International conference of developers
and users of free / open source software

У вас дыра в безопасности

Oleg Boytsev, Minsk, Belarus

LVEE 2013

During the past years cybersecurity issues become extremely relevant and have already arisen to the government level. Recent high-profile cases of Chinese hackers, the emergence of computer war bible "The Tallinn Manual on the International Law Applicable to Cyber Warfare" and the creation of a Russian cyber-army shows how serious this issue is. The report provides answers to the following highly relevant issues: the way a server may got hacked, how servers are hacked, what to do if the server was owned by a stranger, and what could be the end of this terrible game. Practical exploitation examples of popular vulnerabilities are considered, as far as small research of hack tools. Tags: [vulnerability management], [attack vectors], [hacking], [forensics].

Последние годы вопросы кибербезопасности стоят особенно остро и уже поднимаются на уровне государств. Последние громкие дела о китайских хакерах, появление библии компьютерной войны “Таллинский учебник” и создание в России кибервойск показывает, насколько серьезным является этот вопрос.

Рассмотрим краткие ответы на следующие, порой очень актуальные вопросы:

Как “ломают” сервера?

В зависимости от степени автоматизации, несанкционированные проникновения на сервера можно разделить на две большие категории:

  • Целенаправленный взлом;
  • Массовый взлом (сервер был взломан роботом).

Каким способом?

Можно выделить следующие способы осуществления взлома:

  • Эксплуатация уязвимостей;
  • Подбор паролей;
  • Социальная инженерия.

Что делать?

Порядок действий непосредственно после обнаружения факта несанкционированного проникновения на сервер, должен включать следующие пункты:

  • Побыстрее сделать резервные копии;
  • “Убить” процессы и удалить скрипты, принадлежащие хакеру;
  • Закрыть уязвимость (то есть устранить первопричину взлома).

Последствия?

Среди последствий взлома сервера, наступающих в случае не принятых своевременно мер, необходимо упомянуть:

  • Поднятие прав с веб-сервера до рута;
  • Шантаж владельца сервера;
  • rm -Rf /

Практическими примерами эксплуатации популярных уязвимостей являются:

  • SQL Injection (внедрение в запрос к базе данных постороннего SQL-кода, выполняющего, в зависимости от используемой СУБД, различные вредоносные действия, от хищения приватной информации до удаления таблиц или даже локальных файлов);
  • XSS (межсайтовый скриптинг, то есть внедрение выполняемых на клиентском компьютере вредоносных скриптов в веб-страницу, выдаваемую серевером, на котором авторизован данный клиент);
  • PHP Include (выполнение на сервере постороннего PHP-кода, поступившего через HTTP-запрос).

Исследование средств, применяемых хакерами для закрепления на сервере, выявляет следующие инструменты:

  • Orb web shell;
  • Bind/Back Connect Backdoor;
  • Suid scripts.

Теги: [evil], [vulnerability managment], [attack vectors], [hacking], [forensics].

Abstract licensed under Creative Commons Attribution-ShareAlike 3.0 license

Back