Защита информации

Грузимся модно

14.12.2019 rudjuk Leave a comment

В связи очердной активостью шифровальщиков, бекдоров и хакеров, решил опубликовтаь методы автозагрузки в Windows. Эти методы используют злоумышленники, а это значит, что и те, кто занимается защитой информации может искать там средства, которые угрожают безопасности компьютера… При написании троянов и прочих полезных утилит часто возникает потребность в автозагрузке. Так уж повелось так что все используют для этих целей раздел RUN в реестре Windows… А зря, ведь есть еще много эффективных способов автозагрузки. Мне кажется или все разленились? Уже никто не хочет думать! Некоторые задачи стали настолько тривиальны, что никто даже не думает над их решением. Я это к тому, что большая часть людей считает, что в Windows’е можно сделать автозагрузку через VxD или RUN в реестре… хммм… давайте копнем поглубже и увидим неограниченые возможности скрытые в Windows. Магические директории Люди особо “творческого” ума могут сообщить нам, что загрузится можно скопировав себя куда-то в “C:\WINDOWS\Главное меню\Программы\Автозагрузка”(В Windows XP это будет выглядеть где-то так: “C:\Documents and Settings\User\Программы\Автозагрузка”). Не спорю, такой вариант сработает, но давайте сделаем немного иначе. Местоположение этой папки система узнает с реестра. Упоминания о ней можно найти в таких разделах: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\User Shell Folders Значение там хранится в переменных “Startup” и “Common Startup”. Все дело в том, что в переменную “Common Startup” можно написать все, что угодно. То есть записав туда “c:\windows\system\my_secret_program” мы запустим все программы находящиеся в каталоге “my_secret_program”. Привет Билли Волшебные INI Ну… Тут есть два варианта, использовать WIN.INI или SYSTEM.INI. В WIN.INI ключ “windows” содержит две переменные […]

VDoc документооборот (веб-приложение для файлового документооборота)

23.09.2017 rudjuk Leave a comment

Программный продукт VDoc предназначен для коллективной работы с документами в произвольных форматах (например, Word, Excel и т.п.) с сохранением истории изменений, централизованным хранением данных с возможностью удобного резервного копирования информации и разнесение данных по разным накопителям данных и серверам. Возможности системы VDoc: 1. Система VDoc представляет собой веб-интерфейс и работает по протоколам http или https (протокол с шифрацией трафика). 2. Программный продукт VDoc – кросс-платформенный. Серверная часть системы может работать в Windows, Linux, MacOS. Пользователи же могут работать практически в любой операционной системе (Windows, Linux, MacOS, Android, IOS, FreeBSD и т.п.) и на любом устройстве (ноутбук, персональный компьютер, мобильный телефон, планшет, телевизор и т.п.), где есть современные браузеры. 3. Система VDoc – система с открытым исходным кодом. Вы можете приобрести систему вместе с исходными кодами и при необходимости изучать исходные коды, модифицировать систему под свои потребности. 4. В качестве сервера базы данных используется наиболее популярные кросс-платформенные СУБД: MsSQL, Postgresql. 5. Объем данных, который может вестись в системе – не ограниченный. Вы не увидите большой разницы в работе между массива информации размером мегабайты и данными размером во много терабайт. 6. Вирусы и другие вредоносные программы не смогут уничтожить данные, т.к. не могут получить такого доступа… 7. Пользователи не могут уничтожить данные. Т.к. все изменения логируются и сохраняются, а файлы не могут пользователи удалять (могут только помечать на удаление). 8. VDoc прост в использовании. Не нужно устанавливать программу – просто заходите на сайт и работаете. Интерфейс – интуитивно-понятный с всплывающими подсказками. Для работы VDoc нет необходимости в установке плагинов или другого стороннего […]

Не все так просто с Petya

06.07.2017 rudjuk Leave a comment

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya). Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных. В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C. Итак, рассказ о поддельном обновлении. На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано. Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc. Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль: 01.175-10.01.176, от 14 апреля 2017 01.180-10.01.181, от 15 мая 2017 […]

Ещё 10 уловок для защиты WordPress’a

26.06.2015 rudjuk Leave a comment

На сегодняшний день WordPress как никогда популярен. Блоги, мини-сайты, а то и целые порталы — всё это строится на основе такого удобного движка-конструктора как WordPress. Но за удобностью и лёгкостью освоения кроются, прежде всего, вопросы, связанные с безопасностью вашего сайта. Большая распространённость — большее внимание злоумышленников. В этой статье описаны десять простых уловок, которые позволят сделать ваш сайт на WordPress’e ещё более защищённым и позволят спокойнее спать по ночам. 1. Защищаем WordPress от XSS-инъекций В чём проблема? Программисты всегда стараются защитить GET- и POST- запросы, однако, иногда этого недостаточно. Необходимо защитить блог от XSS-инъекций и попыток модификации переменных GLOBALS и _REQUEST. Что делаем? Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess, расположенный в корне сайта. (И не забывайте бэкапить этот файл перед внесением любых изменений).

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

Как это работает? Код позволяет проверять все запросы. Если запрос содержит тег или попытку модифицировать значение переменных GLOBALS и _REQUEST, он просто блокирует его и выдаёт пользователю 403-ю ошибку. 2. Убираем показ лишней информации В чём проблема? Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его. Что делаем? Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

1	add_filter('login_errors',create_function('$a', "return null;"));

сохраняем файл. Вуаля – больше никаких сообщений. Как это работает? С помощью этого хука мы переписываем […]

Защита файла wp-config.php в nginx

26.06.2015 rudjuk Leave a comment

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net В файле wp-config.php CMS WordPress хранит пароли и логины для доступа к базе данных. Это очень безопасная информация. Есть вероятность, что в момент отладки приложения или веб-сервера данный файл может быть доступен злоумышленникам, поэтому, рекомендуется защищать данный файл от доступа в веб-серверах. Защита в веб-сервере Apache указывается в файле .htaccess:

# Deny public access to wp-config.php
<Files wp-config.php>
    Order allow,deny
    Deny from all
</Files>

# Deny public access to wp-config.php

Order allow,deny

Deny from all

</Files>

Защита в веб-сервере Nginx:

# Deny public access to wp-config.php
location ~* wp-config.php { 
    deny all; 
}

# Deny public access to wp-config.php

location ~* wp-config.php {

deny all;

}

Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Безопасность WordPress. 3 самых эффективных способа защиты от брутфорса

26.06.2015 rudjuk Leave a comment

По статистике, около 19% от общего количества всех сайтов Интернета, работают на WordPress — это почти каждый пятый сайт. Успех платформы вполне логичен и закономерен, не зря еще 5 лет назад я сделал ставку именно на нее. Но сегодня речь пойдет не о преимуществах WordPress, а о его безопасности. Высокая популярность платформы активизировала злые силы, и вот уже на протяжении нескольких месяцев в Рунете идут массовые атаки на сайты, работающие на WordPress. Атаки настолько серьезные и настолько массовые, что не выдерживают даже самые мощные серверы. Хостинг-провайдеры, конечно, принимают меры, порой даже самые радикальные, вплоть до полной блокировки администраторских консолей WordPress. Поэтому, если вас еще не заблокировали, лучше самостоятельно провести ряд несложный действий по укреплению обороны вашего WordPress. В этой статье я расскажу о самых эффективных способах защиты вашего сайта именно от брутфорса (brute force) — метода подбора и взлома пароля путем перебора всех теоретически возможных вариантов. Так как все последние массовые атаки работают по этому методу. 1. Первое с чего нужно начать — это избавиться от пользователя admin. Если у вас нет пользователя admin, можете сразу переходить к пункту 2. В WordPress начиная с 3 версии это делается очень просто. Достаточно создать нового пользователя, наделить его администраторскими правами, а старого пользователя «admin» — удалить. При его удалении, WordPress предложит вам выбрать нового пользователя, который станет автором публикаций старого администратора. В старых версиях WordPress эта процедура проделывается с помощью пары SQL-запросов:

UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin';
UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

1 2	UPDATE wp_users SET user_login = 'Ваш новый логин' WHERE user_login = 'Admin'; UPDATE wp_posts SET post_author = 'Ваш новый логин' WHERE post_author = 'admin';

2. Очень важно обратить внимание на пароль администратора. Лучше если это будет хаотичная комбинация заглавных и строчных букв, знаков […]

Защита сайта от брутфорса без правки кода

26.06.2015 rudjuk Leave a comment

Если Ваш сайт, написанный на базе популярного движка (WordPress, Joomla, Magento и др.), стал сильно тормозить, а в логах доступа сервера Вы видите множество обращений к странице логина или к странице администрирования, знайте — ваш сайт «нашли» боты-брутфорсеры и пытаются подобрать пароль администратора.Если с Вашим паролем всё нормально (он длинный и набран цифрами и буквами в разных регистрах), то Вы можете быть уверены, что брутфорсер его не подберёт. Но сам факт того, что происходит подбор, а тем паче то, что при этом страшно грузится сервер и расходуется трафик (особенно если на вашем хостинге он платный) откровенно говоря, напрягает. Ниже я расскажу как избавиться от этой проблемки очень простым и бескровным способом. Сперва предыстория. Проблемой я озаботился спустя некоторое время после того, как перешёл с «самодельного» движка на WordPress (впрочем, это мог бы быть любой другой более-менее распространённый движок). Запилил первый сайт и уже через неделю увидел в логах огромное количество запросов к странице логина. Поиски в интернете выводили на множество «рецептов», подавляющее большинство которых заключается в переименовании файла wp-login.php и его правке (поскольку адрес самой страницы неоднократно встречается в самом файле wp-login.php и других файлах движка. Но этот способ означает правку ядра WordPress. А это влечёт за собой невозможность получать регулярные автоматические обновления ядра, а также несовместимость с некоторыми плагинами. К тому же способ абсолютно не спасает против тех роботов, которые ищут «дыры» в админке и плагинах, обращаясь с хитроумными параметрами по адресам вида /wp-admin/* В общем, этот способ сразу был отвергнут. А идея моя заключается вот в чём. Нужно завести специальную […]

Защита от хакеров Linux Ubuntu

08.06.2015 rudjuk Leave a comment

Чем интересней ресурс, тем выше вероятность того, что взломают сервер. Поэтому, приходится бороться со взломами, искать процессы и т.п. 1. Есть подозрение, что кто-то подключился к рабочему столу Смотрим: who r tty7 2013-03-11 06:52 (:0) r pts/2 2013-04-03 05:21 (192.168.3.62) r pts/6 2013-04-03 08:27 (192.168.3.62) r pts/5 2013-04-03 07:58 (192.168.3.62) (unknown) tty8 2013-04-03 06:16 (:1) (unknown) tty9 2013-04-03 08:28 (:2) (unknown) tty10 2013-04-03 08:47 (:3) Прежде всего, обращаем внимание на подозрительных пользователей. Так, например, пользователь (unknown) – это странное явление. Значит, нужно его выкинуть и закрыться от возможности его подключения. Выполняем: who -a -p завантаження системи 2013-03-11 06:54 рівень виконання 2 2013-03-11 06:54 ВХІД tty4 2013-03-11 06:54 1575 id=4 ВХІД tty5 2013-03-11 06:54 1581 id=5 ВХІД tty2 2013-03-11 06:54 1588 id=2 ВХІД tty3 2013-03-11 06:54 1589 id=3 ВХІД tty6 2013-03-11 06:54 1593 id=6 r + tty7 2013-03-11 06:52 да 4824 (:0) ВХІД tty1 2013-03-11 […]

Блокировка эротического контента в Firefox

08.06.2015 rudjuk Leave a comment

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net Возникла необходимость установить ребенку родительский контроль. В моем случае – нужно было просто ограничить просмотр сайтов эротического и вирусного содержания. Начал искать. Как оказалось, вариантов ограничения достаточно много. Вначале, думал настроить брандмауэр, потом, нашел способ – установить nanny для Linux. Но, остановился на более лаконичном способе – установке плагина для Firefox, который фильтрует содержимое файлов. Заходите Інструменти – Додатки (у меня укр. Firefox :)). В поле поиска набираете filter и нажимаете Enter. Для фильтрации контента можете установить такие плагины: Anti-Porn Pro FoxFilter Procon Latte Content Filter WebFilter – The content filtering addon! После установки – перезагрузитесь. Если плагин будет “слишком фильтровать” – можете его отключить и опять перезагрузить 🙂 P.S. Плагины фильтрации срабатывают на содержимое в контенте. Поэтому, если у Вас в контенте будут запрещенные слова, то страница будет заблокирована… Автор: Рудюк С . А. https://corp2.net Разработка и создание сайтов, интернет-магазинов, веб-приложений, порталов, лэндингов, мобильных приложений (Киев)

Программа для шифрования данных Truecrypt

08.06.2015 rudjuk Leave a comment

TrueCrypt — отличный инструмент для шифрации Ваших данных. С помощью этой программы Вы формируете криптографический контейнер, который может выглядеть, как любой файл. Или как видео-файл огромных размеров или как файл подкачки. В любом случае, догадаться, что это крипто-контейнер может оказаться достаточно сложно. Вы подключаете с помощью программы True Crypt данный контейнер, вводите пароль и он подключается, как диск. Далее, работаете как с обычным винчестером ни о чем не задумываясь. Данная программа развивалась как свободно распространяемая с открытым исходным кодом. Стала очень популярной, т.к. данная программа кросс-платформенная и работает в основных компьютерных операционных системах: Windows, Linux и MacOS. Но, в один прекрасный момент, разработчик удалил все экземпляры из репозитария. Якобы причиной этого стало то, что есть внутри данной программы уязвимость. Но, думаю, реальная причина — «наезд» правоохранительных органов. Т.к. данная программа работала настолько отлично, что криминал начал её активно использовать… И как результат, спец-службам стало проблематично получать доступ к данным, изымая компьютеры или сервера. Как бы то ни было. Скажу по своему опыту: программа эффективна и оправдывает свое существование. Более того — бесплтна! А если Вы уж так боитесь, что есть «заплатка», можете закачать последний доступный исходный код, проанализировать его и сделать свою компиляцию «без заплаток» Далее, приведу описание данной программы, взятое из свободных источников информации: Описание TrueCrypt TrueCrypt — компьютерная программа для шифрования «на лету» (On-the-fly encryption) для 32- и 64-разрядных операционных систем семейств Microsoft Windows NT 5 и новее (GUI-интерфейс), Linux и Mac OS X. Она позволяет создавать виртуальный зашифрованный логический диск, хранящийся в виде файла. С помощью TrueCrypt […]

Защита информации