противостоим модулем «Проактивная Защита» 1С

реклама
Эксплуатация уязвимости – противостоим модулем «Проактивная Защита»
1С-Битрикс
Это продолжение первой статьи, где рассказывается теоретическая часть того как можно
эксплуатировать серьёзную уязвимость на сайте. Повторимся, что всё приведённое в
прошлой статье – универсальные методы, которые могут быть использованы для
нанесения вреда сайту на практически любой системе управления.
В данном материале мы разберём некоторые более конкретные способы нанесения
эксплуатации и противодействия им. Напомним, в рамках этих материалов делается
допущение, что сайт содержит серьёзную уязвимость, к которой есть доступ у
злоумышленника и которую нет возможности закрыть администратору (по крайней мере
до момента обнаружения её эксплуатации).
В данном материале мы не коснёмся внесения вредоносного кода в БД, поскольку это
тема, требующая отдельного и очень подробного рассмотрения (мы сами не уверены, что
провели исследование в данной области до конца), а в основном ограничимся файловыми
эксплуатациями.
Рассмотрим 3 основных способа:
Способ 1 – заражение публичных файлов или файлов ядра CMS
По сути, самая примитивная эксплуатация.
Изменения легко обнаруживаются в часто изменяемых файлах администратором,
редакторами или разработчиками.
В редко редактируемых служебных файлах изменения обнаружить «вручную» очень
непросто, например 1С-Битрикс содержит более 30.000 файлов. Другие системы
управления контентом даже в минимальных редакциях редко когда могут похвастаться
цифрами меньше 5.000. Если пустить дело на самотёк эксплуатация вполне реальна!
Эксплуатация предотвращается модулем Проактивной защиты 1С-Битрикс (Вебантивирус и Проактивный фильтр успешно справляются с вырезанием большинства
представителей таких зловредов, дополнительную степень безопасности от «слива
трафика» обеспечит Защита Редиректов). Очень важно, чтобы данный модуль был в
наличии (не входит в редакции «Первый сайт» и «Старт»), а так же чтобы он корректно
работал!
ВНИМАНИЕ! Не забывайте о том, что у злоумышленника есть доступ к сайту, а значит
он может отключить модуль (легко обнаруживается администратором) или внести
собственное исключение, чтобы модуль игнорировал вредоносный код! Не забывайте о
том, что записи исключений хранятся в базе данных в явном виде! Это критично, если вы
используете журнал событий в качестве монитора авторизаций пользователей и
контролируете несанционированный доступ к административному разделу!!!
Мониторинг осуществляется с помощью инструмента «Контроль целостности
файлов» модуля Проактивная защита 1С-Битрикс – регулярно создавайте реперные
точки, не забывайте периодически скачивать и на локальный компьютер или отдельное
файловое хранилище! Для многих других CMS существуют аналогичные плагины или
скрипты (качество их работы очень различное, так что необходима проверка надёжности
работы).
Способ 2 – заражение файлов кеша
Пожалуй самый коварный способ, поскольку даже контроль целостности файлов 1СБитрикс не проверяет директорию с файловым кешем (кеш создаётся регулярно и в
большом количестве, а спустя определённое время должен удаляться, поэтому слежение
за ним очень затруднительно).
Вкупе с внесением изменений в исключения проактивного фильтра и/или веб-антивируса
делает практически необнаруживаемую эксплуатацию. Работает для всех существующих
CMS по описанным выше причинам.
Эксплуатация предотвращается использованием кеширования в оперативной
памяти сервера (не всегда возможно в случае виртуального хостинга, а так же
накладывает определённые ограничения на ресурсы сервера).
Способ 3 – создание вредоносного кода в директории для бекапирования
Так же раздел сайта, не подлежащий мониторингу контроля целостности файлов в
настоящее время. Помните о возможности такого сценария и регулярно проверяйте не
появилось ли там чего-либо чужеродного (а лучше не держите бекапы на сайте, ведь в
случае падения сервера они могут быть повреждены так же, как файлы и БД самого
сайта).
В других CMS так же возможны определённые директории «служебного пользования»,
где может оказаться подобный «зловред» - внимательно изучите архитектуру своего
движка!
Обратите внимание, что данные способы эксплуатации могут быть в значительной мере
предотвращены лишь комплексно. Обратите самое пристальное внимание на модуль
Проактивной защиты – это инструмент, который позволяет максимально обезопасить ваш
ресурс от вторжений. Однако даже самый параноидальный режим безопасности не
исключает нахождения и эксплуатации очень ограниченной локальной уязвимости
злоумышленником – регулярно проводите аудит своего ресурса.
Скачать