Сайт после взлома: удаление редиректов и дорвеев

Григорий Земсков, компания “Ревизиум”

Вебинар PENTESTIT

О себе

“Ревизиум” – лечение и защита сайтов

– Григорий Земсков, директор– Разработчик сканера “AI-Bolit”

© “Ревизиум”, 2014, www.revisium.com

Причины взлома

1. Заработок 2. Тренировка3. Хулиганство или сведение счетов

© “Ревизиум”, 2014, www.revisium.com

Следствия взлома

1. Вирусы или несанкц. реклама2. Редиректы3. Дорвеи4. Спам рассылка5. Black Hat Seo, фишинг, дефейс и

другое© “Ревизиум”, 2014, www.revisium.com

“Закладки” и лазейки

• Веб-шеллы, бэкдоры, аплоадеры• Менеджеры БД (sxd, pma,

mysqladminer)• Инжекты в сервисы• Привилегированная учетная запись• suid/guid файлы © “Ревизиум”, 2014, www.revisium.com

[1] Вирусы

<script … /><iframe… /><embed …/><object… />html tags© “Ревизиум”, 2014, www.revisium.com

[2] Редиректы

Несанкционированная переадресацияМобильные / поисковые / загрузкаДля чего:• Воровство посетителей• Партнерские программы• Drive-By Downloads© “Ревизиум”, 2014, www.revisium.com

[2] Как работают

• Строка user agent, ip адрес для определения мобильной сети или страны,время захода, cookie, ссылающийся сайт или поисковая система, url страницы

© “Ревизиум”, 2014, www.revisium.com

[2] Статические

• Код всегда на странице или в файле

• Редирект на один и тот же ресурс• Вставка в .htaccess, nginx.conf,

javascript или файл .php• Легко поймать и удалить© “Ревизиум”, 2014, www.revisium.com

[2] Динамические

• Код вставляется эпизодически• Редирект на разные ресурсы• Учитывает параметры пользователя• Инжект в сервер, код php +

javascript• Сложно поймать и удалить© “Ревизиум”, 2014, www.revisium.com

[2] Анализ

• Панели веб-мастера поисковых систем

• Специализированные сервисы (YaGo, Sucuri)

• Инструменты разработчика браузеров

• Снифферы траффика © “Ревизиум”, 2014, www.revisium.com

[2] Типы

• Серверные (301/302 HTTP статус)• Клиентские (скрипты, flash, activeX)• Смешанные (на сервере

формируется клиентский код)

© “Ревизиум”, 2014, www.revisium.com

[2] Пример серверного 1

© “Ревизиум”, 2014, www.revisium.com

[2] Пример серверного 2

© “Ревизиум”, 2014, www.revisium.com

[2] Как воспроизвести

© “Ревизиум”, 2014, www.revisium.com

• Запрос с подменой User Agent и поля Referer (инструменты Simple REST Client, Chrome UA Spoofer, HTTP Sniffer’ы / Wireshark)

[2] Как воспроизвести

© “Ревизиум”, 2014, www.revisium.com

• User Agent Spoofer (Chrome)

[2] Как воспроизвести

© “Ревизиум”, 2014, www.revisium.com

• Simple REST Client (Chrome)

[2] Анализ сессии

• Инструменты разработчика браузеров

• Снифферы (например, Wireshark)

© “Ревизиум”, 2014, www.revisium.com

[2] Статический анализ• Поиск по файлам• Сканер AI-Bolit

© “Ревизиум”, 2014, www.revisium.com

[2] Пример обнаружения

© “Ревизиум”, 2014, www.revisium.com

[2] Анализ браузерных

© “Ревизиум”, 2014, www.revisium.com

[2] Setup для сниффинга

© “Ревизиум”, 2014, www.revisium.com

[2] Снятие HTTP сессии

• Подключить устройство в режиме internet pass-through• Очистить куки браузера и историю посещений в м. браузере• Зайти в поисковую систему, набрать адрес сайта• Запустить запись в Wireshark• Кликнуть по странице сайта в результатах поискового запроса© “Ревизиум”, 2014, www.revisium.com

[2] Анализ сессии

1. Фильтр по http2. Анализировать с последней

переадресации3. Поиск по данным4. Используем Follow TCP Stream5. Выстраиваем цепочку переходов6. Выясняем исходный домен7. Ищем его в коде скриптов, конфигах

или БД

© “Ревизиум”, 2014, www.revisium.com

[2] Полезные ссылки

1. http://www.wireshark.org/2. http://zorrobot.ru/tool/yago.php 3. http://sitecheck.sucuri.net/scanner/4. http://revisium.com/ai/ 5. http://webmaster.yandex.ru/6. http://www.google.com/webmasters/ © “Ревизиум”, 2014, www.revisium.com

[2] Кейс “Редирект”

• Воспроизводим редирект• Снимаем сессию в Wireshark• Ищем код в скриптах• Ищем код в БД• Удаляем код в БД• Перепроверяем редирект© “Ревизиум”, 2014, www.revisium.com

[2] Ищем код в WShark

© “Ревизиум”, 2014, www.revisium.com

[2] Ищем код в WShark

© “Ревизиум”, 2014, www.revisium.com

Последний редирект Первый редирект

[2] Кажется, нашли

© “Ревизиум”, 2014, www.revisium.com

[2] Вот он где спрятался

© “Ревизиум”, 2014, www.revisium.com

[2] Нет кода :( В БД?

© “Ревизиум”, 2014, www.revisium.com

[2] Ищем код в БД

© “Ревизиум”, 2014, www.revisium.com

[2] Нашли!

© “Ревизиум”, 2014, www.revisium.com

• Чистим код• Чистим кэш• Проверяем

Редиректа нет!

[2] Другие варианты

• Вставляться из кода модулей• Подгружаться с удаленного

сервера• Вставляться на уровне сервера• Вставляться на уровне дин.

библиотек© “Ревизиум”, 2014, www.revisium.com

[3] Дорвеи

• Black Hat SEO страницы• Содержат контент + ссылку• Вредят с т.з. SEO• Статические или динамические

© “Ревизиум”, 2014, www.revisium.com

[3] webmaster.yandex.ru

© “Ревизиум”, 2014, www.revisium.com

[3] SERP

© “Ревизиум”, 2014, www.revisium.com

[3] Как искать

• Проверяем каталоги из webmaster’a• Если их нет, но дорвей открывается

– ищем фрагменты адресов в .htaccess

© “Ревизиум”, 2014, www.revisium.com

[3] .htaccess

© “Ревизиум”, 2014, www.revisium.com

[3] Дорвей (оригинал)

© “Ревизиум”, 2014, www.revisium.com

[3] Дорвей (декодирован)

© “Ревизиум”, 2014, www.revisium.com

[3] Что делать дальше?• Удаляем конфиг + скрипт или

файлы• Настраиваем статус 404 для

страниц• Запрещаем их в robots.txt• Проверяем спам-страницы• Ждем обновления поискового

индекса

© “Ревизиум”, 2014, www.revisium.com

[3] .htaccess / robots.txt

© “Ревизиум”, 2014, www.revisium.com

[3] Проверяем запрос

© “Ревизиум”, 2014, www.revisium.com

Другие угрозы

• Спам-рассылки• Фишинговые страницы• Линкфермы / Black Hat SEO ссылки /

клоакинг• Дефейс, рост нагрузки на CPU и

др…© “Ревизиум”, 2014, www.revisium.com

Вопросы?

Спасибо!

Григорий Земсков, компания “Ревизиум”Лечение сайтов и защита от взлома

www.revisium.com, ai@revisium.com

© “Ревизиум”, 2014, www.revisium.com