Бдительность – защита от вирусов и вирусных атак

Alexandr    Web, Из жизни, Программирование, Сервера и хостинг     Вирусы, защита от вирусов

Вирусы. Всем нам хорошо известно, что понятие вирусов в сфере IT означает вредоносную программу или код, приносящую вред системе управления, крадущую конфиденциальную информацию, повышающую права на удаленной системе и многое, многое другое. Об этом уже не мало написано, очень много сказано и предпринято. Существует огромное количество антивирусных программ, как платных, так и бесплатных, различных способов защиты как целевых «машин» так и серверных платформ, но, на мой взгляд, единственным уязвимым местом во всей этой структуре является наличие человеческого фактора. Иными словами присутствие в этой цепочке человека, несет в себе, критическую уязвимость, закрыть которую вряд ли когда-либо удастся.

К чему я это все? Да вот хочу рассказать Вам историю, которая коснулась меня непосредственно и компанию, в которой я тружусь.

Дело было в конце декабря 2008 года. Работа шла своим чередом, и настроение было, как полагается перед предстоящим «Новым 2009 годом», праздничное. В статье по выбору хостинга я упоминал, что мне приходится иметь дело с довольно большим количеством хостинговых площадок и сайтов расположенных на них, а так же информацией о доступах к ним. Помимо меня доступ к этим данным имеют еще порядка пяти человек. И так день начался довольно не плохо, но ближе к обеду одна из сотрудниц сообщила мне, что один из наших сайтов оказался взломан. На языке «хекеров» это был Дефейс (с английского Deface - уродовать, искажать) - изменение страниц (ы) сайта на другую, выгодную взломщику, это может быть реклама, какой-то призыв и многое другое.

Ну такое случалось и не раз, поэтому по стандартной схеме был залит самый последний бэкап данного сайта и сменены данные на FTP, в частности пароль. Дело было сделано и об этом забыли как о обыденном.

Прошел день и еще на пару сайтов были замечены вмешательства тех самых «хекеров». По аналогии с первым они были так же восстановлены, но случай учащения насторожил меня. Сообщил об этом вышестоящему начальству, но пока как говорится, не было всплеска атаки, то действий, то же не было. Впереди близились выходные, наступила пятница и все весело побрели по домам и своим делам. Появление на работе в понедельник было не из самых приятных, было обнаружено, что на большинстве сайтов были те или иные вмешательства неизвестно кого. Некоторые сайты просто оказались продефейсены, некоторые грузили «Троянов» на пользовательскую машину, некоторые просто редиректили на порно и другие сайты наносящие вред. И с этого момента началась борьба, борьба как казалось бы с ерундой. А не тут то было. Хочу сразу сказать, что борьба эта закончилась только недавно, то есть спустя четыре с лишним месяца.

Сразу же нужно было приниматься за дело, так как ждать было нельзя. Итак, были потеряны около 3-4 суток, за которые можно было сделать все что угодно. Изначально было принято решение сменить все пароли на всех хостинговых аккаунтах, которых оказалось вместе с отдельными около 150, были удалены все старые аккаунты и созданы новые, так как не известно, что оказалось в руках у мошенников. Заняло это около суток, казалось бы большая часть работы сделана, но как показало время это ничего не дало и было лишь лишней тратой времени. Начали возникать вопросы, откуда произошла утечка, на сколько защищены рабочие станции пользователей имеющих доступ к конфиденциальной информации. Кто еще мог иметь доступ к этой информации, кроме тех, кому она нужна по работе и так далее.

Был намечен план борьбы со всем произошедшим:

• Просканировать все пользовательские машины на предмет вредоносных программ и кодов на отдельной, не зависимой «машине»
• Сменить все пароли на хостинговых аккаунтах(в момент смены доступ к аккаунтам не выдавался никому)
• Провеить все (!) аккаунты и сайты (около 1200-1500) на наличие вредоносного кода и уничтожить его.

Первый из пунктов был самый простой и занял по времени меньше всего, все машины были просканированы за неделю, на них было куча всякой ерунды, которая могла повлечь за собой хищение данных.

Этап второй то же в принципе был не столько трудоемок, сколько утомителен. Но делать нечего и он был выполнен в кратчайший срок.

А вот третий пункт сего плана действия завел в тупик. Как проверить такое количество файлов на вредоносный код, ведь затолкать этот самый код можно куда угодно, хоть в картинку и прописать в .htaccess исполнение кода даже в картинках. Долго думали над проблемой и никак не могли найти решение, а сайтов «зараженных» кодом было все больше с каждым днем, регистратор стал блокировать домены за фишинг, хостеры стали блокировать аккаунты за спам рассылки и нагрузку на сервер. Казалось это похоже на маленький АД и все кругом рушится(маленькое лирическое отступление). Но в то же время понимание того, что медлить нельзя, заставляло ворочаться извилины в мозгу в поисках решения.

Первое, что пришло на ум, это анализ и понятие того, как вредоносный код попадает на сайты, хостинги и «заражает» страницы. Ясное дело, что в связи с объемом всего произошедшего, о ручной работе «хекеров» не может быть и речи, соответственно все действия проводились в автоматическом(отлаженном) режиме. То есть все действия выполняла либо программа, либо скрипт. Значит, работа была потоковая. Работать с записью файлов в потоковом режиме через HTTP сложновато, поэтому, скорее всего все делалось через FTP, проанализировав логи пары серверов и поставив пару экспериментов, я убедился в свей точке зрения. Хорошо, метод атаки выяснили, теперь нужно было решить, как исправить последствия и устранить возможные «шеллы» и другие вредоносные коды, повышающие привилегии на удаленной «машине».

Мы поступили тем же методом, что и злоумышленники, а именно, в ручную эту работу выполнять было не реально и поэтому было решено ее автоматизировать скриптом. Были собраны «сигнатуры»(которые пополнялись в процессе работы) вредоносных кодов и скриптов, написан скрипт который как паук-сканер ходил по аккаунтам и проверял их на опасный код. Так же, было что-то на подобии «доверенных/не доверенных» кодов. Помимо общих сигнатур проверялись возможные опасные куски кода и в результате выводились как «возможно опасные» и отдельно искались «шеллы».

После проверки скриптом, проводилась ручная проверка сайтов и аккаунтов. И вот, наконец, работа была закончена пару дней назад, как я и говорил выше, это заняло 4 с лишним месяца. При этом на эти работы были потрачены как время, так и деньги, а так же рабочие единицы. Отсюда вывод сделанный очень давно, в нынешнем мире вирусные атаки, несут только комерческий характер, нацеленный на получение информации и извлечение из этого прибыли.

Хочу поблагодарить тех людей, которые помогали мне в этот период. Особенно программистов и моих друзей. Спасибо ребята.

А всем остальным хочу сказать, что информация, какая бы она не была, несет в себе цену, пускай для вас она не представляет цены, но возможно для кого-то.... Поэтому храните свои данные и не забывайте, что самой критической уязвимостью на данный момент от которой нету заплатки является человеческий фактор.

Понравилась заметка? Поделись!