Как взламывают сайты на типовых CMS

Автор: maximus. Posted in Статьи по безопасности сайтов

Ваш сайт взломали? Как же это произошло

 

Сразу скажу, все, что написано ниже, это чисто гипотетические размышления. Сам я к взлому сайтов и к распространению вредоносных скриптов не имею ни малейшего отношения.

 

В один прекрасный день вы обнаруживаете, что ваш сайт был взломан. Может быть взлом произошел только что, может быть беда случилась 2 недели или 2 месяца назад, не суть важно. Важно, что однажды вы можете получить сообщение в аську примерно такого характера "Привет Вася, а что у тебя за странная ссылка на сайте на www.pornocasinofreeonlinejokedomen.com?" или подобное.

 

Лихорадочно пересмотрев весь сайт, где-то скромненько в углу вы находите эту ссылку, или находите ее в коде страницы, поскольку она спрятана от пользователя но не от ПС или еще как-то.

 

После того, как отойдут эмоции - "А… меня взломали… какой кошмар!!!!111", воображение начинает рисовать другую картину (скорее всего, под влиянием голливудского ширпотреба) пузатые или худые бородатые дядьки часами сидят и грузятся над вашим сайтом в поисках уязвимостей, куча открытых консолей, бегут строчки подбирающихся паролей, таинственно поблескивают индикаторы… Это все шаблоны, похабщина и непотребщина...

 

 

Почему? Потому что так не бывает. Чем хорош взлом типовой CMS в сети?

·         Легкая автоматизация

·         Легкое обнаружение такой CMS

·         Медленная реакция среднестатистического администратора сайта на взлом или попытку взлома

·         Низкая квалификация среднестатистического администратора

 

Стратегия взлома сайта на типовой CMS определяется 2 факторами - 1) затраты на взлом 2) потенциальная прибыль. Если потенциальная прибыль от взлома вашего сайта 0, а затраты на взлом 1000 - никто не будет вас ломать. Даже из спортивного интереса. Затраты на взлом сайта зависят от возможности автоматизации взлома.

 

Итак, что делают злоумышленники?

Во-первых: используя поисковый индекс или собственных пауков они постоянно шерстят интернет в поисках новых сайтов на подходящих им CMS. Очень удобны в этом плане, как я думаю, базы доменных имен регистраторов, которые покупают администраторы для своих сайтов. Достаточно регулярно парсить такую базу на предмет обновлений и затем пробегать по новым доменам распределяя их в 3 категории - "CMS определена", "CMS не определена", "домен отдает ошибку" (например 404).

 

Категория "CMS определена" идет в дальнейшую работу. Категория "CMS не определена" идет для анализа, категория "с ошибкой" идет обратно  в базу для проверки через месяц другой.

 

Во-вторых: злоумышленник имеет базу доменов и соответствующую каждому домену CMS. Этого достаточно, чтобы натравить на CMS бота, который проверят сайт по базе уязвимостей конкретной CMS в поисках эксплойта, бажного компонента или просто ошибки в настройке безопасности.

В этом вопросе наверняка есть свои тонкости, наверняка классификация идет не только по CMS но еще и по другим признакам, например более популярные сайты ломать выгоднее, какие-то версии CMS ломать проще, какие-то сложнее и т.д.

 

После проверки CMS по базе уязвимостей возможны такие варианты:

·         "А" - Есть критические уязвимости позволяющие залить shell-скрипт или выполнить произвольные команды

·         "Б" - Есть некритические уязвимости, которые при более специализированной атаке позволят взломать сайт

·         "В" - Известных уязвимостей нет

 

Разделение на группы опять условно. Сайты из группы "А" будут немедленно взломаны. Сайты из группы "Б" будут отложены для анализа, сайты из группы "В" останутся на дальнейшее тестирование в случае обновления базы уязвимостей.

 

На сайты группы "А" автоматически будет залит шелл или размещен вредоносный код, или сайт останется ожидать заказчика.

 

А теперь ответьте на вопрос - сколько человек принимало участие во взломе до текущего момента? Один? Два? Пять? - Ответ НОЛЬ. Ровно "0" человек понадобилось чтобы сайты группы "А" получили бэкдор или даунлоадер или редирект или еще чего-то там.

 

Все делается автоматически! От обнаружения нового сайта, до залития шел-скрипта.

 

У меня нет статистики, могу предположить, что от момента установки типовой CMS содержащей известную уязвимость на новый сайт, до ее 100% заражения пройдет не более полугода.

 

В-третьих: располагая возможностью сделать с вашим сайтом что угодно злоумышленник монетизирует свои возможности. По сути, такой пул сайтов ничем не отличается от обычной и уже привычной всем бот-сети. Сайты даже лучше - их посещает много разных людей, для них нет специализированных антивирусов, они всегда онлайн и поэтому ими легко управлять получая нужный результат.

 

Злоумышленник заходит в свою "злоумышленную специальную админку". Выбирает группу сайтов, 1-2-5 тысяч или сколько там. Оценивает ее по нужному критерию - например дневная аудитория в сумме 200 тыс. человек - и дает своей бот-сети задание -выполняем скрипт даунлоадер, или выполняем мобильный редирект на www.pornocasinofreeonlinejokedomen.com (честно-честно, это не реклама, и вообще я не знаю что это за сайт), или вставляет невидимую глазу ссылку чтобы прокачать пузомерки целевого сайта.

5-10 кликов мышкой - и ваш сайт работает не только на вас.

Ничего личного, просто бизнес.

 

Как быть, что делать чтобы автоматически не взломали ваш сайт? Читайте в другой статье.

Комментарии   

Smitha109
0 #239 Smitha109 21.02.2018 11:24
Just wanna remark on couple of general issues, The web site style is perfect, the subject matter is rattling excellent kegaabdacbeeefd a
Цитировать | Сообщить модератору
Smithk135
0 #240 Smithk135 21.02.2018 11:25
Hi. Only wanted to ask a quick issue. Now i am eegecedadbeddef d
Цитировать | Сообщить модератору
ScottChorp
#241 ScottChorp 21.02.2018 16:41
insuranceusaauto.com/
- progressive home and auto insurance

usaa cancel auto insurance
Цитировать | Сообщить модератору
ScottChorp
#242 ScottChorp 21.02.2018 19:57
insuranceusaauto.com/
- sc auto insurance

united auto insurance contact number
Цитировать | Сообщить модератору
ScottChorp
#243 ScottChorp 21.02.2018 22:55
aunsurance2018.top/
- how much do you pay for full coverage auto insurance

fargo nd auto insurance
Цитировать | Сообщить модератору
ScottChorp
#244 ScottChorp 22.02.2018 01:59
aunsurance2018.top/
- progressive auto insurance toll free number

auto insurance michigan cheap
Цитировать | Сообщить модератору
ScottChorp
#245 ScottChorp 22.02.2018 04:47
aunsurance2018.top/
- fiesta auto insurance stockton ca

michigan auto insurance 16 year old
Цитировать | Сообщить модератору
ScottChorp
#246 ScottChorp 22.02.2018 07:24
aunsurance2018.top/
- cheap auto car insurance

auto insurance in austin tx
Цитировать | Сообщить модератору
ScottChorp
#247 ScottChorp 22.02.2018 10:00
aunsurance2018.top/
- metropolitan auto insurance phone number

auto insurance prices
Цитировать | Сообщить модератору
Smithk970
0 #248 Smithk970 22.02.2018 13:14
I have to agree with your statement with this issue and akaedcedddakdkb k
Цитировать | Сообщить модератору
ScottChorp
#249 ScottChorp 22.02.2018 17:17
avinsurance2018.top/
- auto club of southern california insurance group

auto insurance norwalk ca
Цитировать | Сообщить модератору

Добавить комментарий


Защитный код
Обновить

Монетизация

Представьтесь