Массовые дефейсы

Взломанные сайты, серверы, превращенные в узлы ботсетей, shell-аккаунты и бэкдоры, продаваемые на черном рынке, — это происходит в интернете ежедневно.

Скриншот со списком атак на веб-сайты высокого ранга В статье Дэвида Джэкоби рассказывается о том, как злоумышленники делают это и что мы можем предпринять, чтобы не стать их мишенью.

В компьютерном сообществе используются термины «дефейсер», «взломщик», «хакер», а в средствах массовой информации все эти злоумышленники именуются просто хакерами. Но настоящие хакеры не атакуют сайты, выбранные наугад, они используют свои знания для проведения целевых атак. При этом хакеры стараются сделать так, чтобы хозяин сайта не знал об атаке, и предпринимают все возможное для сокрытия ее следов.

Дефейсер — это человек, которого в действительности не очень заботит, что за сайт он атакует. Его главная задача — найти и использовать уязвимость сервера, а затем либо заменить содержание сайта, либо загрузить на него файл в качестве доказательства факта взлома. Никто точно не знает, зачем дефейсеры это делают, поскольку денежную выгоду они не получают.

Атаки дефейсеров называют дефейсами.

Существуют большие сайты, которые являются архивами дефейсов. Эти архивы открыты для всеобщего доступа, и конкурирующие между собой группы могут видеть, сколько очков они (или их конкуренты) набрали, взломав то или иное количество сайтов. в большинстве случаев они просто используют автоматические утилиты для поиска уязвимых серверов и эксплуатации найденных уязвимостей. Эксплойт автоматически загружает на зараженный сервер бэкдор («черный ход»), который затем будет обеспечивать, например, shell-доступ к зараженному серверу. После проведения атаки дефейс автоматически заносится в архив. Существует специальный раздел для взломанных сайтов высокого ранга, т.е. сайтов больших компаний, организаций или правительств. Некоторым доменам верхнего уровня (TLD, top level domains) автоматически приписывается высокий статус.

Основная часть статьи Дэвида Джэкоби посвящена методам и средствам, которые дефейсеры используют для поиска новых уязвимых серверов. Что касается противодействия таким угрозам, то одна из серьезных проблем в борьбе с ними состоит в том, что дефейсеры не только эксплуатируют технические уязвимости, они еще и пользуются невежественностью администраторов сайтов. Несмотря на то, что устанавливать патчи важно и сравнительно просто, по каким-то причинам одной из самых распространенных проблем является нежелание вовремя обновлять программное обеспечение. В процессе повышения квалификации ИТ-персонала компании и организации тратят много времени и сил на объяснение механизмов внедрения SQL-кода или переполнения буфера, тогда как разумнее было бы сконцентрироваться на своевременной установке патчей и правильной конфигурации системы. Еще одна серьезная проблема в том, что администраторы почему-то считают операционные системы Linux/Unix более защищенными, чем Windows, и не считают нужным заботиться об их безопасности и правильной конфигурации.

Правильная настройка способна в той или иной степени защитить веб-сервер от определенных типов эксплойтов. Есть такие, которые эксплуатируют file-Inclusion-уязвимости, что позволяет атакующему включать в текущий документ любой файл по своему выбору. Достаточно указать, из какой папки конкретному веб-приложению или веб-сайту разрешается включать файлы, — и проблема защиты от подобного типа эксплойтов будет решена.