FAQ по ботнетам.
Mr. RobotНе секрет, что большинство продуктов на рынке spyware, содержат различные уязвимости как в гейтах, так и в админках. Поэтому лакомый кусочек для хакера, является оставленные дефлотовые настройки (стандартные пароли, названия скриптов).
Особенно, если вы пользуетесь нелицензионным spyware и скачали его с паблик форума(скорее всего, в нем будут бекдоры), либо купили продукт у третьих лиц.
Избегайте стандартных названий папок и скриптов, таких как config.php, admin.php, gate.php, /cp/, /citadel/ и т.п
Обычно ваш хост подвергается поиску сканером директорий, а в него как раз загружены такие стандартные названия. Не забывайте удалять файлы типа test.php, info.php с phpinfo() информацией, а также скрипты установок в директориях /install/, install.php
Рекомендация №1:
Всегда ставьте на важные скрипты (админка, гейт, директория с троем) нестандартные имена типа /j25zdAF/ и j2nwdgasFSf.php
Второй момент, недавно был произведена идентификация владельцов ботнета Koobface, а все благодаря глупому человеческому фактору, ребята просто забыли удалить публичную статистику посещений Webalizer с веб-сервера, а ведь на этом погорело не один десяток хостов.
Потому что если сервер настраивали на скорую руку, ставили туда стандартную панель управления типа cPanel, с большой вероятностью к каждому новому добавленому домену через панель, имеется открытая статистика логов, доступная с веюа. В ней видно все: пути обращения, IP-адреса, время, геолокация и т.п
Рекомендация 2:
Убедитесь что на вашем сервере отсутствует статистика посещений Webalizer, а также логи доступа Apache: error_log & access_log в веб-директории (а лучше убирать их полностью). Если вы следовали данным рекомендациям, это еще не значит что вы защищены от взлома, поскольку ваш ехе-файл, скорее всего содержит необходимые пути до гейта и конфигов, значит их можно вытащить любим сниффером трафика, например Proxifier или HTTP Debugger Pro.
Предположим, что какой-нибудь блоггер опубликует ваши пути до веб-файлов, это представляет из себя особую опасность, поскольку существуют целые группы умельцев, которые следят за свежими блог-постами, в надежде сорвать куш и захватить ваших ботов горячими.
Здесь играет на руку такой фактор, как наличие уязвимостей в гейтах, очень часто бывало так, что атакующий инфицирует себя ехе-файлом, прикидывается ботом и дешифровывая конфиг, понимая что и куда идет: он может запросто залить php-шелл через upload отчетов (сертификаты, видео, рез-тат граббинга) в директорию, если здесь есть баг или выставлены неправильно права. Даже если у вас стоит фильтрация на расширение загружаемых файлов, он может закачать к примеру cert.crt с кодом php-шелла и через уязвимость класса local include php и перехватить доступ на ваш сервер.
Рекомендация 3:
Не ставьте chmod 777,666 и другие виды "доступных" прав просто так направо и налево, если вам нужно установить админку, поставили - установили - вернули права. Всегда возвращайте права у файлов назад на 644, у директорий на 755.
Любые доступные права, позволяют атакующему в случае проникновения, записать бекдоры в такие файлы и папки
Следущий очень важный момент: в любом качественном продукте, содержится возможность указания резервных доменов, на случай недоступности основного. Если ваш софт не обладает достаточным шифрованием конфига, его можно расшифровать любыми средствами, например ZeusDecrypter'ом для Zeus.
Там будет весь список этих доменов, многие наши коллеги, указывают в качестве резервных хостов незарегистрированные доменные имена. Атакующий быстренько DDoS'ит ваш основной хост и регистрирует резервный домен, переманивая всех ваших ботов на свой хост.
Рекомендация 4:
Всегда выставляйте пишующие права доступа только на нужные файлы, после установки скриптов возвращайте их назад. Никогда не указывайте в качестве резервных зон незарегистрированные доменные имена.
Еще большую опасность представляют сторонние скрипты и админки инжектов, устанавливаемые на этот хост. Админку продукта тщательно проверяют разработчики, а вот с инжектами все обстоит иначе, кодеры обычно заинтересованы больше в работоспособности инжекта, и поэтому вопросы безопасности отправляются на второй план. Например, часто инжекты содержат возможность заливки сертификата холдера на ваш хост, убедитесь что скрипт достаточно защищен от закачивания посторонних файлов. Или же, один раз, я был свидетелем как бекдор содержался в безобидном скрипте отправки данных на Jabber (Библиотека XMPP PHP), потому что скачивался он с какого-то хак форума.
Рекомендация 5:
Не ставьте скрипты инжектов/лоадера/эксплойтов на тот же хост и аккаунт в системе, что и ваш ботнет, разграничвайте права доступа. Скачивайте библиотеки с официальных сайтов разработчиков. Создавайте много аккаунтов на сервере, для каждого определяйте свои задачи.
На очереди остаются скачиваемые крякнутые версии троев и модифицированых админок с паблик форумов, бывает так, что авторами публикаций движет не желание поделиться чем-то с народом, а жажда наживы, при этом игра идет на халяве как обычно. Скорее всего, такие скрипты содержат скрытые бекдоры, которые отсылают авторам данные вашей админки и предоставляют открытый доступ туда через скрытые функции. Такие бекдоры обычно прячут в функции base64_encode() и eval(), но все варианты не предусмотришь, поэтому без знаний в области программирования, вряд ли вы сможете найти такое место.
Рекомендация 6:
Покупайте только лицензионные продукты у авторов, не ведитесь на халяву и низкую цену у третьих лиц. От этого проиграете только вы сами, единственное для чего может потребоваться использование таких версий - это для личного ознакомления, но никак не для использования с целью получения профита.
Встречались и такие случаи, когда человек обращается к какой-нибудь малоизвестной личности за услугами криптовки ехе-файлов, и в результате получает свой файл, но с сюрпризом: к основному файлу был приджойнен дополнительный ехе-файл, который грузил дополнительно подмену выдачи криптера.
Рекомендация 7:
Пользуйтесь услугами зарекомендовавших себя людей в сфере криптовки файлов.
