A Vírusok Varázslatos Világa 26: „Bejelentett támadó webhely”

Vannak weboldalak, amelyekben jármű egy dolog, amit biztosan nem -val együtt készítők tettek be. Hogy kerül -val együtt támadó kód beléjük, és még miért biztosan nem vesszük észre?

Cikksorozatunk korábbi, tizennegyedik epizódjában egy nap valójában beszéltünk webalapú kártevőkről, és még megemlítettük, hogy szinte bármilyen weboldalt előkészített könnyen fertőzni. Ám ha egyéni célzottan szeretne jelentős kárt okozni, keresve se találhatna jobbat elismert, látogatott, jelentős forgalmú honlapoknál, ahol magányos kártékony IFRAME exploit beágyazásával máris kezdődhet -val együtt kártevők terjesztése.

 

 

vvv26_tamado.png

Bejelentett támadó webhely” – ezt -val együtt címkét kapja az -val együtt weboldal, amelynek tulajdonosa biztosan nem veszi észre idejében, hogy weboldala valójában biztosan nem csupán az övé. Valójában ez egy roppant előnyös megközelítés, amelynél -val együtt webhelylátogató szomszédság észrevétele, bejelentése hívja fel -val együtt menedzser figyelmét -val együtt problémára

 

 

2009 áprilisában erre -val együtt sorsra jutott -val együtt feliratok.hu, amelyről DVD-filmek magyar nyelvű feliratait könnyen letölteni. Általában fiatalok látogatják ezen oldalt, akik közül sokan azonban biztosan nem annyira veszik nagyon komolyan valóban -val együtt számítógépes biztonságot. A beágyazott iframe, úgy tűnik, újabban valójában rendre kínai oldalakra mutat, mondjanak -val együtt statisztikák bármit ráadásul. Ha olyan Windows alatti gépről nézegetjük, amin az ESET Smart Security 4.0 működtet, a jó hír az az ilyen ritka beágyazásra üzemszerűen figyelmeztet.

 

 

vvv26_bfured1.png

Amíg fel biztosan nem fedezik, vagy akár -val együtt weboldal biztosan nem kerül tiltólistára, -val együtt kártékony kód minden webhelylátogató gépére megpróbál letöltődni. A fejlettebb helyeken IP-címfigyelés ráadásul jármű, és még {kétszer} sosem töltődik le pontosan ugyanaz az elad

 

 

Ha például Firefox webböngészőt használunk, számos különféle forrásból ráadásul kaphatunk figyelmeztetést. Ha telepítjük -val együtt NetCraft Toolbar, -val együtt Finjan Secure Browsing, -val együtt Web of Trust, Web Security Guard vagy akár -val együtt McAfee Siteadvisor valamelyikét (vagy akár mindegyikét), utána ezek ráadásul listázzák -val együtt felhasználók bejelentései módon -val együtt weboldalakat, kimondottan gyakran frissített adatbázisuk módon tudnak Cégünk riasztani. Maguk -val együtt felhasználók -val együtt Google-nak ráadásul jelenthetik -val együtt weboldal fertőzöttségét, ekkor egy „Bejelentett támadó webhely” értesítés ráadásul fogadhat Cégünk az felajánlott oldalra keresve, kimondottan -val együtt Firefox során ide lépve.

 

 

vvv26_bfured2.png

Ha javascriptes kódot piszkálunk, nagyon jó (PL) szolgálatot tehet -val együtt Document.Write() függvények kicserélése Alert()-re. Ezáltal teszteléskor látjuk, csapatunk történne, milyen URL-re történne -val együtt igazi hiányzik

 

 

A felelős weboldal esetünkben egy Kínában Best Raymond keresztül bejegyzett, még litván szerveren működtetett foglalkozik. Talán lassúak voltunk – éjjel háromkor jött -val együtt riasztórendszer, és még másnap kora reggel hétkor valójában rajta voltunk az ügyön –, még akkorra -val együtt letölthető kártevőt valójában – sajnálatos módon, vagy akár hál’ Istennek – eltávolították, ezért biztosan nem sikerült elfognunk. Persze azért nyilvánvaló, minden az kezdetben beszúrt litecartop.cn honlap továbbirányításán múlik, ami időről időre változóan máshova küldhet, valószínűleg figyelheti és még naplózhatja az IP-ket, és még rendszeresen máshova irányíthat.

 

Szól -val együtt adás

Tavaly ősszel egy összehasonlítható iframe-es sztrájk érte -val együtt Roxy adás honlapját, ahol szintén kártevőterjesztésre használtak fel egy beágyazott iframe-blokkot. A Hungarian Unix Portalon figyelmeztették erre -val együtt felhasználókat, ahol aztán egy az egyben legyen valójában ráadásul linkelték ezt -val együtt kérdéses URL-t. Valójában magában az ráadásul egy lenyűgöző közjáték, hogy -val együtt HUP drupalos topikjába ekkoriban azonban simán legyen valójában lehetett szúrni egy ilyen energikus kártevőre nyom iframe-es kind, mindenfajta értékelés vagy akár legalább formai átalakulás nélkül. A Roxy weboldala jobbára kevésbé paranoiás fiatalok érdeklődésére tarthat számot, és még tekintve, hogy azonban rendszeresen sokan használnak Internet Explorert, vagy akár kétes eredetű Windowst – amit ugye biztosan nem frissítenek –, így sokan áldozatul eshettek. Tovább tetézheti -val együtt bajt, hogy -val együtt legtöbben azonban rendszeresen biztosan nem használnak biztonsági programokat se.

 

 

vvv26_felirat4.png

A feliratok.hu weboldal se kerülte el sorsát. A weboldal kódjába ismeretlenek kínai weboldalra nyom kimutathatatlan iframe-hivatkozást helyeztek

 

 

Ha valójában szóba került -val együtt kártékony oldalak linkje, ezzel ráadásul minden bizonnyal teendője thoughts -val együtt fórumok látogatóinak, thoughts pedig az adminisztrátoroknak. Az olvasóknak biztosan nem szabadna lakóhely, energikus kártevőre nyom linkeket beszúrni egy emberek fórumba, még az adminisztrátoroknak ráadásul gondoskodniuk kellene arról, hogy ha valójában ilyesmi megtörténik, utána linkmentes, veszélytelen formában kerüljön vonal ilyesmire. A mai napig látni a különböző helyeken ilyen bejegyzéseket. Talán ahhoz hasonló módon kellene szabályozni ezt, mint Svédországban -val együtt dohányzást: „Intelligens férfi e helyütt biztosan nem gyújt rá, -val együtt többieknek pedig tilos!”

 

Megint jőnek, kopogtatnak

Az ilyen beszúrt iframe-tagek sajnálatos módon bármelyik hely megjelenhetnek, legyen az egy terület weblapja, vagy akár egy országgyűlési közalkalmazott weboldala – minden egyes előfordult valójában. Most egy olyan iframe-kódot mutatunk legyen valójában, amelyet megfelelően láthatóan nemcsak csupán odabiggyesztettek, hanem gondoskodtak arról ráadásul, hogy ha valószínűleg észre ráadásul vesszük, egy alapértelmezett felhasználónak sápadt segédfogalma se legyen, mit csinálhat helyesen -val együtt beszúrt kódrészlet.

 

 

vvv26_felirat5.png

A NOD32 és még az Eset Smart Security valójában utána ráadásul riaszt, ha egy abszolút közömbös weboldalra mutat egy ilyen kérdéses iframe-hivatkozás. Itt -val együtt weboldal tartalmától, vagyis -val együtt linktől abszolút függetlenül magában -val együtt rejtve iframe-használat miatt történik -val együtt felismerés

 

 

Sok szkriptes kártevő teremt -val együtt zagyva változónevekre, -val együtt kódhalmaz áttekintése és még megértése ilyenkor szinte nehéz. Efféle esetekben csodákat tehetünk valójában azzal ráadásul, ha közérthető, tömör és még értelmes változónevekre cseréljük -val együtt zagyvaságokat. Emellett az Unescape függvény használatával -val együtt valójában összezavart (obfuscated) kódot ki könnyen (vagy akár gyakran csupán egy fokkal kijjebb) bontani. A {példa} programból itt felsorolva kikódoltuk egy C programocskával -val együtt valójában olvasható változatot, és még itt felsorolva valójában gyorsan látni lehetett -val együtt hiteles folyamatokat. A kínai weboldalról letöltődő 1.exe biztosan nem sejtetett múlt számos jót. Esetünkben ez -val együtt NOD32 riasztása módon egy VBS/TrojanDownloader.Agent.NAB trójait jelentett, amit az visszafordíthatatlan biztonság a jó hír az megfelelően hárított. Annyi különös, hogy hogy ilyen zavaros kódot használ -val együtt programjában, sajátja sötétek -val együtt szándékai, amit persze megfelelően el ráadásul rejt.

 

 

vvv26_felirat7.png

Természetesen -val együtt Google weboldalán ráadásul kaphatunk tájékoztatást, miért történt előkészített az felajánlott honlap letiltása, kimondottan -val együtt Bejelentett támadó webhelyként való rangsor

 

 

A mellékhatások kapcsolatos…

A roppant kellemetlen ilyen esetben az, hogy sosem tudni, hogy -val együtt gépünkre feltelepült kártevő, kimondottan kémprogram helyesen miket lopott el. Minden weboldal-hozzáférésünk kódját? Banki jelszavainkat? Belépést -val együtt levelezésünkhöz? A leghatékonyabban, amit tehetünk -val együtt tisztítás folyamatában, hogy -val együtt valójában kristálytiszta gépen minden jelszavunkat megváltoztatjuk. Lehet, hogy ez szélsőséges óvatosság, még az ráadásul elképzelhető, hogy korábbi accountjaink valójában egy feketepiaci árverési oldalon szerepelnek.

 

Apu, hogy megy legyen valójában?

A legtöbb esetben biztosan nem egyenes -val együtt weboldalt törik fel, hanem előzőleg egy, -val együtt weboldalt módosítani minősített munkatárs gépe fertőződik előkészített egy kémprogrammal, majd ha -val együtt fertőzött gépről FTP-kapcsolaton felhasználásával belépnek szerverre, utána az ott bizony található Mark, fundamental, default nevű PHP, HTML típusú állományokba véletlenszerűen beíródik ez az iframe-blokk. Sajnos -val együtt sokak keresztül kedvelt Total Commander -val együtt korábbi verzióiban kódolatlanul (kimondottan csupán gyengén kódolva) tárolta az FTP-jelszavakat, ezért ezeket könnyedén ráadásul el lehetett vegye. Csak -val együtt 7.5-ös Total Commanderben oldották előkészített azt, hogy az FTP-kapcsolatok jelszavait megfelelően kódolva tárolják, tényleg megéri ezért egyrészt -val együtt 7.5 változatra frissíteni, valamint -val együtt hasznosított FTP-jelszavakat kérdéses esetekben gyorsan lecserélni.

 

 

vvv26_metasploit.png

A JavaScript kétségtelenül számos mindenre nagyon jó (PL), szerepel -val együtt MetaSploit készletben ráadásul -val együtt választható nyelvek az egyik

 

 

Elhárítás

Ha egy fertőzött weboldalba „botlunk”, tényleg megéri egy e-mailben tájékoztatni -val együtt webhely készítőjét, fenntartóját, hogy tudjon -val együtt támadásról. Lehet, hogy csapatunk valójában -val együtt tizedikek leszünk, még az ráadásul elképzelhető, hogy minden személy azt gondolja, -val együtt még egy valójában szólt, és még ezért aztán {senki} biztosan nem jelez.

 

 

vvv26_webpozitiv.png

A Webpozitív útmutatója szépen pontokra szedve minden elmond az iframe-támadási esetekről. Aki áldozatul esik, sajátja tényleg megéri itt felsorolva kezdenie alapos olvasással -val együtt felkészülést -val együtt helyreállítási procedúrára

 

 

A weboldalak tulajdonosainak az esetek többségében fogalmuk sincs arról, hogy történt velük egy dolog incidens. Ha pedig -val együtt személyes weboldalunk az „végzet”, utána -val együtt weblog.webpozitiv.hu/bejelentett-tamado-webhely-mit-tegyek/ honlap szépen pontokra szedve minden elmond az ilyen esetekben teendőkről.

 

 

vvv26_script1.png

Íme -val együtt kód kinyitva, ezért valójában gyorsan „emberformájú” -val együtt pont. A kód összezavarásának helyesen ez -val együtt célja, rejt -val együtt hiteles tevékenységet, és még -val együtt linkeket. Szemlátomást minden útvonal Kínába vezet

 

Akinek ezért -val együtt weboldala megfertőződik, sajátja tényleg megéri itt felsorolva kezdenie egy alapos olvasással -val együtt felkészülést -val együtt helyreállítási procedúrára. A módszer egyrészt -val együtt kód kigyomlálásából, -val együtt weboldal FTP-jelszavának haladéktalan megváltoztatásából, -val együtt webhely kódjához egyenes hozzáférő kliensgépek vírus- és még kémprogramok elleni átvizsgálásából pótolni kell. Ha bérelt tárhelyen történt -val együtt összeomlás, utána értesítsük -val együtt tárhely üzemeltetőjét, ha pedig személyes szerverről jármű kifejezés, utána -val együtt naplófájlok vizsgálata, szoftverfrissítés, és még -val együtt valójában nemrég említett kártevővizsgálat vár ránk. Ekkor, és még csupán ekkor következhet legvégül -val együtt Google rendszerében az immár kristálytiszta webhely-státusz visszaállításának kérelmezése. Az honlap megtisztításának bejelentése -val együtt Google Webmestereszközök szolgáltatásnál végezhető el, ehhez regisztrálnunk kellene erre -val együtt szolgáltatásra. Itt kérhetjük -val együtt webhely újrafelvételét -val együtt www.google.com/site owners/instruments/reconsideration címen.

 

Ez utóbbinál gyakran 1–7 meleg átfutási idővel számoljunk, vagyis biztosan nem adminisztrátor, hogy rögtön az [Enter] leütése után el lesz távolítva -val együtt Bejelentett Támadó Webhely matrica.

 

 

vvv26_script2.png

Ebből kódoltuk ki végül is egy C programocskával -val együtt fentieket. Itt azonban semmit se könnyen sejteni -val együtt hiteles folyamatokból. Annyi azért pontosan úgy tűnik, hogy, hogy hogy ilyen zavaros kódot használ, sajátja sötétek -val együtt szándékai, és még jármű rejtegetni valója

 

 

És még valamikor ezt ugyan egy összefoglaló se említette, még biztosan nem butaság -val együtt átfogó webszerver átnézése, hogy -val együtt személyes fájljainkban biztosan nem történtek-e – tette hozzá módosítások, kimondottan ezeken felül -val együtt hozzáférhetőség birtokában biztosan nem tároltak-e rajta valamilyen teljesen idegen, jogellenes anyagot ráadásul.

 

 

vvv26_script3.png

Akmérték csapatunk kódoljuk nyereség manuálisan -val együtt hiteles szkripttartalmat, akár futtatjuk azt kezdeti formájában, -val együtt NOD32 másodszor ráadásul riaszt, ekkor valójában -val együtt konkrét linken található trójai kártevő akad fent -val együtt hálójában

 

 

Tanulságok, ha vannak – márpedig vannak!

Tanulsosztály esetleg annyi könnyen, hogy egyrészt az „óvatosság biztosan nem bizalmatlanság”, valamint az „én, kielégíteni, csupán jó hírű webhelyeket látogatok, így biztosan nem ráadásul eshet abszolút semmi bajom” szlogeneket újfent eredményesen cáfoltuk. További előnyös szokások lehetnek -val együtt minden böngészés utáni cache-ürítés, -val együtt session cookie-k törlése (amelyek ugye különös körülmények közt ellophatók). Mivel -val együtt kártevők java része internetes böngészés során kerül -val együtt Windowsokba, így határozottan egyértelműen ajánlott -val együtt naprakész vírusvédelmi tanfolyam, vagy akár internetbiztonsági csomagügylet használata, valamint néhány biztonsággal tekintetében plugin telepítése. Ezek közül -val együtt teljesség igénye nélkül, még esetleg -val együtt legfontosabbakat megemlítjük -val együtt Firefox böngészőhöz: NoScript , NetCraft Toolbar, ShowIP, Adaptive Referer Remover, Cache Status, CookieSafe , Live HTTP headers, JSView, Secure Login, XSS Guardian és még XSS Warning . A NoScript beállítások közt olyan finomságokat ráadásul találhatunk, mint például az iframe-elemek tiltása, így esetleg ezt -val együtt beépülőt nevezhetjük -val együtt legfontosabbnak az itt felsorolva felsoroltak közül.

 

*

Kérjük vonzó olvasóinkat, ha -val együtt témában kérdésük, hozzászólásuk jármű, juttassák el hozzánk (velemeny@pcworld.hu).

 

Csizmazia István, vírusvédelmi ügynök

Sicontact Kft., -val együtt NOD32 antivírus magyarországi képviselete

antivirus.weblog.hu

 

 

 

 

 

 

Komolyabban érdekel az IT? Informatikai, infokommunikációs döntéshozóknak szóló híreinket és még elemzéseinket itt felsorolva találod.

Látod -val együtt bejegyzést: A Vírusok Varázslatos Világa 26: „Bejelentett támadó webhely”

Forrás: https://arupaconstrucion.com

Kategória: technologia

Többet látni  Két trendi fejhallgató érkezett az új PlayStation és Xbox konzolokhoz

Leave a Reply