противостоим модулем «Проактивная Защита» 1С
advertisement
Эксплуатация уязвимости – противостоим модулем «Проактивная Защита» 1С-Битрикс Это продолжение первой статьи, где рассказывается теоретическая часть того как можно эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в прошлой статье – универсальные методы, которые могут быть использованы для нанесения вреда сайту на практически любой системе управления. В данном материале мы разберём некоторые более конкретные способы нанесения эксплуатации и противодействия им. Напомним, в рамках этих материалов делается допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у злоумышленника и которую нет возможности закрыть администратору (по крайней мере до момента обнаружения её эксплуатации). В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что провели исследование в данной области до конца), а в основном ограничимся файловыми эксплуатациями. Рассмотрим 3 основных способа: Способ 1 – заражение публичных файлов или файлов ядра CMS По сути, самая примитивная эксплуатация. Изменения легко обнаруживаются в часто изменяемых файлах администратором, редакторами или разработчиками. В редко редактируемых служебных файлах изменения обнаружить «вручную» очень непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы управления контентом даже в минимальных редакциях редко когда могут похвастаться цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна! Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс (Вебантивирус и Проактивный фильтр успешно справляются с вырезанием большинства представителей таких зловредов, дополнительную степень безопасности от «слива трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно работал! ВНИМАНИЕ! Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит он может отключить модуль (легко обнаруживается администратором) или внести собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о том, что записи исключений хранятся в базе данных в явном виде! Это критично, если вы используете журнал событий в качестве монитора авторизаций пользователей и контролируете несанционированный доступ к административному разделу!!! Мониторинг осуществляется с помощью инструмента «Контроль целостности файлов» модуля Проактивная защита 1С-Битрикс – регулярно создавайте реперные точки, не забывайте периодически скачивать и на локальный компьютер или отдельное файловое хранилище! Для многих других CMS существуют аналогичные плагины или скрипты (качество их работы очень различное, так что необходима проверка надёжности работы). Способ 2 – заражение файлов кеша Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1СБитрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в большом количестве, а спустя определённое время должен удаляться, поэтому слежение за ним очень затруднительно). Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса делает практически необнаруживаемую эксплуатацию. Работает для всех существующих CMS по описанным выше причинам. Эксплуатация предотвращается использованием кеширования в оперативной памяти сервера (не всегда возможно в случае виртуального хостинга, а так же накладывает определённые ограничения на ресурсы сервера). Способ 3 – создание вредоносного кода в директории для бекапирования Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в настоящее время. Помните о возможности такого сценария и регулярно проверяйте не появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в случае падения сервера они могут быть повреждены так же, как файлы и БД самого сайта). В других CMS так же возможны определённые директории «служебного пользования», где может оказаться подобный «зловред» - внимательно изучите архитектуру своего движка! Обратите внимание, что данные способы эксплуатации могут быть в значительной мере предотвращены лишь комплексно. Обратите самое пристальное внимание на модуль Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш ресурс от вторжений. Однако даже самый параноидальный режим безопасности не исключает нахождения и эксплуатации очень ограниченной локальной уязвимости злоумышленником – регулярно проводите аудит своего ресурса.
