Embed Size (px)
DESCRIPTION
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1 Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали. www.vk.com/siteprotect - группа ВК “Безопасность сайтов” twitter.com/revisium - Твиттер компании Revisium facebook.com/Revisium - страница Revisium в Facebook www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Citation preview
Простые и эффективные меры защиты сайта от взлома и вирусов
Григорий Земсков
22/04/2014
Знакомство
Григорий Земсков – директор “Ревизиум”, специалист по информационной безопасности, разработчик сканера AI-BOLIT
Компания “Ревизиум”С 2008 услуги в области информационной безопасности сайтов. Специализация – лечение сайтов и защита от взлома.
Цель данного вебинара:- обратить внимание на проблему информационной безопасности- рассказать о проблемах защиты сайтов и предложить варианты решений
Почему важно думать о безопасности сайта
Недостаточное внимание к проблеме инфобезопасности. Решают проблемы по мере поступления
Владелец сайта недооценивает риски взлома Владелец сайта не подозревает о взломе (54%!) Низкая осведомленность об ущербе Превентивное решение проблем помогает
сэкономить Статистика по данным проекта RUWARD:
- не знали – 54%, - решали проблему – 14%, - знали, но ничего не делали – 25%, - перестали заниматься сайтом – 7%.
Для чего хакеры взламывают сайты
Деньги, фан и рабочий инструмент Деньги:
- прямой и косвенный заработок- взлом по заказу - заработок на распространении вредоносного ПО
Фан/спортивный интерес (бескорыстное хулиганство) Инструмент:
- распространение вредоносного ПО- фишинг- организация ботнета- хранилище данных- промежуточное звено
Как хакеры находят “жертв”
Взлом по выборке:- из поисковой выдачи (“дорки”, inurl)- по базе каталогов- сайты с высоким тИЦ, PR, посещаемостью
Целевая атака на сайт, взлом по заказу Покупка доступов ко взломанным сайтам:
- доступы ftp- в админки - к хакерским шеллам
Чем страшен взлом. Последствия
Распространение вирусов Фишинг: воровство данных (кредитных карт,
доступов к другим сайтам) Хищение конфиденциальных данных посетителей Использование сайта для атак на другие сайты Нарушение работоспособности сайта, удаление сайта Размещение спам-ссылок Появление сайтов-клонов Рассылка спама Воровство трафика Ущерб для имиджа компании
Несколько слов о вирусах
Вирус – любой вредоносный код Вирус может:
- заражать компьютеры и мобильные устройства посетителей- выполнять переадресацию (редиректы) посетителей
На сайте вирус – это фрагмент html кода <script>, <iframe>, <embed>, <object> или директива сервера
Лечение вируса – удаление этого кода, либо кода, его инициирующего
Вирусы не появляются сами по себе
Варианты взлома сайта
Воровство FTP пароля или SSH пароля/ключей Подбор пароля от админ-панели сайта (брутфорс) Взлом через уязвимости сайта Взлом через хостинг:
- взлом панели управления- взлом через уязвимые сервисы сервера- взлом через соседние сайты
Как защитить сайт от взлома
Суть защиты – сокращение степеней свободы Защита не бывает удобной. Поиск баланса. Основные элементы защиты:
- обновить cms- каталоги и файлы – только для чтения- блокировка выполнения .php в спец.каталогах - доп. авторизация на админ-панель- отключения системных функций и chmod- sftp вместо ftp, отключить ftp- 1 аккаунт - 1 сайт - не хранить бэкапы и дампы в каталоге сайта- регулярная проверка компьютера антивирусом
Противодействие взлому: воруют ftp пароль
Использование sftp/scp подключения (ssh) вместо ftp
Включать ftp на момент работы с ним Авторизация по ip при работе через ftp
- в панели хостинга- через .ftpaccess
Не хранить пароль в ftp клиенте
Противодействие взлому: воруют админ пароль
Дополнительная авторизация админ-панели:- по ip- по кодовому слову- двойная авторизация через .htpasswd
Изменение url входа Установка плагина наподобие login lockdown,
jSecure
Противодействие взлому: если сайт уязвим
Регулярные обновления cms, установка патчей. Закрывают обнаруженные уязвимости.
Все системные каталоги – только для чтения. В каталоги загрузки, кэш-, временные – запрет
выполнения скриптов Отключение системных функций и chmod Установка на сайт web application firewall
Противодействие взлому: если уязвим сервер
Сервер должен обслуживаться опытным сисадмином:- обновление системного ПО- установка патчей на ядро- безопасная настройка сервисов- мониторинг активности- резервное копирование- выполнение процедуры “hardening” для всех элементов системы
Противодействие взлому: плохие “соседи”
Выбирать надежный хостинг Выбирать тариф с минимальным кол-вом “соседей” Размещаться на VDS/VPS Размещать на 1 аккаунте 1 сайт Ставить безопасные права на конфигурационные файлы и
public_html (в идеале 0400/0750) - запрет чтения для “других”
Не оставлять дампы/бэкапы в пользовательском каталоге
Превентивные меры безопасности и защиты Думать о безопасности заранее: сделать аудит, поставить защиту. Настроить мониторинг
- панели вебмастера Яндекса и Гугла- Яндекс.Метрика- он-лайн антивирусы- включение логов (ftp/ веб / почтового / “админки”)
Настройка резервного копирования Защищать сайт средствами ОС и веб-сервера, не плагинами Регулярное сканирование на вредоносный код. Сканер AI-BOLIT Проактивная защита Контроль целостности
Техника безопасности при работе с сайтом
Не доверять и проверять: - каждому администратору свой аккаунт- удалять аккаунт после завершения работы фрилансера- регулярная смена паролей у штатных админов
Регулярная смена паролей от хостинга, ftp аккаунтов, почтовых ящиков
Проверка антивирусом всех рабочих компьютеров Не хранить пароли в рабочих программах (ftp клиентах) sftp/scp вместо ftp
Что делать, если сайт взломали?
Закрыть доступ к сайту для посетителей Проверить рабочие компьютеры антивирусом Сменить все пароли (от хостинг-панели, от ftp
иsftp/ssh/scp) Запросить в тех поддержке хостинга логи веб-сервера, ftp
сервера за максимально доступный период Сделать резервную копию текущей версии сайта Зафиксировать дату/время обнаружения проблемы Восстановить сайт из резервной копии Просканировать сайт на вредоносный код, вылечить,
установить защиту, либо обратиться к специалистам
Типичные уязвимые компоненты cms
Wordpress- timthumb.php (в темах и плагинах), memcached (если не отключены комментарии и включены динамич. сниппеты), открытая админ-панель (через редакт. шаблонов)
Joomla- com_jce, nonumberframework, tinymce, fckeditor
Другие- fckeditor, tinymce, tellafriend, phpinfo, cURL библиотека
Где проверять компоненты- exploit-db.com, 1337day.com, forum.antichat.ru, rdot.org
Проблемы с хостингом
Первым делом – обвиняют хостинг Не надеяться на хостинг:
- проблемы с резервными копиями и логами- халатность администраторов- технические сбои- старые версии ПО, безграмотная политика безопасности
Доверять крупным и долгожителям
Популярные заблуждения владельцев сайтов
Вариант 1: Мы удалили вирус с сайта, Яндекс (Гугл, Касперский) перестал «ругаться», нам бы теперь только защиту поставить и все.Вариант 2: Яндекс (Гугл, Касперский) показывал сайт «вредоносным» в поисковой выдаче, а сейчас все в порядке. Значит, сайт не нужно лечить.
Вариант 1: Я проверил архив сайта антивирусом Касперского, Dr. Web, но они не нашли вирусов на сайте. Значит хакерских шеллов на сайте нет.Вариант 2: При копировании сайта на компьютер Касперский удалил несколько файлов с вирусом. Значит сайт у меня сейчас чистый.
У меня постоянно запущен антивирус, вирусов на компьютере быть не должно и пароли украсть не могли.
Я почистил сайт от вредоносного кода, теперь сайт не заразится. Вариант 1: На админ-панель стоит сложный и длинный пароль, значит сайт
в безопасности.Вариант 2: У меня установлен «супер-пупер-плагин-безопасности», значит админ-панель защищена.
Вариант 1: Я сделал все файлы скриптов и шаблонов, а также часть каталогов доступными «только для чтения». Теперь хакеры не смогут ничего изменить.Вариант 2: Я поставил на файл .htaccess атрибут «только для чтения» и сменил у файла владельца на root. Теперь хакеры не смогут добавить вредоносный редирект в .htaccess.
Благодарю за внимание!
Контактная информацияГригорий Земсков, компания “Ревизиум”revisium.com , email: [email protected],skype: greg_zemskov
Следуйте за нами!www.vk.com/siteprotect - группа ВК “Безопасность сайтов”twitter.com/revisium - наш Твиттерfacebook.com/Revisium - страница в Facebookwww.revisium.com/ru/blog/ - наш блог (rss подписка)
Специальное предложение для слушателей вебинара >>>
Спецпредложение
Первым 20 обратившимся слушателям вебинара мы предоставим скидку 20% на услугу защиты сайта от вирусов и взлома.
Ваш сайт станет неуязвимым для вирусов и неприступным для хакеров.
Напишите на [email protected] , указав в обращении промо-код: SKILLFACTORY04
Вопросы
А теперь ваши вопросы.
