› Kategoria › Niebezpieczeństwo w sieci

Atak brute force jako GoogleBot na WordPress – jak wykryć

 Kategorie: Administracja serwerami, Niebezpieczeństwo w sieci   Dodano: 15 stycznia 2015 16:39  

Sprawa dość świeża (choć problem bardzo stary), bo pierwsze sygnały o atakach pojawiły się już 14 stycznia 2015.

Odporny na skanowanie popularnym “clamscan”, bot wkradł się na wiele serwerów, dokunując ataków typu brute force na inne skrypty, najczęściej WordPress, podając się za “GoogleBot”. Przykładowe logi serwera atakowanego:

IP - - [14/Jan/2015:19:12:04 +0100] "POST wp-login.php HTTP/1.1" 200 3865 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
IP - - [14/Jan/2015:21:20:10 +0100] "POST wp-login.php HTTP/1.1" 200 6166 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
IP - - [14/Jan/2015:19:12:04 +0100] "POST wp-login.php HTTP/1.1" 200 3865 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Zabezpieczenie przed atakami to po prostu ograniczenie dostępu do pliku “wp-login.php” poprzez filtrowanie IP, lub dodatkowa autoryzacja wykorzystując “htpassword”.

Jednak jak wykryć czy nasz serwer nie padł ofiarą owego bota, stając się elementem większego bot-neta:

Dla całego katalogu /home lub odpowiedniego katalogu z danymi www, wykonujemy skanowanie plików php po zawartości:
grep -lir '\\x.\\x.\\x.' /home
Polecenie zwróci listę potencjalnie zainfekowanych plików.

Aby maksymalnie zwiększyć zasięg skanowania, polecenie:
grep -lir "?><?php" /home
Zwróci wszystkie pliki, które korzystają z “doklejonego” fragmentu kodu php.

Dodatkowe metody zabezpieczenia serwera:
– ustawienie chmodów wszystkich plików na : 0666, folderów na: 0755
– wyłączenie funkcji “eval” w php
– regularne skanowanie programem “clamscan”

UPDATE 16.01.2015:
aktualizacja polecenia “grep” – dostosowanie pod większą grupę potencjalnie niebezpiecznych plików.

UPDATE 18.01.2015:
Skrypt automatycznie usuwający zainfekowany kod z plików:

1) Zawartość zapisujemy jako “clean.sh” i nadajemy chmody +x:

#!/bin/bash
FILE=$1
if [ -f $FILE ]
then
`sed '1d' $FILE > $FILE.tmp`
`mv $FILE.tmp $FILE`
`sed -i 1i"<?php" $FILE`
echo "file($FILE) : OK";
else
echo "file($FILE) : NOT FOUND";
fi


2) Generujemy liste zainfektowanych plików:
grep -lir '\\x.\\x.\\x.' /home > all.txt

3) Uruchamiamy skrypt dla każdego znalezionego pliku:
cat all.txt | xargs -n1 ./clean.sh

4) Jeśli wykonywaliśmy skrypt jako root, trzeba jeszcze przywrócić właściciela pliku.
chown user:user -R /home/user

Google mail poniżej oczekiwań klientów i użytkowników

 Kategorie: google, Niebezpieczeństwo w sieci, Technologie/Informatyka, Zarabianie na stronie www   Dodano: 13 maja 2012 12:46  

Jeszcze jakiś czas temu Google słynęło jako potentat nowoych technologii, które sukcesywnie podbijały rynek. Od czasu do czasu pojawiały się kompletnie nieudane projekty, jednak dość szybko znikały one z pozycji usług giganta.

Czy Google Mail podzieli los innych nieudanych usług?

Na początek krótki przedstawienie usługi: Google w ramach “skrzynki elektronicznej” zapewnia obsługę naszych wiadomości e-mailowych. Rejestracja nie odbiega zbytnio od pozostałych, konkurencyjnych usług, podajemy adres i w przeciągu kilku chwil cieszymy się naszym nowym adresem pocztowym..

XXI wiek, masa poradników w sieci na temat konfiguracji własnej skrzynki pocztowej raczej nie służa Google 🙂 Gdy usługa była zdrażana na polski rynek, internauci jeszcze nie zdążyli dobrze obejść się z ofertami onetu, interii czy wirtualnej polski. Tłumaczy to aż taki sukces gmail-a.
Google mail nie odbiega niczym od amatorskich skrzynek pocztowych.

Szyfrowanie danych, obsługa antyspamowa, brak limitu transferu, kilku-gigobajotwa przestrzeń dyskowa, to główne “walory” google mail-a. Spójrzmy jednak na rzeczywistość.. Przeciętna firma posiadająca własny serwer, może sobie taką poczŧę utworzyć w mniej niż kilka minut i wcale nie wymaga to od niej informatycznych zdolności..

Większość użytkowników gmaila chwali sobie filtry antyspamowe.. Faktycznie skrzynka jest w większości przypadków wolna od spamu, lecz jakie są tego konsekwencje? Można się o tym przekonać mailując często z obsługą klienta różnych mniejszych firm.. np. kupiliśmy przedmiot na małym portalu aukcyjnym, podaliśmy swoje dane i czekamy na odpowiedź z terminem wysyłki itp.. Próżno się takiego maila doczekać, od strony obsługi sklepu nasz mail będzie po prostu niedostępny i traktowany na równi z podaniem niewłaściwego adresu..

Kolejny przykład to mailowanie w celu uzyskania jakieś porady przez biuro obsługi firm usługowych. Jak każdy zapewne wie, wymiana zdań może rozciągnąć się nawet na kilkanaście maili, bardzo łatwo można sobie wyobrazić, że np. połowa maili do nas nie dotrze 😉 – nie jest to żadkość w przypadku google mail, lecz smutna rzeczywistość..

 

Dorzucając do tego wręcz śmieszne limity googla w przypadku oferty dla firm, otrzymujemy prawdziwe oblicze Google Mail-a..

Czy można się spodziewać powolnej śmierci usługi google mail?

Spece Googla od marketingu zapewne przeanalizowali problem od potrzewki, więc nie spodziewajmy się jakichkolwiek zmian 😉 Google ma wnakomitą renomę i teraz tę renomę wykorzystuje do własnych celów i maxymalizacji zysków..

 

Google zarabia na naszych e-mailach.

Od czasu zmiany polityki prywatności przez google, wszystkie konta = usługi google są powiązane wspólnym kontem. Oznacza to tyle, że wpis w kalendarzu google, wpisana fraza w wyszukiwarce, czy wysłany e-mail są traktowane na równi i przynoszą dość obszernych informacji o użytkowniku. Informacje te są przetwarzane i na ich podstawie generowany jest “profil klienta” (takie właśnie przetwarzanie to ostatnio szczyt mody na polskim rynku mediów elektronicznych).

Kwiestią czasu jest fakt, kiedy przeglądając strony w sieci natchniemy się na reklamy Google Adsense, w których zobaczymy ofertę firmy, z którą chwilę temu mailowaliśmy, lub ofertę sklepu z meblami, w którym znajdziemy biórko, polubione na g+…

 

Oczywiście wszystko w imię dobra klientów 😉

Cenzura w Internecie – “nielagalne” mp3

 Kategorie: Niebezpieczeństwo w sieci, Wyszukiwarki www   Dodano: 10 kwietnia 2012 19:57  

Strony, które umożliwiają publikowanie nieautoryzowanych plików, powinny być niżej pozycjonowane w wyszukiwarkach – takie propozycje przedstawili posiadacze praw autorskich w Wielkiej Brytanii, a padły one w trakcie poufnych rozmów, wspieranych przez organizację rządową. Wygląda na to, że tego rodzaju tajemnice ma coraz więcej rządów w Europie.

Takimi słowami dziennik internautów zaczyna temat cenzury w wynikach wyszukiwania. Przyjrzyjmy się wstępowi jeszcze raz. Na 1szy rzut oka ta inicjatywa może się wydawać wspaniałomyślna i wręcz porządana przez szerokie grono internautów.

Bo przecież trzeba walczyć z nielegalnymi plikami, których przecież jest tak wiele w internecie! “Wielkie firmy tracą setki milionów dolarów rocznie przez nielegalną działalność małych serwisów z plikami oraz sieci P2P”.. czytamy w nagłówkach różnych artykułów.. Jednak czy to prawda?

Przyjrzyjmy się temu problemowi z poziomu zwykłego użytkownika na przykładzie muzyki. Miłośnik muzyki pop, chce pobrać w sieci najnowszy utwór  Lady Gaga, szuka szuka, korzysta z wieli narzędzi, takich jak np. wyszukiwarka mp3 znajduje mp3 i pobiera za darmo. Jeśli mu się podoba, idzie na koncerty owej “wokalistki”, kupuje płyty czy zapisuje się do różnych “fanpage”-ów.. Jednym słowem jest “dobrym klientem” agencji muzycznej.

Łatwo przewidzieć co się stanie jeśli użytkownik nie będzie mógł pobierać mp3 swoich ulubionych artystów.. Po wpisaniu w wyszukiwarkę www frazy utworu, znajdzie jedynie oficjalne informacje na temat artystki oraz oczywiście płatne mp3.. Nie będzie miał stałego przeglądu utworów (kogo stać na płacenie kilku dolców za każdą mp3? ) więc zacznie szukać innego żródła rozrywki, oczywiście trafi prosto na największą konkurencję wielkich wytwórni muzycznych więc małych twórców, którzy od czasu pierwszych blokach “nielegalnych mp3” w sieci przeżywają prawdziwy BUM popularności.

 

Powracając do tematu ;] Jaki skutek ma wprowadzenie taich blokad na cenzurę z sieci?

Obok twórców muzyki popularnej istnieje wiele młodych zdolnych artystów, niestety bez zaplecza “wielkich” agencji, którzy produkują muzykę o wiele lepszą i “zdrowszą”. Użytkownik wpisując odpowiednie zapytanie w wyszukiwarce, będzie skazany na słuchanie tylko takiej muzyki, jaką agencje muzyczne mu zaserwują.

Co za tym idzie przeciętny użytkownik będzie płacił bardzo duże pieniądze za kupowanie MP3, nie wiedząc nawet, że istnieją o wiele lepsze MP3, które mogą być pobierane całkowicie za darmo..

Kody szpiegujące – cenzura internetu

 Kategorie: Niebezpieczeństwo w sieci, poradniki, Porady dla webmasterów, Technologie/Informatyka   Dodano: 12 marca 2012 14:48  

W kolejnym artykule pokażemy jak najzwyklejsze kody zewnętrznych skryptów javascript mogą się przyczynić do łatwiejszego cenzorowania sieci.

Na początek warto przypomnieć co to są te kody szpiegujące:

– reklamy
– statystyki odwiedzin
– komponenty (liczniki)

– elementy skryptów użytkowych hostingowane na dużych serwerowniach (dobrym przykładem jest google code, które pozwala na hotlink swoich skryptów – zamiast pobierać cały skrypt na dysk, linkować w kodzie strony, uploadować na serwer, po prostu wklejamy gotowy kod html z linkiem zewnętrznym do skryptu i problem transferu oraz aktualizacji skryptu mamy z głowy)

Oczywiście nie można zapomnieć o tzn “cloud”-ingu:

– “chmury” > serwery które oferują przekierowanie całęgo ruchu z naszej witryny na globalny serwer, który np. chroni nas przed DDOC (oraz wiele wiele innych pseudoulepszeń)

Jednak przejdźmy do konkretów.. Jak rzekome ulepszenie Internetu może wpłynąć na jego cenzurę?

Fakty: Czy kiedyś zdarzyło Ci się czekać dość długo na wczytanie jakieś strony www?

W zasadzie to pytanie można by było sformułować inaczej: Ile razy zdarzyło ci się bez jakichkolwiek problemów otworzyć stronę www? 😉

Jak wynika ze statystyk, użytkownicy unikają “zamulaczy” czyli stron które się długo uruchamiają
. Jeśli ktoś ma do wyboru przeglądać np. galerie zdjęć na stronie, której wczytanie zdjęcia zajmuje 10sekund, lub stronę gdzie zdjęcie ładuje się 0.5sekundy, jest oczywiste, że wybierze tę drugą.

Teraz najciekasze, jak owo zamulanie strony przełorzyć na wymuszenie na użytkownikach przeglądanie konkretnych treści?

Okazuje się, że banalnie prosto: mając panel zarządzający sporą ilością stron internetowych, pokatalogowanych wg ścieśle określonych kategorii, grup wiekowych, profili użytkowników, itp. możemy pewne grupy witryn celowo zwolnić, aby wymusić na użytkownikach najzwyklejsze porzucenie przeglądanie konkretnych witryn i tak jakby zmusić go do porzucenia swojej idei i skierowanie go na inny typ stron www.

Przykład: Wracamy ze szkoły, pracy, jesteśmy już trochę zmęczeni, siadamy przed komputer po obiedzie, aby poczytać wiadomości, przeglądać pocztę, poszpiegować znajomych na fb, pościągać ulubioną muzykę, poczytać demoty czy dowcipy..

Wchodzimy na nasz ulubiony portal informacyjny i czekamy aż strona się załaduje.. Czekamy, czekamy, znowu czekamy… Po jakimś czasie stwierdzamy, że jednak nic z tego nie wyjdzie, mając na uwadze cały nasz harmonogram przemieszczania się w sieci, przechodzimy do kolejnego punktu czyli sprawdzamy pocztę..

Bardzo realistyczna sytuacja i jak się okazuje dość często spotykana. Efekt osiągnięty 😉 Przekierowanie użytkownika na inny kanał tematyczny.

Ktoś mógłby powiedzieć CZYŚ TY CZŁOWIEKU ZGŁUPIAŁ! PRZECIEŻ TO ŻADNA CENZURA! I TAK ODWIEDZE MOJE STRONY!

Warto pamiętać, że cenzura to nie tylko bezpośrednie zakazanie przeglądania danej treści, dożo lepszy efekt osiąga się poprzez wpływanie na użytkownika w taki sposób aby on sam stwierdził, że nie potrzebuje przeglądania danych treści. Zachaczamy już o techniki manipulacji tłumem, więc tu się zatrzymamy.

Ten artykuł miał tylko uzmysłowić, że cenzura internetu odbywa się całkowicie z innej strony niż się tego spodziewamy 😉 A dobrym sposobem aby to osiągnać są kody umieszczane coraz częściej na witrynach.

W kolejnych artykułach postaramy się pokazać inne techniki cenzurowania internetu.