Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
2. Знакомство
Григорий Земсков – директор “Ревизиум”,
специалист по информационной безопасности,
разработчик сканера AI-BOLIT
Компания “Ревизиум”
С 2008 услуги в области информационной
безопасности сайтов. Специализация – лечение
сайтов и защита от взлома.
Цель данного вебинара:
- обратить внимание на проблему информационной безопасности
- рассказать о проблемах защиты сайтов и предложить варианты
решений
3. Почему важно думать о безопасности сайта
Недостаточное внимание к проблеме
инфобезопасности. Решают проблемы по мере
поступления
Владелец сайта недооценивает риски взлома
Владелец сайта не подозревает о взломе (54%!)
Низкая осведомленность об ущербе
Превентивное решение проблем помогает
сэкономить
Статистика по данным проекта RUWARD:
- не знали – 54%,
- решали проблему – 14%,
- знали, но ничего не делали – 25%,
- перестали заниматься сайтом – 7%.
4. Для чего хакеры взламывают сайты
Деньги, фан и рабочий инструмент
Деньги:
- прямой и косвенный заработок
- взлом по заказу
- заработок на распространении вредоносного ПО
Фан/спортивный интерес (бескорыстное
хулиганство)
Инструмент:
- распространение вредоносного ПО
- фишинг
- организация ботнета
- хранилище данных
- промежуточное звено
5. Как хакеры находят “жертв”
Взлом по выборке:
- из поисковой выдачи (“дорки”, inurl)
- по базе каталогов
- сайты с высоким тИЦ, PR, посещаемостью
Целевая атака на сайт, взлом по заказу
Покупка доступов ко взломанным сайтам:
- доступы ftp
- в админки
- к хакерским шеллам
6. Чем страшен взлом. Последствия
Распространение вирусов
Фишинг: воровство данных (кредитных карт,
доступов к другим сайтам)
Хищение конфиденциальных данных посетителей
Использование сайта для атак на другие сайты
Нарушение работоспособности сайта, удаление
сайта
Размещение спам-ссылок
Появление сайтов-клонов
Рассылка спама
Воровство трафика
Ущерб для имиджа компании
7. Несколько слов о вирусах
Вирус – любой вредоносный код
Вирус может:
- заражать компьютеры и мобильные устройства
посетителей
- выполнять переадресацию (редиректы)
посетителей
На сайте вирус – это фрагмент html кода <script>,
<iframe>, <embed>, <object> или директива сервера
Лечение вируса – удаление этого кода, либо кода,
его инициирующего
Вирусы не появляются сами по себе
8. Варианты взлома сайта
Воровство FTP пароля или SSH пароля/ключей
Подбор пароля от админ-панели сайта (брутфорс)
Взлом через уязвимости сайта
Взлом через хостинг:
- взлом панели управления
- взлом через уязвимые сервисы сервера
- взлом через соседние сайты
9. Как защитить сайт от взлома
Суть защиты – сокращение степеней свободы
Защита не бывает удобной. Поиск баланса.
Основные элементы защиты:
- обновить cms
- каталоги и файлы – только для чтения
- блокировка выполнения .php в спец.каталогах
- доп. авторизация на админ-панель
- отключения системных функций и chmod
- sftp вместо ftp, отключить ftp
- 1 аккаунт - 1 сайт
- не хранить бэкапы и дампы в каталоге сайта
- регулярная проверка компьютера антивирусом
10. Противодействие взлому: воруют ftp пароль
Использование sftp/scp подключения (ssh) вместо
ftp
Включать ftp на момент работы с ним
Авторизация по ip при работе через ftp
- в панели хостинга
- через .ftpaccess
Не хранить пароль в ftp клиенте
11. Противодействие взлому: воруют админ пароль
Дополнительная авторизация админ-панели:
- по ip
- по кодовому слову
- двойная авторизация через .htpasswd
Изменение url входа
Установка плагина наподобие login lockdown,
jSecure
12. Противодействие взлому: если сайт уязвим
Регулярные обновления cms, установка патчей.
Закрывают обнаруженные уязвимости.
Все системные каталоги – только для чтения.
В каталоги загрузки, кэш-, временные – запрет
выполнения скриптов
Отключение системных функций и chmod
Установка на сайт web application firewall
13. Противодействие взлому: если уязвим сервер
Сервер должен обслуживаться опытным
сисадмином:
- обновление системного ПО
- установка патчей на ядро
- безопасная настройка сервисов
- мониторинг активности
- резервное копирование
- выполнение процедуры “hardening” для всех
элементов системы
14. Противодействие взлому: плохие “соседи”
Выбирать надежный хостинг
Выбирать тариф с минимальным кол-вом “соседей”
Размещаться на VDS/VPS
Размещать на 1 аккаунте 1 сайт
Ставить безопасные права на конфигурационные
файлы и public_html (в идеале 0400/0750) - запрет
чтения для “других”
Не оставлять дампы/бэкапы в пользовательском
каталоге
15. Превентивные меры безопасности и защиты
Думать о безопасности заранее: сделать аудит,
поставить защиту.
Настроить мониторинг
- панели вебмастера Яндекса и Гугла
- Яндекс.Метрика
- он-лайн антивирусы
- включение логов (ftp/ веб / почтового / “админки”)
Настройка резервного копирования
Защищать сайт средствами ОС и веб-сервера, не
плагинами
Регулярное сканирование на вредоносный код.
Сканер AI-BOLIT
Проактивная защита
Контроль целостности
16. Техника безопасности при работе с сайтом
Не доверять и проверять:
- каждому администратору свой аккаунт
- удалять аккаунт после завершения работы
фрилансера
- регулярная смена паролей у штатных админов
Регулярная смена паролей от хостинга, ftp
аккаунтов, почтовых ящиков
Проверка антивирусом всех рабочих компьютеров
Не хранить пароли в рабочих программах (ftp
клиентах)
sftp/scp вместо ftp
17. Что делать, если сайт взломали?
Закрыть доступ к сайту для посетителей
Проверить рабочие компьютеры антивирусом
Сменить все пароли (от хостинг-панели, от ftp
иsftp/ssh/scp)
Запросить в тех поддержке хостинга логи веб-
сервера, ftp сервера за максимально доступный
период
Сделать резервную копию текущей версии сайта
Зафиксировать дату/время обнаружения проблемы
Восстановить сайт из резервной копии
Просканировать сайт на вредоносный код,
вылечить, установить защиту, либо обратиться к
специалистам
18. Типичные уязвимые компоненты cms
Wordpress
- timthumb.php (в темах и плагинах), memcached
(если не отключены комментарии и включены
динамич. сниппеты), открытая админ-панель (через
редакт. шаблонов)
Joomla
- com_jce, nonumberframework, tinymce, fckeditor
Другие
- fckeditor, tinymce, tellafriend, phpinfo, cURL
библиотека
Где проверять компоненты
- exploit-db.com, 1337day.com, forum.antichat.ru,
rdot.org
19. Проблемы с хостингом
Первым делом – обвиняют хостинг
Не надеяться на хостинг:
- проблемы с резервными копиями и логами
- халатность администраторов
- технические сбои
- старые версии ПО, безграмотная политика
безопасности
Доверять крупным и долгожителям
20. Популярные заблуждения владельцев сайтов
Вариант 1: Мы удалили вирус с сайта, Яндекс (Гугл, Касперский) перестал
«ругаться», нам бы теперь только защиту поставить и все.
Вариант 2: Яндекс (Гугл, Касперский) показывал сайт «вредоносным»
в поисковой выдаче, а сейчас все в порядке. Значит, сайт не нужно лечить.
Вариант 1: Я проверил архив сайта антивирусом Касперского, Dr. Web, но они
не нашли вирусов на сайте. Значит хакерских шеллов на сайте нет.
Вариант 2: При копировании сайта на компьютер Касперский удалил
несколько файлов с вирусом. Значит сайт у меня сейчас чистый.
У меня постоянно запущен антивирус, вирусов на компьютере быть не должно
и пароли украсть не могли.
Я почистил сайт от вредоносного кода, теперь сайт не заразится.
Вариант 1: На админ-панель стоит сложный и длинный пароль, значит сайт
в безопасности.
Вариант 2: У меня установлен «супер-пупер-плагин-безопасности», значит
админ-панель защищена.
Вариант 1: Я сделал все файлы скриптов и шаблонов, а также часть каталогов
доступными «только для чтения». Теперь хакеры не смогут ничего изменить.
Вариант 2: Я поставил на файл .htaccess атрибут «только для чтения» и сменил
у файла владельца на root. Теперь хакеры не смогут добавить вредоносный
редирект в .htaccess.
21. Благодарю за внимание!
Контактная информация
Григорий Земсков, компания “Ревизиум”
revisium.com , email: audit@revisium.com,
skype: greg_zemskov
Следуйте за нами!
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - наш Твиттер
facebook.com/Revisium - страница в Facebook
www.revisium.com/ru/blog/ - наш блог (rss подписка)
Специальное предложение для слушателей
вебинара >>>
22. Спецпредложение
Первым 20 обратившимся слушателям вебинара мы
предоставим скидку 20% на услугу защиты сайта от
вирусов и взлома.
Ваш сайт станет неуязвимым для вирусов и
неприступным для хакеров.
Напишите на audit@revisium.com , указав в
обращении промо-код: SKILLFACTORY04