Raport FOX-IT, dotyczący zagrożeń ukrytych we współdzielonych skryptach komercyjnych, które często, są częścią aktywnych botnetów.
https://foxitsecurity.files.wordpres...-foxsrt-v4.pdf
Raport FOX-IT, dotyczący zagrożeń ukrytych we współdzielonych skryptach komercyjnych, które często, są częścią aktywnych botnetów.
https://foxitsecurity.files.wordpres...-foxsrt-v4.pdf
moje nowe alter ego
Swoją drogą - no dobra - jeżeli w zaistniałej sytuacji kiedy atak jest automatyczny - wykonany przez roboty przekierujemy zapis plików typu obrazy na całkiem inny katalog niż images - pozostawiając naturalnie ten katalog ale tylko do odczytu i blokując w nim całkowicie możliwość zapisu to przy próbie wstrzyknięcia pliku - d blada jeżeli - bo plik ani nie może zostać zapisany w miejscu wywołania, ani wykonany - więc ni czorta nie można go odpalić.
Pliki obrazowe nie masz tylko w images, a próby wstrzyknięcia np wykryje Ci RS!Firewall. chyba że sam coś zainstalujesz zainfekowanego.
Nie bez przekory mówi się że zawsze zawodzi czynnik ludzki ;)
================================Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
>>> https://joomlaguru.pl <<<
Szkoła Joomla Guru (Kursy Online)
>>> https://szkola.joomlaguru.pl <<<
================================
Nie robiłbym ( przy okazji wody z mózgu nowym webadminom ) z żadnej dostępnej aplikacji - złotego środka. RSF ( ani też Adm, Tools), nie zatrzyma 70% skutecznych ataków. Aplikacje budowane są na podstawie znanych zagrożeń, ale nikt z ich architektów nie działa prewencyjnie. Widocznie uznano, że nie warto, a to co jest odpowiada społeczności.
Co do wątku, należy przypomnieć o znanym już od lat zagrożeniu, jakim jest PHP Shell w szablonach. Od wakacji ataki na serwery przez shella wzmożyły się, wiele osób pewnie nie ma o tym pojęcia, bo przeciez nie odkryło ataku na witrynę. Powstałło też sporo, wysokiej klasy detektorów.
moje nowe alter ego
Nie zatrzyma skutecznych ataków ? z Twojej wypowiedzi wynika że jedna konkluzja po co się bronić jak i tak nas ktoś z haczy...
Na 0daysa rady nie ma .. ale na każde inne jest patch lub będzie..
Nie wiem czy czytałeś ten dokument ale jak podajesz link to powinieneś!
zacytuje Ci
Wiec nie ma co siać jakieś paniki.. każdy kto ściąga wersje NULLED musi mieć świadomość takiego zagrożenia!CryptoPHP is a threat that uses backdoored Joomla, WordPress and Drupal themes and plug-ins to compromise webservers on a large scale. By publishing pirated themes and plug-ins free for anyone to use instead of having
to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included
backdoor on their server.
================================Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
>>> https://joomlaguru.pl <<<
Szkoła Joomla Guru (Kursy Online)
>>> https://szkola.joomlaguru.pl <<<
================================
1). To twoje słowa, ja nic takiego nie powiedziałem. Po raz kolejny, nie rób ludziom wody z mózgu.
2). Proponuje wczytać się w pierwotną treść tego wątku.
Bez odbioru.
moje nowe alter ego
@mjmartino odniosłem się do konkretnego zagrożenia i konkretnej sytuacji - większość ataków jest dokonywana na bazie znajomości konkretnych mechanizmów i struktur danego CMS'a - tak więc stosowanie niestandardowych struktur jest bardzo efektywne. W tym konkretnym przypadku bot używa standardowej struktury do wstrzyknięcia złośliwego kodu i takiegoż wywołania więc dyslokacja blokuje taki typ mechanizmu. RSF nie daje 100% gwarancji że nic nie zostanie wstrzyknięte aczkolwiek w znacznym stopniu minimalizuje zagrożenie, zresztą jest to rozszerzenie płatne (warte swojej ceny) i nie wszystkich na nie stać. Co do źródeł pobierania - przejrzyj sobie powody wycofania niektórych rozszerzeń z JED - nie podzielałbym Twojego optymizmu, niestety nie można mieć pewności nigdy że kod jest czysty, tak samo jak że nie jest podatny na ataki pomimo że n.p. gro ludzi wie że trzeba specjalnie uważać na katalogi typu media i sposobu zapisu tego typu plików - traktować je jako szczególnie podatne na ataki to doświadczenie wykazuje że co jakiś czas większe kataklizmy zdarzają się właśnie z powodu błędów zabezpieczeń w edytorach (chociażby JCE czy JCK) i zasadniczo dotyczy to wszystkich CMS'ów - wystarczy popatrzeć na logi systemów zabezpieczeń.
ad1. Nie robię ludziom wody z mózgu.. a jeśli według Ciebie robię to wypadałoby przytoczyć jakieś argumenty.
ad2. Pierwotną treść jest tyko dokumentem.. stwierdzającym fakt wyżej wspomniany prze zemnie.
@Troll
Nigdzie nie napisałem że RSF daje 100% skuteczność ale daje możliwość wykrycia ataku injection bo o tym jest mowa w tym dokumencie. Inna sprawa że na JED znajdują bądź znajdowały się takie rozszerzenia z zaszytym kodem. A jeszcze inna dziury o których piszesz JCE czy uploader plików.
RSF był przykładem że warto coś mieć na pokładzie. (nie zmuszam nikogo, ale dobra praktyka mieć coś co loguje dziwne wywołania).
Chyba to jest logiczne jeśli pobrałeś wszystko ze źródła nierekomendowanego to stopień zagrożenia rośnie wprost proporcjonalność do ilości używania takiego oprogramowania. Analogiczna sytuacja nie dotyczy tylko CMSów, ale wszystkich aplikacji. Co za problem wystawić spreparowane ISO WIN8.1PRO z zaszytym keylogerem nic a znajdą się ludzie co ściągną i będą instalować, cracki, keygeny.. itp.
To samo się tyczy rozszerzeń do CMS.
Oczywiście stosowanie własnych unikalnych rozwiązań w zabezpieczeniach zmniejsza ryzyko, ale go nie wyklucza!
Sam CMS to tylko jeden czynnik składowy który może zawinić.
================================Administracja Joomla, Nowości, Artykuły Pomocne Administratorom, Usługi
>>> https://joomlaguru.pl <<<
Szkoła Joomla Guru (Kursy Online)
>>> https://szkola.joomlaguru.pl <<<
================================
Co do RSF'a jestem jak najbardziej za - właśnie odbił mi ponad siedemdziesiąt tysięcy zapytań Rosji :-), wkurza mnie tylko fakt iż zdaje się autorzy nie konsultują pewnych mechanizmów z twórcami innych rozszerzeń - których można uznać za rzetelnych i wiarygodnych co powoduje przy niektórych zabezpieczeniach kolizję a wystarczyłoby wprowadzić wyjątki, nie piszę tutaj o informacji przy skanowaniu (choć tutaj też czasami jest śmiesznie przy analizie skryptów) tylko o zabezpieczeniach wpływających bezpośrednio na "ciekawe efekty" - czasami wygląda to jak błąd - a nim nie jest.
Dobra - nie ma co - może po za informacją że w najnowszej wersji RSF'a z tego co widzę - zagrożenie będące tematem tego wątku zostało już wzięte pod uwagę. To fajnie że autorzy trzymają rękę na pulsie :-)
Ostanio edytowane przez Troll : 23-11-2014 16:52