Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Вот где @ зарыта

Прочитали: 5569 Комментариев: 62 Рейтинг: 293

7 ноября 2016

В выпуске «Наше дело – предупредить!» мы уже говорили о том, что владельцы того или иного сайта и составители списка нерекомендованных для посещения ресурсов могут расходиться во мнении относительно вредоносности контента. Чтобы понять, почему так происходит, посмотрим, в каких случаях ресурс попадает в список нерекомендуемых.

Предположим, сайт рассылает спам. Отбросим вариант, что его владельцы занимаются этим специально (хотя спамеры утверждают, что действуют в рамках закона, большинство пользователей с этим не согласны), и предположим, что это не их вина. Рассылка спама может происходить в следующих случаях:

  1. Взлом сайта, изменение логики его работы или внедрение специальных скриптов. Это, наверное, самый очевидный вариант: вполне логично блокировать взломанный ресурс, пока его не починят. Единственная проблема может быть связана с тем, что владельцы ресурса могут «по-тихому» все починить и утверждать, что ничего не было.

Насколько сложной может быть спам-система, внедренная на сайт. История одного анализа.

А дальше я узрел полноценный файл-менеджер, писанный на php. Настолько полноценный, что:

  1. он имел красивый тёмно-серый интерфейс с тёмно-зелёными буквами, местами перемежаемые серыми и жёлтыми;
  2. он имел 2 панели. Привет far, nc, vc, и т.д.;
  3. он имел разные режимы отображения. Списки, таблицы с перечислением свойств и прав;
  4. он имел команды на копирование, перемещение, удаление, изменение прав;
  5. он имел возможность просматривать и редактировать текст файлов;
  6. он имел админские права на ОС.

Вот последнее меня повергло в шок. На сервере-то пользователя залогиненного не висит. Да и нигде, естественно, не сохранено. Как — не знаю.

Что примечательно. С админскими правами беда наблюдалась независимо от веб-сервера (и IIS, и Apache).

https://habrahabr.ru/post/221871

  1. Взлом почтовых ящиков в результате отсутствия проверки паролей, создаваемых пользователями ресурса, или ошибок настройки системы безопасности по умолчанию. Это сложный случай. По идее, нужно блокировать только взломанные почтовые ящики, но добавление в черный список миллиона-другого адресов в неделю (все мы помним количество утечек почтовых баз данных) мгновенно раздует его до немыслимых размеров. Поэтому блокирование ресурса с разрешением доверенных адресов в случае множественных взломов вполне логично, так как аналитики, проверяющие ресурс, не могут знать, какие адреса взломаны, а какие нет.
  2. Утечка паролей доступа к почтовым ящикам. Ситуация с блокировкой аналогична предыдущей — логично заблокировать ресурс и разрешить доверенные адреса.
  3. Отсутствие опыта или ошибки в ходе разработки сайта, в результате чего возможна отправка писем через формы обратной связи, не имеющие «капчи» для подтверждения того, что пишет человек, а не робот. Ситуация аналогична предыдущей, но доказать наличие проблемы на сайте проще — она видна невооруженным глазом.
  4. Возможность массовой регистрации, в ходе которой отправляются сообщения якобы зарегистрировавшемуся пользователю. Такое также возможно из-за ошибок при создании ресурса.
  5. Отправка уведомлений с использованием нарушений в логике работы ресурса. Например, злоумышленники пользуются уведомлениями почтового сервера отправителю, когда почтовый ящик получателя недоступен или не существует. Такие сообщения известны как Non-Delivery Report (NDR), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), bounce message. Отправка спама достигается путем подделки адреса отправителя.

Антиспам Dr.Web автоматически фильтрует так называемый технический спам, в том числе bounce-сообщения. Подробности на http://products.drweb.ru/antispam.

  1. Пересылка полученных сообщений. Самый лакомый кусочек для спамеров — OpenRelay. Раньше такая возможность широко применялась легально, но в результате деятельности спамеров сошла на нет. Сейчас пересылка полученных сообщений без авторизации является ошибкой администратора ресурса. Однозначный черный список.

Перечень немаленький — и это мы не рассмотрели более экзотические ситуации вроде атаки со взломом серверов, через которые почтовые сообщения проходят по пути к нам, и их подменой.

Как видим, причины, по которым сайты могут рассылать спам, весьма разнообразны: от уязвимостей в коде сайта до ошибок в его настройке. К сожалению, большинство ошибок — на руку злоумышленникам.

#спам #нерекомендуемые_сайты

Антивирусная правДА! рекомендует

  1. Вы никогда не сможете проверить безопасность всех ресурсов, с которых получаете почтовые сообщения, поэтому использование антиспама — необходимая мера.
  2. Письмо от неизвестного отправителя с неинтересным или непонятным содержимым — повод не просто насторожиться, а зайти на страничку https://support.drweb.ru/new/urlfilter и отправить письмо на анализ в вирусную лабораторию «Доктор Веб».

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: