あなたは、ハッキングのためにプロのハッカーである必要はありません。この記事は、他の人の「労働者」の実を使ったいわゆる「kulhackers」とハッキングの最も単純なケースについてです。 記事は決して、サイトをハッキングする方法についてのハウツーではありません。 目標は、「コソボアルバニア人」によるハッキングの場合に、ハッキングがいかに簡単かを示し、サイトとアクションを保護するための対策を推奨することです。
ロシアの法執行機関によるハッカーの検索の成功例が示されています。
サイトはどのようにハッキングされますか?
サイトに入るための最も一般的な方法:
- 管理パネル/ ftp(「ドメイン名」、12345、管理、テストなど)にアクセスするための単純なパスワードの列挙-奇妙なことに、多数のハッキングがそのように発生します。
- スクリプトの脆弱性(CMSおよびモジュール)の使用。
Joomla + CKFormsの例で説明しましょう。 誘惑につながらないようにするために、説明へのリンクを公開しません。それを使用するのは簡単すぎますが
文字通り5分で、クラッカーからの深刻な知識は必要ありません。 さらなるステップは、不快な改ざんからサイトの破壊、他のサイトやサーバーの制御権の奪取など、作者のハッキングの想像に依存します。
私は行動を起こしましたが、サイトはどのようにハッキングされましたか?
サイト所有者がすべての既知の対策を講じた場合、ハッカーはどのようにして共有ホスティング上の他のサイトにアクセスできますか? 実際、ほとんどすべてのサイトサイトへのアクセスはユーザーログインによって区別されており、サイトを近隣から保護する必要があるようです。
私たちは1つのケースに限定しています。 深刻な危険性は、mod_perlなどのApacheモジュールの下でのスクリプトの起動です。 この場合のスクリプトは、サイトユーザーのデータにアクセスできるApacheユーザーの下で実行されます。
上記のように、ハッカーは1つのサイトのサイトにアクセスします。 次に、 cgi-telnetなどのコンソールスクリプトが配置されます。 また、他のユーザーのサイトの構成ファイルに対する権限が644(またはさらに少ない777!)に設定されている場合、コンソールからパスワードを使用してファイルの内容を簡単に読み取ることができます。 しかし! perlスクリプトがApacheユーザー、つまり mod_perlの下(mod_phpでの同様の状況)。 たとえば、FastCGIで作業している場合、このメソッドはファイルへのアクセスを許可しません。 重要なファイルに600の権限をインストールし、FastCGIを使用することで、これから身を守ることができます。
サーバー自体の管理にアクセスするにはどうすればよいですか?
Linuxシステムの一般的な例を1つ挙げます。 同様に、最初に1つのサイトのサイトにアクセスする必要があります。
カーネルには、 多数のLinuxシステムがさらされるヌルポインターを介したいくつかの脆弱性があります。たとえば、 Linuxカーネルの 'sock_sendpage()' NULLポインター逆参照の脆弱性です。 エクスプロイトについても説明されています
この問題は長い間知られていたという事実にもかかわらず、ロシアを含む多くのパッチが適用されていないサーバーがあります。 保護する最も簡単な方法は、たとえばここで説明されています 。
これは、100%の保護を保証するものではありません。 たとえば、wineをインストールするときに、mmap_min_addrパラメーターを0にリセットできます。上記のページまたは公式ソースで入手できるパッチを使用することを強くお勧めします。
この問題に関する議論はHabrでも行われました 。
エクスプロイトデータから保護する責任は、サーバー管理者にあります。
是正手順
バックアップからの「処置」の回復は十分ではありません。サイトをハッキングすると、彼らはあなたに戻ります。 サイト所有者は何をすべきですか?
- どのファイルが置き換えられたかをすぐに判断してください。index.phpとテンプレートファイル、画像などの両方になります。
- 結果のスクリーンショットを撮ります。
- ホスティングプロバイダーに通知し、次のステップを調整してください。
- サイトファイルを別のディレクトリに保存します。将来ファイルを変更する時間は、攻撃者を決定するのに役立ちます。
- バックアップからサイトを復元するか、ホスティング業者に連絡してください。
- エラーログをダウンロードしてサイトにアクセスするか、ホストにそれらを提供するように依頼します。ログのローテーション中にそれらが消えないように、別のディレクトリにコピーすることをお勧めします。
- ファイルの変更時間の分析とログエントリとの比較により、使用された脆弱性の性質と攻撃者のIPアドレスを判断できます。
- スクリプトを更新するか(これが不可能な場合)、脆弱なモジュールの使用を拒否します。
- 必ずすべてのアクセスパスワードを変更してください。
罪と罰
特に彼が別の州の管轄下で行動し、追跡できないようにすべての措置を講じている場合、ハッカーを罰します-それは困難またはほとんど不可能です。 しかし、成功した例があります。
N市のK部門は、法人(ウェブサイトの所有者)の要請により、ロシア連邦市民に対するロシア連邦刑法第272条「法律によるコンピューター保護情報への違法アクセス...」に基づいて刑事事件を開始しました。 2010年2月、攻撃者によってサイトのコードに発見された脆弱性を介して、ロシアのデザインスタジオの1つ(「スクリプト」)の生産にサイトがハッキングされました。 ハッキングの目的は、バナー広告を配置することでした。 攻撃者は書面による謝罪をサイト所有者に持ち込み、裁判前の和解を求めました-刑事記事に加えて、彼は大学からの追放も脅かされています。 いわば、調査の利益のために、詳細は明らかにされていません。
被害が大きく、IPアドレスが「ローカル」(動的であり、インターネットプロバイダーに属する)であり、「中国のプロキシ」ではない場合-法執行機関、具体的にはK.部門に申請書を提出し、居住地の資料を入手できます。 IPアドレスが割り当てられたインターネットプロバイダーから、ホスティングプロバイダーに雑誌と状況の説明を含む公式の手紙を要求します。 企業は、法執行機関の要請に応じてこの情報を提供する必要があります。
法執行機関とのコミュニケーションは、特に起訴の
簡単な結論
サイトのセキュリティは、サーバーとサイト管理者に最大限のセキュリティを提供する義務がある開発者とホスティング業者のタスクだけではありません。
サイト所有者への簡単なアドバイス:
- アクセス資格情報をどこにも保存しないでください。
- 長く複雑なパスワードと非標準のログインを使用し、定期的に変更を実行します。
- 更新プログラムのリリースに伴うタイムリーな更新スクリプト。
- コンポーネントを選択するとき、未解決の脆弱性を確認します。
- スクリプトファイルおよび特に重要な構成ファイルのアクセス許可を監視します。
- Webサーバー(たとえば、.htaccessや.ftpaccess)を使用して、IPからのみアクセスを許可します。
- はい、スクリプト作成者の著作権を保持する必要がありますが、攻撃者はそれらを使用する脆弱なサイト、およびモジュールのアドレスバーのフラグメントも探します。少なくともスクリプトにアクセスするための標準アドレスを変更します。
- 外部サービスを含む定期的に、サイトの特定のセクションの可用性を確認します。
- ローカルバックアップサイトがあります。
攻撃者を見つける可能性を評価したら、法執行機関に連絡することができます。
PS:この記事は完全に完全なふりをするわけではなく、ITの第一人者に焦点を当てているわけではありません。もちろん、特定のサーバーまたはサイトの標的を絞ったハッキングには他の手段を使用できます。 他の例を含めて、habrasocietyのコメントを補足することができてうれしいです。
そして、サイトをハッキングする行為について簡単に説明します 。