قسمت سوم
در دو قسمت قبل بشتر درباره خود بد افزار و توزیع آنها در فضای مجازی گفتیم در این قسمت به نفوذپذیری سرورها و همچنین توصیه های شرکت سلوشنری می پردازیم. شما دو قسمت قبل را از لینک های زیر می توانید پی گیری کنید.
نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت اول
نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت دوم
نفوذپذیری سرورها
اگر خاطرتان باشد سال گذشته یک حمله ی گسترده ای به سایت های مخلتف از جمله OpUSA شد که حتی سرعت اینترنت را در قسمت هایی کم شد. شرکت سلوشنری سعی کرده است که ببیند آیا رابطهای بین حمله کننده ها و توزیع کننده های بدافزار وجود دارد یا خیر. نتیجهگیری خاصی از این داده ها به طور مستقیم نمیتوان کرد. همانطور که در قسمت های قبلی گفته شد گمان میرود که حمله کننده گان از سرورهای نفوذ پذیر برای حملات بعدی استفاده خواهند کرد. همچنین شرکت سلوشنری هیچ رابطه منطقی بین آدرس آی پی حمله کننده گان و توزیع کنندهگان پیدا نکرد. تنها چیزی که توجه متخصصین را جلب کرد رابطه ای نزدیک بین ورژن سرور های این دو گروه وجود داشت.
در جدول زیر ۱۰ وب سروری که بیشتر مورد حمله قرار گرفته بودند لیست شده است. آنالیز ها نشان میدهد که چیزی در حدود ۷۹ وب سرور مختلف مورد سوءاستفاده قرار گرفته اند. این سرورهای در حال اجرای برنامه های نفوذپذیر، تاریخ گذشته و یا سرورهایی که دیگر پشتیبانی نمیشوند، بودند. دقیقا نمیشود مشخض کرد که آیا تک تک سرورها مورد سوءاستفاده قرار گرفته بودند، اما با نگاهی به سیستم ضعیف امنیتی آنها میتوان گفت که به احتمال زیاد مورد هدف تبه کاران بوده اند.
تعداد سرور نفوذپذیر یافت شده |
ورژن سرور |
۲۵۵۴ |
Microsoft-IIS/6.0 |
۱۱۹ |
Microsoft-IIS/5.0 |
۱۱۶ |
Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 |
۸۲ |
Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 |
۶۶ |
Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 |
۲۹ |
Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 |
۲۱ |
Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 Phusion_Passenger/4.0.10 mod_bwlimited/1.4 mod_fcgid/2.3.6 |
۱۹ |
Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 |
۱۸ |
Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 |
۱۵ |
Apache/2.2.22 (Unix) FrontPage/5.0.2.2635 |
وردپرس و فرانتپیج نفوذپذیر
وردپرس معروف ترین برنامه متن باز برای راه اندازی بلاگ و مدیریت محتوی است که بیش از ۶۰ میلیون سایت از آن در سراسر جهان استفاده می کنند. این خود به معنی این است که وردپرس میتواند بهترین هدف برای حمله کنندگان باشد به خصوص وقتی که به روز رسانی این نرم افزار ها به طور منظم انجام نشد.
در شکل زیر وٰرژن های مختلفی از وردپرس را میبنید که بیشتر مورد حمله قرار گرفته اند. در آنالیز از ورژن ۱.۵.۲ تا ورژن ۳.۷.۱ مورد بررسی قرار گرفته اند.
وردپرس ۳.۶.۱ و پایین تر یک حفره امنیتی معروفی دارند کهع به حمله کننده اجازه میدهد که حمله تزریق کد انجام دهد و بتواند از راه دور کد را بر روی سرور قربانی اجرا کند و مالکیت یک پست و یا یک صفحه را بدست بیاورد. در جدول زیر بعضی از این موارد را به نمایش گذاشته ایم:
توضیح به انگلیسی |
ورژن خطا |
wp-includes/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by triggering erroneous PHP unserialize operations. |
CVE-2013-4338 |
WordPress before 3.6.1 does not properly validate URLs before use in an HTTP redirect, which allows remote attackers to bypass intended redirection restrictions via a crafted string |
CVE-2013-4339 |
wp-admin/includes/post.php in WordPress before 3.6.1 allows remote authenticated users to spoof the authorship of a post by leveraging the Author role and providing a modified user_ID parameter. |
CVE-2013-4340 |
The default configuration of WordPress before 3.6.1 does not prevent uploads of .swf and .exe files, which might make it easier for remote authenticated users to conduct cross-site scripting (XSS) attacks via a crafted file, related to the get_allowed_mime_types function in wp-includes/functions.php. |
CVE-2013-5739 |
فرانتپیج بین ورژنهای ۵.۰.۲.۲۵۱۰ تا ۵.۰.۲.۲۶۳۵ هم بسیار مورد حمله قرار گرفته بود. به نظر میرسد که تمام آنها نسبت به خطای آورفلوی بافر نفوذپذیرند و ممکن است به حمله کننده دسترسی از راه دور به سرور را بدهند.
دسترسی از راه دور ممکن است به حمله کننده اختیار اجرای فرمان های مهمی را بدهد که تنها در اختیار مدیر سایت است.
توصیه های امنیتی به دارندگان سایتها
اینکه تبهکاران از بدافزار ها برای بدست آوردن پول استفاده می کنند و یا مقاصد بد دیگر فرقی نمی کند در هر حال آنها از یک وب سایت به ظاهر فانونی و موجه استفاده می کنند و یا اینکه محتویات سایت قربانی خود را تغییر میدهند تا به مقاصد خود برسند.
برای پایین بردن ریسک به خطر انداختی سرور ها، موسسات باید به صورت فعال یک سری اقدام های پیش گیرانه و توصیه شده را انجام دهند. به عنوان مثال:
-
از یک سیستم برای به روز نگه داشتن تمام وب سرور و سیستم عامل و نرم افزار ها ی رو ی سرور استفاده کنید تا بسته های امنیتی هر چه سریع تر نصب شوند.
-
اطمینان حاصل کنید هر به روز رسانی و یا بسته امنیتی تغییرات پایه وبسایت شما را که از قبل برای امنیت بیشتر در نظر گرفته اید را در خطر نیاندازد.
-
به ضورت فعال نفوذ پذیری ها و حفره های امنیتی برنامه های تجاری که خریده اید را بررسی کنید تا از قسمت آنها مورد حمله قرار نگیرید.
-
اگر برنامه ای را در شرکت خودتان ساخته اید هر از چند گاهی کد های آن را بررسی کنید و مطمئن شوید که سیستمان ایمن است.
در لینک های زیر اطلاعات بیشتری در این زمینه در اختیار شما قرار گرفته است.
http://www.solutionary.com/research/threat-reports/annual-threat-report/annual-threat-report-2013/
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
بی روبات و دی داس
بی ربات و دی داس دو حمله خیلی مشهور در فضای وب هستند. دو قضیه در این امر دخیل است. یک که سرور شما چه کار کند که عضو شبکه این دو حمله نباشد. و دو اینکه وقتی شما مورد حمله قرار گرفتید چه کار کنید. اولین هدف حمله کنندگان برای استفاده از سرور شما ورژن های قدیمی سی پنل، وردپرس و جوملا است. بهترین کار به روز نگه داشتن این برنامه ها بر روی سرور است. همچنین موسسات بر روی سرور باید یک آنتی ویروس فعال و به روز را مدام اجرا کنند تا اگر مبتلا شدند آن ها را پاک کنند.
قسمت دوم همانطور که گفته شد مربوط به کارهایی هست که برای پیشگیری از حمله دی داس باید صورت گیرد. هدف اصلی حمله دی داس این است که سرور شما کاری را که باید انجام دهد نتواند انجام دهد. مثلا نتواند وب سایت شما را به مخاطبینتان نشان دهد و یا نتواند برنامه ای را اجرا کند. به خاطر همین هدف قسمت اصلی ماجرا این است که ما چه کار کنیم که بتوانیم سرویس ها را همیشه در اختیار مخاظبین خود قرار دهیم. روش های جلوگیری منفعل مانند استفاده از ورژن وبی دیواره آتش است که میتواند از خیلی از حملات به سرور جلوگیری کند. راه های دیگری نیز وجود دارد که به صورت فعال و آنلاین از این حملات جلوگیری می کند برای مطالعه بیشتر ما لینک زیر را از خود شرکت سلوشنری توصیه می کنیم.
نتیجه گیری
همانطور که میبنید دنیای وب و تکنولوژی به سرعت پیشرفت میکند به همین سرعت و یا بیشتر حمله ها پیچیده تر میشود. یادمان باشد که اگر مسئولیت امنیت جایی را بر عده داریم چاره ای نداریم جز به روز نگاه داشتن اطلاعاتمان. مطالعه زیاد و اهمیت دادن به هشدار های امنیتی ما را از گزند حمله کنندگان در امان می دارد.
نظرات
این یک مطلب قدیمی است و اکنون بایگانی شده است. ممکن است تصاویر این مطلب به دلیل قوانین مرتبط با کپی رایت حذف شده باشند. اگر فکر میکنید که تصاویر این مطلب ناقض کپی رایت نیست و میخواهید توسط زمانه بازیابی شوند، لطفاً به ما ایمیل بزنید. به آدرس: tribune@radiozamaneh.com
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.