قسمت سوم

در دو قسمت قبل بشتر درباره خود بد افزار و توزیع آنها در فضای مجازی گفتیم در این قسمت به نفوذ‌پذیری سرورها و همچنین توصیه های شرکت سلوشنری می پردازیم. شما دو قسمت قبل را از لینک های زیر می توانید پی گیری کنید.

نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت اول

نگاهی به گزارش اخیر امنیتی شرکت سلوشنری در سال ۲۰۱۳ – قسمت دوم

نفوذ‌پذیری سرورها

اگر خاطرتان باشد سال گذشته یک حمله ی گسترده ای به سایت های مخلتف از جمله OpUSA شد که حتی سرعت اینترنت را در قسمت هایی کم شد. شرکت سلوشنری سعی کرده است که ببیند آیا رابطه‌ای بین حمله کننده ها و توزیع کننده های بدافزار وجود دارد یا خیر. نتیجه‌گیری خاصی از این داده ها به طور مستقیم نمی‌توان کرد.  همانطور که در قسمت های قبلی گفته شد گمان می‌رود که حمله کننده گان از سرورهای نفوذ پذیر برای حملات بعدی استفاده خواهند کرد. همچنین شرکت سلوشنری هیچ رابطه منطقی بین آدرس آی پی حمله کننده گان و توزیع کنندهگان پیدا نکرد. تنها چیزی که توجه متخصصین را جلب کرد رابطه ای نزدیک بین ورژن سرور های این دو گروه وجود داشت.

در جدول زیر ۱۰ وب سروری که بیشتر مورد حمله قرار گرفته بودند لیست شده است.  آنالیز ها نشان میدهد که چیزی در حدود ۷۹ وب سرور مختلف مورد سوء‌استفاده قرار گرفته اند. این سرورهای در حال اجرای برنامه های نفوذپذیر، تاریخ گذشته و یا سرورهایی که دیگر پشتیبانی نمی‌شوند، بودند. دقیقا نمیشود مشخض کرد که آیا تک تک سرورها مورد سوءاستفاده قرار گرفته بودند، اما با نگاهی به سیستم ضعیف امنیتی آنها می‌توان گفت که به احتمال زیاد مورد هدف تبه کاران بوده اند.

 

تعداد سرور نفوذپذیر یافت شده

ورژن سرور

۲۵۵۴

Microsoft-IIS/6.0

۱۱۹

Microsoft-IIS/5.0

۱۱۶

Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1

mod_bwlimited/1.4 FrontPage/5.0.2.2635

۸۲

Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1

mod_bwlimited/1.4 FrontPage/5.0.2.2635

۶۶

Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5

mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635

۲۹

Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4

۲۱

Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5

Phusion_Passenger/4.0.10 mod_bwlimited/1.4 mod_fcgid/2.3.6

۱۹

Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/0.9.8e-fips-rhel5 DAV/2

mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635

۱۸

Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/0.9.8e-fips-rhel5

mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635

۱۵

Apache/2.2.22 (Unix) FrontPage/5.0.2.2635

 

وردپرس و فرانتپیج نفوذپذیر

وردپرس معروف ترین برنامه متن باز برای راه اندازی بلاگ و مدیریت محتوی است که بیش از ۶۰ میلیون سایت از آن در سراسر جهان استفاده می کنند. این خود به معنی این است که وردپرس میتواند بهترین هدف برای حمله کنندگان باشد به خصوص وقتی که به روز رسانی این نرم افزار ها به طور منظم انجام نشد.

در شکل زیر وٰرژن های مختلفی از وردپرس را میبنید که بیشتر مورد حمله قرار گرفته اند. در آنالیز از ورژن ۱.۵.۲ تا ورژن ۳.۷.۱ مورد بررسی قرار گرفته اند.

ورژن های مختلف نفو‌ذپذیر وردپرس

وردپرس ۳.۶.۱ و پایین تر یک حفره امنیتی معروفی دارند کهع به حمله کننده اجازه میدهد که حمله تزریق کد انجام دهد و بتواند از راه دور کد را بر روی سرور قربانی اجرا کند و مالکیت یک پست و یا یک صفحه را بدست بیاورد. در جدول زیر بعضی از این موارد را به نمایش گذاشته ایم:

 

توضیح به انگلیسی

ورژن خطا

wp-includes/functions.php in WordPress before 3.6.1 does not properly determine

whether data has been serialized, which allows remote attackers to execute

arbitrary code by triggering erroneous PHP unserialize operations.

CVE-2013-4338

WordPress before 3.6.1 does not properly validate URLs before use in an HTTP

redirect, which allows remote attackers to bypass intended redirection restrictions

via a crafted string

CVE-2013-4339

wp-admin/includes/post.php in WordPress before 3.6.1 allows remote

authenticated users to spoof the authorship of a post by leveraging the Author role

and providing a modified user_ID parameter.

CVE-2013-4340

The default configuration of WordPress before 3.6.1 does not prevent uploads of

.swf and .exe files, which might make it easier for remote authenticated users to

conduct cross-site scripting (XSS) attacks via a crafted file, related to the

get_allowed_mime_types function in wp-includes/functions.php.

CVE-2013-5739

 

فرانتپیج بین ورژنهای ۵.۰.۲.۲۵۱۰ تا ۵.۰.۲.۲۶۳۵ هم بسیار مورد حمله قرار گرفته بود. به نظر میرسد که تمام آنها نسبت به خطای آورفلوی بافر نفوذپذیرند و ممکن است به حمله کننده دسترسی از راه دور به سرور را بدهند.

دسترسی از راه دور ممکن است به حمله کننده اختیار اجرای فرمان های مهمی را بدهد که تنها در اختیار مدیر سایت است.

 

 

 

 

 

 

توصیه های امنیتی به دارندگان سایت‌ها

اینکه تبه‌کاران از بدافزار ها برای بدست آوردن پول استفاده می کنند و یا مقاصد بد دیگر فرقی نمی کند در هر حال آنها از یک وب سایت به ظاهر فانونی و موجه استفاده می کنند و یا اینکه محتویات سایت قربانی خود را تغییر میدهند تا به مقاصد خود برسند.

برای پایین بردن ریسک به خطر انداختی سرور ها، موسسات باید به صورت فعال یک سری اقدام های پیش گیرانه و توصیه شده را انجام دهند. به عنوان مثال:

  • از یک سیستم برای به روز نگه داشتن تمام وب سرور و سیستم عامل و نرم افزار ها ی رو ی سرور استفاده کنید تا بسته های امنیتی هر چه سریع تر نصب شوند.

  • اطمینان حاصل کنید هر به روز رسانی و یا بسته امنیتی تغییرات پایه وبسایت شما را که از قبل برای امنیت بیشتر در نظر گرفته اید را در خطر نیاندازد.

  • به ضورت فعال نفوذ پذیری ها و حفره های امنیتی برنامه های تجاری که خریده اید را بررسی کنید تا از قسمت آنها مورد حمله قرار نگیرید.

  • اگر برنامه ای را در شرکت خودتان ساخته اید هر از چند گاهی کد های آن را بررسی کنید و مطمئن شوید که سیستمان ایمن است.

در لینک های زیر اطلاعات بیشتری در این زمینه در اختیار شما قرار گرفته است.

http://www.solutionary.com/research/threat-reports/annual-threat-report/annual-threat-report-2013/

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

 

بی روبات و دی داس

بی ربات و دی داس دو حمله خیلی مشهور در فضای وب هستند. دو قضیه در این امر دخیل است. یک که سرور شما چه کار کند که عضو شبکه این دو حمله نباشد. و دو اینکه وقتی شما مورد حمله قرار گرفتید چه کار کنید. اولین هدف حمله کنندگان برای استفاده از سرور شما ورژن های قدیمی سی پنل، وردپرس و جوملا است. بهترین کار به روز نگه داشتن این برنامه ها بر روی سرور است. همچنین موسسات بر روی سرور باید یک آنتی ویروس فعال و به روز را مدام اجرا کنند تا اگر مبتلا شدند آن ها را پاک کنند.

قسمت دوم همانطور که گفته شد مربوط به کارهایی هست که برای پیشگیری از حمله دی داس باید صورت گیرد. هدف اصلی حمله دی داس این است که سرور شما کاری را که باید انجام دهد نتواند انجام دهد. مثلا نتواند وب سایت شما را به مخاطبینتان نشان دهد و یا نتواند برنامه ای را اجرا کند. به خاطر همین هدف قسمت اصلی ماجرا این است که ما چه کار کنیم که بتوانیم سرویس ها را همیشه در اختیار مخاظبین خود قرار دهیم.  روش های جلوگیری منفعل مانند استفاده از ورژن وبی دیواره آتش است که میتواند از خیلی از حملات به سرور جلوگیری کند. راه های دیگری نیز وجود دارد که به صورت فعال و آنلاین از این حملات جلوگیری می کند برای مطالعه بیشتر ما لینک زیر را از خود شرکت سلوشنری توصیه می کنیم.

هفت شیوه‌ی جلوگیری از دی‌داس

تگ دی‌داس در وبلاگ سلوشنری

 

نتیجه گیری

همانطور که میبنید دنیای وب و تکنولوژی به سرعت پیشرفت می‌کند به همین سرعت و یا بیشتر حمله ها پیچیده تر میشود. یادمان باشد که اگر مسئولیت امنیت جایی را بر عده داریم چاره ای نداریم جز به روز نگاه داشتن اطلاعاتمان. مطالعه زیاد و اهمیت دادن به هشدار های امنیتی ما را از گزند حمله کنندگان در امان می دارد.

نظرات

نظر (به‌وسیله فیس‌بوک)