите за обсуждением в Twitter и Google+ с помощью хештега #nohacked (см. часть 1, часть 2, часть 3, часть 4).

NoHacked: устранение последствий взлома с загрузкой URL
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры12.2K
Комментарии 2

Что угрожает вашему сайту после установки онлайн-консультанта и как мы с этим боремся

RedHelperИнформационная безопасностьSaaS / S+SРазработка под e-commerce
Разрабатываемые нами сервисы — онлайн-консультант RedHelper и обратный звонок RedConnect работают с личными данными посетителей, и потому требуют очень тщательного подхода к безопасности как клиентской части виджета, так и к серверной. В этой статье мы немного расскажем о том, какие типы угроз могут ожидать Ваш после установки различных виджетов, и как мы обеспечиваем безопасность в наших продуктах.

Disclaimer: Если Вы разбираетесь в типах угроз и противодействию им — можете смело листать ленту дальше, так как ничего нового Вы, скорее всего, не узнаете. Но если аббревиатуры MITM, XSS или XFRS для вас ничего не значат, и у вас на сайте стоит один или несколько виджетов — сегодня Вы можете узнать много нового.

Читать дальше →
Всего голосов 18: ↑10 и ↓8 +2
Просмотры6.4K
Комментарии 11

В приложении AirDroid была найдена критическая уязвимость, которая позволяет проводить MitM-атаки

Inoventica ServicesИнформационная безопасностьРазработка мобильных приложенийРазработка под Android

Специалисты по информационной безопасности из компании Zimperium провели анализ популярного приложения AirDroid и обнаружили, что в нем присутствует критическая уязвимость. Об этом сообщается в их официальном блоге.

AirDroid — популярное приложение удаленного управления Android-устройствами через ПК. Текущая аудитория программы насчитывает не менее 10 млн человек, а всего AirDroid был скачан более 50 млн раз.

Уязвимость связана с возможностью проведения MitM-атаки, последствием которой может стать утечка персональных данных и даже установка злоумышленником стороннего APK на Android-устройство атакуемого пользователя. При этом для атаки используется встроенный функционал AirDroid.
Читать дальше →
Всего голосов 20: ↑20 и ↓0 +20
Просмотры7.8K
Комментарии 13

«Ростелеком» отчитался об отражении атаки «интернета вещей» на крупнейшие российские банки

Информационная безопасность
image

Сегодня компания «Ростелеком» сообщила об отражении атаки ботнета «интернета вещей» на пять крупнейших российских банков. Атака проводилась 5 декабря с использованием TCP SYN Flood. По информации «Ростелекома» пиковая нагрузка составляла 3,2 миллиона пакетов в секунду.

Каких-либо деталей, кроме того, что часть трафика генерировалась с IoT-устройств, провайдер не предоставил. Также была предоставлена общая информация об опасности DDoS-атак и о том, кто уже пострадал от действия злоумышленников, управляющих ботнетами из «интернета вещей». В целом, пресс-релиз «Ростелекома» вызывает больше вопросов, чем ответов.
Читать дальше →
Всего голосов 33: ↑27 и ↓6 +21
Просмотры13.2K
Комментарии 40

Тайминговая атака на Node.js — когда время работает против вас

Альфа-БанкИнформационная безопасностьJavaScriptNode.JS
Представьте себе сервис (или веб-приложение), который выдаёт вам сообщение вида «пятый символ введённого вами пароля неверный» в ответ на вашу попытку аутентификации. Выглядит абсурдно, не так ли? Предоставляя потенциальному злоумышленнику информацию подобного рода, мы попросту даём ему шанс «сбрутить» (подобрать, методом перебора) пароль от сервиса.

В то же время — это практически то самое событие, которое происходит, когда мы, например, используем наипростейший механизм сравнения строкового типа данных во время сверки паролей или токенов для аутентификации.


Сама по себе «тайминговая атака» или «атака по времени» — это нападение на систему по открытому каналу доступа, когда атакующий пытается скомпрометировать систему с помощью анализа времени, затрачиваемого на исполнение алгоритмов. Каждая операция (особенно математическая, будь то сложение, вычитание, возведение в степень и т.д.) требует определённого времени на исполнение, и это время может различаться в зависимости от входных данных. Располагая точными измерениями времени, которое расходуется на эти операции, злоумышленник может восстановить данные, необходимые для входа в систему.
Читать дальше →
Всего голосов 32: ↑23 и ↓9 +14
Просмотры8.9K
Комментарии 24

Получение личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей

Информационная безопасностьFacebook APIИсследования и прогнозы в IT


В нашу эру информации любая технология, используемая Вами, может быть потенциально использована для атаки. Не исключением является и номер телефона.

В рассматриваемом ниже случае мы покажем, как опасно использовать привязку единого номера телефона ко всем учётным записям, используемым в онлайн. Мы покажем, как это позволяет узнать Ваш личный номер.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры24.6K
Комментарии 12

Теперь я тебя вижу: выявление бесфайловых вредоносных программ

MicrosoftИнформационная безопасностьАнтивирусная защитаPowerShell
Злоумышленники твердо намерены применять для обхода средств защиты все более сложные методы. Использование бесфайловых вредоносных программ повышает незаметность и эффективность атаки. В прошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya и WannaCry).



В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем размещать на нем специальные программы, которые могут быть распознаны как вредоносные? Если злоумышленник сможет перехватить управление процессом, запустить в пространстве памяти такого процесса свой код и использовать его для вызова средств, которые уже имеются на устройстве, обнаружить атаку будет сложнее.
Читать дальше →
Всего голосов 26: ↑23 и ↓3 +20
Просмотры19.4K
Комментарии 8

Сеть Tor может подвергнуться атаке в ближайшие дни

Информационная безопасность


Команда поддержки распределённого сервиса анонимизации Tor сообщает в своём блоге, что им стало известно о готовящейся попытке вывести сеть из строя путём отключения центральных серверов, которые называются “directory authorities” и занимаются раздачей списка транзитных узлов подключающимся узлам. Команда предпринимает шаги, необходимые для обеспечения работы сети.
Читать дальше →
Всего голосов 30: ↑25 и ↓5 +20
Просмотры30.5K
Комментарии 12

Для проведения необычной DDoS-атаки используется мобильная реклама

ua-hosting.companyСмартфоны
Команда Cloudfare на днях обнаружила необычную DDoS-атаку. Для проведения этой атаки злоумышленники использовали мобильную рекламу, благодаря чему удалось сгенеррировать DDoS с мощностью до 275000 HTTP-запросов в секунду. Атака была обнаружена достаточно быстро благодаря тому, что злоумышленники для ее проведения использовали клиентский сайт сервиса.

Данный тип флуда уже был известен как Layer 7 HTTP-флуд, при этом специалисты считали, что организовать подобную атаку весьма непросто. Тем не менее, неизвестным (пока) злоумышленникам это удалось благодаря внедрению соответствующего JavaSript в рекламу. Так удалось получить постоянный и очень сильный поток трафика, который направлялся на целевой сайт. Всего был зафиксировано более 4,5 миллиардов запросов за сутки.


Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры7.2K
Комментарии 9

Сеть биткоин подверглась атаке российского криптоактивиста

Криптовалюты
В течение прошлой недели сеть Bitcoin подвергалась неопасной атаке, основанной на гибкости транзакций [malleability attack]. Ответственность взял на себя один из энтузиастов криптовалют и активный участник интернет-форума bitcointalk.org. Он утверждает, что живёт в Москве, а атаку на сеть проводил «потому, что может это сделать».

Атака, которая была организована силами одного человека и повлияла на работу всей сети, известна в криптосообществе уже довольно давно. Разработчики bitcoin уже почти год готовят изменения в коде, Хотя она не обладает фатальными последствиями, но способна значительно замедлить скорость обработки транзакций.

Согласно описанию на сайте bitcoin wiki, атака на гибкости использует недочёт в протоколе обработки переводов средств, позволяющий дублировать транзакции. Протокол разрешает взять любую транзакцию, подписать её, изменить id и отправить на утверждение в цепочку блоков. В результате только одна из конкурирующих транзакций попадёт в результирующую цепочку, и у сети обработка этих двух транзакций занимает гораздо больше времени.
Читать дальше →
Всего голосов 11: ↑10 и ↓1 +9
Просмотры19.8K
Комментарии 20

Немного из истории специализированных ЭВМ военного назначения

ua-hosting.companyИстория ITСтарое железо
Середина ХХ столетия, СССР. Основное внимание было уделено созданию универсальных ЭВМ для решения сложных математических вычислительных задач, это были стационарные машины, которые ориентировались на последовательное или пакетное решение задач, вне связи с реальным масштабом времени и динамическим изменением параметров объектов внешней среды. Но уже к концу 50 годов в Министерстве обороны страны возник интерес к применению таких ЭВМ для решения задач обработки информации и управления в военных системах. Но сразу же возникли трудности, связанные с недостатками таких универсальных машин при использовании их в военных системах для решения задач управления в реальном времени. Поэтому начало ускоренными темпами развиваться направление вычислительной техники военного предназначения.



Четко стали различать два класса ЭВМ: стационарные и мобильные. Развитию мобильных типов ЭВМ содействовали разные требования заказчиков, так как планировалось применять их и в сухопутных, и в авиационных, и в морских, и в ракетных, и в других систем в оборонных отраслях промышленности и на предприятиях, цифровая вычислительная техника начала применяться для систем противовоздушной и противоракетной обороны, для контроля космического пространства и управления полетами в авиации и в космосе. Стационарные работали в помещениях, а мобильные, следовательно, должны были быть транспортабельными.
Подробности
Всего голосов 34: ↑34 и ↓0 +34
Просмотры32.9K
Комментарии 39

Популярный VPN-плагин Hola скомпрометирован

WhalesburgИнформационная безопасностьGoogle ChromeКриптовалюты
Популярный VPN-плагин для Chrome и Android под названием Hola, которым пользуется более 50 млн человек по всему миру, был скомпрометирован. Целью атаки являются пользователи MyEtherWallet — одного из крупнейших горячих онлайн-кошельков для держателей эфира. Атака длилась примерно пять часов и за это время Hola собирал информацию о кошельках пользователей MEW с целью последующей кражи криптовалюты.


В единственной рекомендации, поступившей от администрации кошелька, советуется завести новый кошелек MEW и перевести туда свои средства в случае, если вы являетесь пользователем Hola и совершали действия в MyEtherWallet в последние 24 часа.
Читать дальше →
Всего голосов 26: ↑25 и ↓1 +24
Просмотры11.4K
Комментарии 15

Около 500 млн IoT-устройств подвержены атаке через подмену DNS

CrossoverИнформационная безопасностьИнтернет вещей

Исследователи в области информационной безопасности из фирмы Armis сообщили на днях о том, что около 500 млн IoT-устройств подвержены атаке через перепривязку DNS. В ходе этой атаки злоумышленник привязывает устройство жертвы к вредоносному DNS, что в последующем позволяет проводить целый ряд операций. Так, атака позволяет в последующем запускать вредоносные процессы, собирать конфиденциальную информацию или использовать IoT-устройство в качестве промежуточного звена.

Если кратко, сама атака происходит по следующему сценарию:

  1. Атакующий настраивает собственный DNS-сервер для вредоносного домена.
  2. Атакующий предоставляет жертве ссылку на вредоносный домен (на этом этапе используется фишинг, IM-спам, XSS или маскировка вредоносной ссылки в рекламных объявлениях на популярных и полностью «белых» сайтах).
  3. Пользовательский браузер делает запрос на получение DNS-параметров запрашиваемого домена.
  4. Вредоносный DNS-сервер отвечает, браузер кэширует адрес.
  5. Согласно параметру TTL внутри первичного ответа DNS-сервера в одну секунду, браузер пользователя выполняет повторный DNS-запрос для получения IP-адреса.
  6. DNS злоумышленника отвечает целевым IP-адресом.
  7. Атакующий неоднократно использует вредоносный DNS-сервер для доступа ко всем интересующим IP-адресам в атакуемой сети для достижения своих целей (сбор данных, выполнение вредоносного кода и так далее).
Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Просмотры7.2K
Комментарии 11

Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow

CrossoverИнформационная безопасностьПроцессоры


В начале этого года информационное пространство потрясли новости о Spectre и Meltdown — двух уязвимостях, использующих спекулятивное исполнение кода для получения доступа к памяти (статьи и переводы на эту тему на Хабре: 0, 1, 2, 3, 4, 5, 6, 7, 8 и в поиске можно найти еще десяток других). Примерно в тоже время, когда техническое сообщество активно обсуждало снижение производительности процессоров Intel и проблемы архитектуры современных процессоров в целом, которые и позволяют эксплуатацию подобных дыр, две группы исследователей независимо друг от друга стали внимательнее исследовать вопрос спекулятивного исполнения кода на процессорах Intel.

Как итог, обе группы пришли к тому, что использование этого вектора атаки позволяет не только получить доступ к кэшу процессора, но и считывать/изменять содержимое защищенных областей Intel SGX (1, 2), в расшифровке — Intel Software Guard Extensions. Таким образом еще более серьезной атаке подвержены новейшие чипы от Intel на архитектурах Sky Lake (шестое поколение) и Kaby Lake (седьмое и восьмое поколение). И все было бы не так печально, если бы SGX использовалась только системой, но к этим областям обращаются и пользовательские приложения.
Читать дальше →
Всего голосов 92: ↑90 и ↓2 +88
Просмотры65.1K
Комментарии 214

Информационная безопасность банковских безналичных платежей. Часть 8 — Типовые модели угроз

Информационная безопасностьКриптографияПлатежные системыАнализ и проектирование системIT-инфраструктура
Tutorial

О чем исследование

Ссылки на другие части исследования


Данная статья завершает цикл публикаций, посвященных обеспечению информационной безопасности банковских безналичных платежей. Здесь мы рассмотрим типовые модели угроз, на которые ссылались в базовой модели:


ХАБРО-WARNING !!! Уважаемые хабровчане, это не развлекательный пост.
Спрятанные под катом 40+ страниц материалов призваны помочь в работе или учебе людям, специализирующимся на банковском деле или обеспечении информационной безопасности. Данные материалы являются конечным продуктом исследования и написаны в сухом официальном тоне. По сути это заготовки для внутренних документов по ИБ.

Ну и традиционное — «применение сведений из статьи в противоправных целях преследуется по закону». Продуктивного чтения!
Читать дальше →
Всего голосов 15: ↑13 и ↓2 +11
Просмотры12K
Комментарии 4

Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на стороне пользователя

ITSummaИнформационная безопасностьРасширения для браузеров
При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev.

Вот как описывается проблемная функция в самом патчноуте AdBlock:
В этом патче реализована новая опция фильтра $rewrite, которая позволяет авторам списков фильтров предотвращать показ (в основном это касается видео) рекламных объявлений, которые ранее не могли быть заблокированы на ряде веб-сайтов.
Описываемая уязвимость затрагивает все три упомянутых блокировщика рекламы, суммарная аудитория которых превышает 100 млн пользователей. Использовать ее можно для атаки на любой веб-сервис, включая и не ограничиваясь, например, любым из ресурсов Google. Проблема носит повсеместный характер, то есть атака с одинаковой успешностью может быть проведена на любом популярном браузере и не зависит от его версии.

Уязвимость просуществовала почти 9 месяцев и была найдена только сейчас.
Читать дальше →
Всего голосов 46: ↑41 и ↓5 +36
Просмотры14.7K
Комментарии 2