-
добавить в избранное
Чтобы сайт не увели рейдеры
28 февраля 2018
Легко ли потерять свои данные и насколько сложно их вернуть? Многие ведут собственный бизнес или намереваются этим заняться. А для его ведения необходим сайт, базы данных клиентов и партнеров… И в большинстве случаев обладатель такой важной информации не является специалистом в области безопасности.
В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон посещаемость ресурса превышала 10 000 человек в сутки, и кто-то решил, что сайт ему нужнее.
Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.
Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев.
Не будем пересказывать статью, повествующую о затратах на возвращение сайта – остановимся на том, как именно данные были утеряны.
Пароль от почты и у регистратора не был изменен, что говорило о том, что вор их узнал, а сделать это можно было лишь при взломе моего компьютера. Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.
То есть и сам пароль был нестойкий (всего 6 символов!), а украсть базу данных с паролями и открыть почту оказалось совсем несложно.
Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.
-
Устанавливайте обновления! Если у вас есть критически важные данные, зачем же экономить на очевидном?
Вот схожая уязвимость в устройствах Netgear:
Обнаруженная уязвимость допускает удаленное выполнение команды на маршрутизаторе, если пользователь откроет в браузере веб-страницу с вредоносного сайта или с нормального сайта, вместе с которой загрузится вредоносный рекламный баннер через AdSense или любую другую рекламную сеть. По локальной сети можно инициировать удаленное выполнение команды простым запросом к маршрутизатору.А вот D-Link:
В прошивке беспроводных маршрутизаторов D-Link обнаружена критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации.В любом «железе» полно дыр, так что не стоит использовать дешевое и неподдерживаемое сетевое оборудование.
-
Закрывайте ненужные сервисы. Обратите внимание: у пострадавшего был доступ по 80-му порту извне. Зачем?
Зачем у вас разрешен входящий порт 80 на роутере из внешнего мира?
Известно ли, как был взломан комп с Win 7?Я не специалист в области ИБ. 80 порт не был включен. Как был взломан компьютер, не знаю, следов взлома не обнаружил, лишь исключения для этого ПК в настройках роутера.
Если вы – неспециалист в области ИБ, наймите мастера, пусть он настроит ваш рабочий ПК.
И в миллионный, наверное, раз повторим: не используйте рабочий компьютер для развлечений.
Я уже в который раз читаю эти, несомненно, интересные истории, как уплывают проекты за десятки, а иногда и за сотни тысяч долларов, в том числе кошельки с такими суммами и даже покерные аккаунты. Но если вы зарабатываете в месяц условно 2000-10000+$, почему не купить отдельный ноутбук за несчастные 200-500$, выключить на нем аппаратно: модули wifi и bluetooth, поставить на нем WinXP со всеми обновами или Linux, поставить норм роутер и фаер в которых сделать доступными для входа только 1-2 IP которые вам нужны для вашего проекта, и включать эту машину и этот роутер только тогда когда вам это нужно. Почему так не сделать? Авось пронесет? Да, понятно, что и ее могут взломать, но шансы взлома тогда уменьшатся на порядки, потому что из цепочки уйдет очень много ненужных факторов.
Перед началом работы устанавливайте на компьютер обновления, а после ее окончания – выключайте. Выключенный ПК взломать сложнее.
Не знаете как — наймите норм спеца. Главное «закопать» и откапывать только когда это действительно нужно, а так, потенциально:
родные или вы скачали и запустили не тот софт на смарте, вы или ваши родные перешли не на тот сайт, не по той ссылке, не ту картинку посмотрели, не тот файл скачали и все — труд всей вашей жизни уплывает в неизведанные края, а вы получаете головняк на 3-6-8 месяцев, а иногда и вовсе теряете проект, ну и попутно тратите космические суммы, чтобы «вернуть все, что нажито непосильным трудом», потраченные нервы я тут не описываю, думаю, это неописуемо «приятные» ощущения.
Что было после взлома роутера:
Мой компьютер работал под Win10, стоял Avast. В домашней сети было еще два компьютера (Win7 + Avast). Один из них и был взломан, на роутере вор настроил проброс портов с этого компьютера.
Опять экономия, и снова – на средствах защиты.
Для справки: проброс портов – операция, после которой компьютер стал «виден» извне домашней сети.
6 мая мошенник зашел в мою почту, настроил спам-фильтры, и после этого все письма от регистратора стали попадать в папку «Спам», поэтому предупреждения о смене регистратора я не видел. Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.
То есть теперь, даже если жертве и приходили какие-то запросы, она их не видела.
Опять же: если у вас серьезный проект, настройте на рабочем компьютере соединения так, чтобы с вами могли работать только с доверенных адресов. Сделать это несложно – можно использовать для этого Брандмауэр Dr.Web.
Кстати, взлом мог пройти и по другому сценарию:
Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семерке.
Есть такой вид уязвимостей — CSRF. Вам присылают ссылку, или подсовывают картинку в рекламном баннере, или, как написано выше, размещают картинку на форуме — а там редирект на уязвимую страницу в роутере. В итоге ваш браузер делает от вашего имени запрос к роутеру.
Порт во внешний мир не нужен, достаточно смотрящего внутрь.
И об этом мы тоже писали…
А далее – типичное мошенничество:
В личном кабинете регистратора была инициирована передача домена к другому регистратору (internet.bs) на аккаунт мошенника.
Позвонив хостеру (hts.ru), узнал, что кто-то запросил пароль от аккаунта, предоставив копию моего паспорта. По этой просьбе служба поддержки сбросила пароль и сняла двухфакторную авторизацию (sms). Для получения доступа у меня также потребовали прислать скан паспорта. Согласно регламенту hts.ru, каждый, у кого есть скан паспорта, имеет возможность получить доступ к аккаунту владельца. Как выяснилось позже, достаточно иметь даже не копию паспорта, а грубую подделку копии. В моем случае вор прислал фальшивку, в которой было множество ляпов: неверная дата выдачи, код подразделения, подпись, чужое фото, а дата регистрации по месту жительства оказалась ранее даты рождения. К «копии паспорта» было приложено отсканированное заявление (тоже требование hts), в котором вор просил дать доступ к аккаунту, на котором находится сайт, и подписался совершенно не так, как в присланной «копии». Мою просьбу об официальном объяснении в hts выполнили, правда указали, что некто прислал копию паспорта, а не фальшивку.
Вспомните, сколько сканов своего паспорта и где вы оставили.
#сайт #киберпреступление #уязвимостьАнтивирусная правДА! рекомендует
Читайте проект «Антивирусная правДА!» и настраивайте защиту согласно нашим рекомендациям.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
14:05:59 2018-08-03
Неуёмный Обыватель
16:35:58 2018-06-12
anatol
21:40:26 2018-03-27
vasvet
12:07:45 2018-03-20
AntonIT
17:46:53 2018-03-15
a13x
04:01:56 2018-03-05
денис
15:01:40 2018-03-02
zsergey
08:19:01 2018-03-02
Любитель пляжного футбола
10:27:21 2018-03-01
Lia00
07:54:37 2018-03-01
razgen
00:20:20 2018-03-01
Совет правильный. Если не специалист, конечно необходимо обратиться к мастеру чтобы он настроил Ваш ПК, чтобы не навредить самому себе. Ну и обязательно читать выпуски АП, и не просто читать а по возможности вникать и внимательно изучать.
razgen
00:14:58 2018-03-01
stavkafon
23:14:12 2018-02-28
vla_va
22:33:17 2018-02-28
Владимир
22:24:00 2018-02-28
Геральт
22:06:11 2018-02-28
Почему в фаерволе антивируса Доктор Веб SS 11 не создать полностью автоматический режим?
Ведь не всем понятны бывают сообщения от фаервола Доктор Веб?
Виктор
21:28:15 2018-02-28
В...а
21:27:18 2018-02-28
orw_mikle
21:17:56 2018-02-28
НинаК
20:19:45 2018-02-28
Сергей
20:14:33 2018-02-28
Toma
20:08:49 2018-02-28
Damir
20:01:44 2018-02-28
ek
19:48:21 2018-02-28
Шалтай Александр Болтай
19:06:50 2018-02-28
Пaвeл
18:05:46 2018-02-28
Надеюсь в компании «Доктор Веб» нет таких сотрудников.
kva-kva
17:43:35 2018-02-28
Раш КХ
16:55:35 2018-02-28
La folle
16:51:06 2018-02-28
mk.insta
16:45:59 2018-02-28
kozinka.ru
16:39:08 2018-02-28
Masha
16:07:14 2018-02-28
Andromeda
15:30:24 2018-02-28
Татьяна
15:10:27 2018-02-28
Anton_S
15:08:26 2018-02-28
Ruslan
14:56:43 2018-02-28
robot
14:56:00 2018-02-28
Дмитрий
14:14:55 2018-02-28
Dmur
14:11:05 2018-02-28
Альфа
13:46:02 2018-02-28
Alex_1774
13:25:50 2018-02-28
vinnetou
12:40:21 2018-02-28
Biggurza
12:21:44 2018-02-28
Хотелось бы отметить, что наплевательское отношение к соблюдению требований безопасности в любой сфере приводит к нежелательному результату. Ну, а если в его наступлении заинтересованы злодеи, обладающие специфическими знаниями, то катастрофа неминуема.
Кроме того, имеется мнение, что вовремя менять пароли и обновлять ПО не является панацеей. Желательно еще и менять правила безопасности, желательно в сторону повышения их требовательности и расширения сферы их применения.
Необходимо помнить главное:
"Осторожность спрашивает — безопасно ли это? Целесообразность спрашивает — благоразумно ли это? Тщеславие спрашивает — популярно ли это? Совесть спрашивает — правильно ли это? И приходит время, когда нужно занять позицию, которая не является ни популярной, ни благоразумной, но ее нужно занять, потому что она безопасна, и поэтому правильна."
Вячeслaв
12:18:48 2018-02-28
Есть еще одна рекомендация. Для работы с сайтом иметь виртуальную машину и запускать ее по необходимости. Идея хорошая, вирусов, способных заражать виртуальные машины относительно мало, но проблема есть и тут - если злоумышленник подключился к вашей машине удаленно и отслеживает ваш десктоп, то он может увидеть вводимые вам пароли.
Ну и как вариант. на одной машине сделать мультизагрузку - установить несколько ОС на один компьютер
Natalya_2017
11:55:57 2018-02-28
sanek-xf
11:54:03 2018-02-28
Alexander
11:45:25 2018-02-28
И в соответствие тому, что краткость - сестра таланта, Dr.Web рекомендует: "Читайте проект "Антивирусная правДА!" и настраивайте защиту согласно нашим рекомендациям".
Полностью согласен. Четко и ясно сформулировано, как хорошо ограненный алмаз, любое дополнение будет лишним. А вот о ситуациях из многообразного личного опыта каждого, - прочесть будет очень интересно.
maestro431
11:27:12 2018-02-28
Littlefish
11:21:28 2018-02-28
Littlefish
11:18:39 2018-02-28