SlideShare una empresa de Scribd logo

Website Security & WordPress (Peter Gramantik)

W
wcsk
Internet
1 de 44
Descargar para leer sin conexión
Website Security & WordPress co se děje & jak se vyhnout katastrofě
Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka”
Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka” Zájmy: - rock - rybaření
Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka” Zájmy: - rock - rybaření - malware ;-)
Sucuri - www.sucuri.net - malware protection detection alerting cleanup
Kdo jsme? - Website Security Company - Celosvětová působnost - Všechny webové platformy - Scanování přes 1M unikátních domén / měsíc - Zablokování přes 1M webových útoků / měsíc - čištění cca 300 - 500 web stránek / den - detekce založená na signaturách / heuristice - operace 24/7
Obsah Část 1: - statistiky, trendy, pozorování... - & více..
Obsah Část 1: - statistiky, trendy, pozorování... - & více.. Část 2: - případová studie
Obsah Část 1: - statistiky, trendy, pozorování... - & více.. Část 2: - případová studie (menší nuda)
O čem to celé je? - počet napadených linků / stránek stoupá 85% infikovaných stránek je hostováno u legitimních (a oblíbených) provozovatelů web hostingu Malware, nebo alespoň něco jako malware je všude kolem
Typy malware a jejich distribuce
Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
We need to go deeper...
We need to go deeper...
Všechno je o přístupu
Automatizované hackování - Exploze v Malware as a Service (MaaS) obchodu - zaplaťte si vlastního hackera - Různé automatické nástroje na hackování a generování payloadu - “script kiddies” vs. profesionální teamy - Blesková infekce - jeden moment je vše OK, za chvilku.. je to plné hvězd malware - Blackhole Exploit Kit - Leader v poskytování MaaS
Co to všechno znamená? - Poškození značky - Právní problémy - Dopad na prodeje - Blacklistování ve vyhledávacích enginech - Blacklistování u platebních služeb - Nejhorší den života...
Obrana?
Obrana! Vrstvy
Obrana! - Kontrola přístupů - Zranitelnosti - Hosting - Online chování & zvyky - Sociální sítě - Hesla
Všechno je to o přístupu... “ It’s about risk reduction… risk will never be zero… ” - všichni to ví, (téměř) nikdo to nedodržuje - bezpečná heslo, brute-force vs. slovníkový útok - jméno vašho zvířecího mazlíčka není bezpečné heslo - pravidelná změna hesla, silné heslo není všechno - spolehlivý password manager? Dobrá volba! - nevěřte nikomu :) - sledujte kdo přistupuje na váš server - SFTP / SSH místo FTP
Ochranné vrstvy - přístup
Ochranné vrstvy - zranitelnosti
Ochranné vrstvy - servry
Část 2: Případová studie Příběh jedné naprosto běžné infekce
Pozadí - bežná honeypot stránka - zranitelnost v přístupu - měsíce čekání, dokud...
Jak to začalo? Nejenom pokus, ale někdo se opravdu přilogoval jako admin z následující IP: 188.3.48.163
Útočník Zcela zjevně nikdo z kolegů, čas podívat se na to trochu víc
Logy Bylo nezbytné zjistit co všechno útočník provedl, takže jsme začali u auditovací funkce v Sucuri pluginu. Hledali jsme a našli...
Potvrzení známých skutečností Ano. Konání našeho hackera je dobře viditelné v auditu a samozřejmě i v “syrovém” server access logu. To důležité v server logu najdeme jednoduše korelováním těchto dvou logů.
Hax0r má problémy Jeho dalším krokem bylo ověřit si, jestli byl úspěšný, takže se pokusil navštívit stránku 404. Nejdřív přímo v umístění témy, následně v rootu. Je dobré si všimnout dvou různých chybových kódů po tomto pokusu: 403 a 404. První, 403 říká, že Přístup byl odmítnut. Druhý, 404, říká, že Soubor nebyl nalezen. 403-ka je způsobena naším “zpevněním” v .htaccess uvnitř wp-content, které zabraňuje zpouštění PHP: 404-ka se objevila, protože napadená táma nebyla aktivní. Vzpomínáte? Později změnili tému. Stejně to nevysvětluje, proč nepracovali přímo s aktivní témou. Hackeři se někdy chovají podivně..
Úspěch Tak se jim to povedlo a oni si to ověřili. Byli uvnitř... [01/Nov/2013:13:23:48 -0700] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66718 [01/Nov/2013:13:24:04 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen HTTP/1.1" 200 7810 [01/Nov/2013:13:24:14 -0700] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486 [01/Nov/2013:13:24:20 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66725 After switching theme, they needed to verify: [01/Nov/2013:13:24:27 -0700] "GET / HTTP/1.1" 200 3001 "-" Yes, they’ve got the 200 result.
Kde je zakopaný pes malware Útočníci zneužili jinak poměrně užitečnou vlastnost. Abyste pochopili co dělají, musíte pochopit jak WordPress a taky mnoho jiných CMS pracuje. Mají hierarchii načítání která zpustí PHP soubory patřící k aktivní témě a pluginům. V tomto případě náš útočník vložil infikovaný kód do souborů 404.php a index.php témy z které nasledně udělal aktivní, takže malware kód se načetl. No a jelikož infikovali i (témový) index.php, mohli si otestovat funkčnost načtením přímo rootu stránky “/” - to je to co jste viděli na předchozím slidu. No a jelikož byli úspěšní, mohli začít pracovat se svým backdoorem posíláním příkazů. Každý z nich nám způsobil jinou obtíž, ale bylo hezké to sledovat. Konec konců, my jsme chtěli být napadeni..
Nebezpečný Náklad [01/Nov/2013:13:24:32 -0700] "GET /?webr00t=telnet HTTP/1.1" 200 2805 Kompletní analýza je mimo rámec téhle prezentace, ale ve zkratce: další BACKDOOR
Nové ohlédnutí do logů Následně útočníci používají další backdoor funkci: Nyní už víme co dělají. Ale proč .root soubory a jak to funguje? Odpověď je v modifikovaném .htaccess souboru: [01/Nov/2013:13:24:59 -0700] “GET /?webr00t=config HTTP/1.1″ 200 2828 “http://www.[honeypot].com/?webr00t=telnet”
Ještě to nestačilo? Jeden z příkazů backdooru byl “config”. Co dělá? Nyní již máme kompletně napadenou stránku, navíc se symlinkama všude možně, takže útočník má přístup v podstatě k čemukoliv na servru. Není to hezké? A už to stačilo? V tomto momentu můžou útočníci dělat cokoliv. Krást data, uploadovat další soubory / skripty a užívat server k dalším akcím. Co bylo dál?
Velké finále Po detailní analýze jsme zjistili, že útočníci stáhli další data ze sdíleného servru. Věci jako /etc/passwd a další soubory. Každá z funkcí backdooru byla naprogramována tak aby provedla automatizovanou a kompletníútočnou sekvenci, takže poměrně složitý útok byla jenom otázka pár “kliků”. Když skončili, zanechali nám malý dárek - zlikvidovanou stránku, což je celkem neobvyklé:
Proč? Jednoduše proto, že mohli. Podle všeho se chtěli jenom ukázat. Název našeho honeypotu byl nejspíš také poněkud vybízející takže nám zkrátka zanechali jedno velké virtuální LOL. Další možností je, že jim to prostě bylo jedno... Na základě analýzy jejich akcí a web-shellu samotného to vypadá, že se zaměřili na servrová data. Věci jako existující uživatelské účy a podobně. Zničení stránky nebylo nic víc než jedno velké FU na konci jejich pracovního dne. V každém případě, sledování takovýchto incidentů je vždy zábava, ale také se neustále učíme. Útočníci jsou téměř vždy o krok napřed. A jak nám zničili stránku? Nejdříve prostě smazali wp-includes a wp-admin, následně navíc přidali nový .htaccess do rootu který znemožní spuštění jakéhokoliv PHP kódu. A to je všechno...
Zajímavé linky: http://blog.sucuri.net http://sucuri.tv http://wordpress.org/tags/hacked http://wordpress.org/tags/malware http://codex.wordpress.org/Hardening_WordPress https://www.badwarebusters.org/ http://www.exploit-db.com/search/? action=search&filter_description=Wordpress&filter_platform=31
Děkuji za pozornost! ...a dejte si pozor... Na všecno ;-)

Recomendados

WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chybMichal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPSMichal Špaček
 

Recomendados

WordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czWordCamp Prague 2014 - Website security cz
WordCamp Prague 2014 - Website security czpeter_sucuri
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguMichal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuMichal Špaček
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webuMiloš Janda
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chybMichal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQMichal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojářeMichal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPSMichal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)Michal Špaček
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí službaMichal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všudeMichal Špaček
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchMichal Špaček
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení SlevomatuMichal Špaček
 
Hashování hesel
Hashování heselHashování hesel
Hashování heselMichal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingMichal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016Vladimír Smitka
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPressVladimír Smitka
 
API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)Michal Taborsky
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 

Más contenido relacionado

La actualidad más candente

HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všudeMichal Špaček
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchMichal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Michal Špaček
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyVladimír Smitka
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingMichal Špaček
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostMichal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníMichal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...Michal Špaček
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůVladimír Smitka
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceMichal Špaček
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Michal Špaček
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DODDoubry99
 
API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)Michal Taborsky
 

La actualidad más candente (20)

HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí služba
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všude
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení Slevomatu
 
Hashování hesel
Hashování heselHashování hesel
Hashování hesel
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
 
Jak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránkyJak si (ne)nechat hacknout Wordpress stránky
Jak si (ne)nechat hacknout Wordpress stránky
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
 
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnostWebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
 
Nejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webůNejčastejší problémy WordPress webů
Nejčastejší problémy WordPress webů
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
 
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
 
Wordpress_DOD
Wordpress_DODWordpress_DOD
Wordpress_DOD
 
Wordfence 2016
Wordfence 2016Wordfence 2016
Wordfence 2016
 
Instalace WordPress
Instalace WordPressInstalace WordPress
Instalace WordPress
 
API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)API Obludárium (API 2018, Praha)
API Obludárium (API 2018, Praha)
 

Similar a Website Security & WordPress (Peter Gramantik)

Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceVladimír Smitka
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3Vladimír Smitka
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnostiBrilo Team
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilováníVladimír Smitka
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Vladimír Smitka
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyVladimír Smitka
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceVladimír Smitka
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015tomashala
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressVladimír Smitka
 
Ochrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a PetyaOchrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a PetyaMarketingArrowECS_CZ
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnostiVladimír Smitka
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)DCIT, a.s.
 
JavaScript v GTM - Measure Camp Brno 2017
JavaScript v GTM - Measure Camp Brno 2017JavaScript v GTM - Measure Camp Brno 2017
JavaScript v GTM - Measure Camp Brno 2017Michal Blažek
 
Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat ProtectionMarketingArrowECS_CZ
 
Problémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůProblémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůJiří Napravnik
 
Nette v cloudu - Poslední Sobota
Nette v cloudu - Poslední SobotaNette v cloudu - Poslední Sobota
Nette v cloudu - Poslední SobotaPatrik Votoček
 
Prezentace z konference ISSS 2014
Prezentace z konference ISSS 2014Prezentace z konference ISSS 2014
Prezentace z konference ISSS 2014Tomas Solar
 

Similar a Website Security & WordPress (Peter Gramantik) (20)

Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
 
WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3WordPress: Základy - bezpečnost 3x3
WordPress: Základy - bezpečnost 3x3
 
Prezentace - základy bezpečnosti
Prezentace - základy bezpečnostiPrezentace - základy bezpečnosti
Prezentace - základy bezpečnosti
 
WP výkon a jeho profilování
WP výkon a jeho profilováníWP výkon a jeho profilování
WP výkon a jeho profilování
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
 
Bezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníkyBezpečnost WordPress pro začátečníky
Bezpečnost WordPress pro začátečníky
 
Wordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentaceWordcamp Praha 2015 - další útržky z prezentace
Wordcamp Praha 2015 - další útržky z prezentace
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
 
HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015HTTPS zdarma a pro všechny - LinuxDays 2015
HTTPS zdarma a pro všechny - LinuxDays 2015
 
WordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPressWordCamp Praha 2016 - Bezpečnost WordPress
WordCamp Praha 2016 - Bezpečnost WordPress
 
Ochrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a PetyaOchrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a Petya
 
WordPress - základy bezpečnosti
WordPress - základy bezpečnostiWordPress - základy bezpečnosti
WordPress - základy bezpečnosti
 
Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)Jen technická obrana nestačí (Jindřich Hlaváč)
Jen technická obrana nestačí (Jindřich Hlaváč)
 
JavaScript v GTM - Measure Camp Brno 2017
JavaScript v GTM - Measure Camp Brno 2017JavaScript v GTM - Measure Camp Brno 2017
JavaScript v GTM - Measure Camp Brno 2017
 
Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat Protection
 
Problémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůProblémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborů
 
Nette v cloudu - Poslední Sobota
Nette v cloudu - Poslední SobotaNette v cloudu - Poslední Sobota
Nette v cloudu - Poslední Sobota
 
Asynchronně v PHP
Asynchronně v PHPAsynchronně v PHP
Asynchronně v PHP
 
Prezentace z konference ISSS 2014
Prezentace z konference ISSS 2014Prezentace z konference ISSS 2014
Prezentace z konference ISSS 2014
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
 

Más de wcsk

Slobodný sofrvér, slobodná firma (Peter Nemčok)
Slobodný sofrvér, slobodná firma (Peter Nemčok)Slobodný sofrvér, slobodná firma (Peter Nemčok)
Slobodný sofrvér, slobodná firma (Peter Nemčok)wcsk
 
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)wcsk
 
Jak na SEO ve WordPressu (Pavel Ungr)
Jak na SEO ve WordPressu (Pavel Ungr)Jak na SEO ve WordPressu (Pavel Ungr)
Jak na SEO ve WordPressu (Pavel Ungr)wcsk
 
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)wcsk
 
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)wcsk
 
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...wcsk
 
Keď google analytics nestačí... (Braňo Pokrivčák)
Keď google analytics nestačí... (Braňo Pokrivčák)Keď google analytics nestačí... (Braňo Pokrivčák)
Keď google analytics nestačí... (Braňo Pokrivčák)wcsk
 
The Good, The Bad & The Ugly (Pavol Magic)
The Good, The Bad & The Ugly (Pavol Magic) The Good, The Bad & The Ugly (Pavol Magic)
The Good, The Bad & The Ugly (Pavol Magic) wcsk
 
Tak mám stránku! A čo teraz? (Peter Šebo)
Tak mám stránku! A čo teraz? (Peter Šebo) Tak mám stránku! A čo teraz? (Peter Šebo)
Tak mám stránku! A čo teraz? (Peter Šebo) wcsk
 
Projektový manažment pri tvorbe webov (Mária Jellúšová)
Projektový manažment pri tvorbe webov (Mária Jellúšová) Projektový manažment pri tvorbe webov (Mária Jellúšová)
Projektový manažment pri tvorbe webov (Mária Jellúšová) wcsk
 
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)wcsk
 
Proces tvorby webu a WordPress (Martin Adamko)
Proces tvorby webu a WordPress (Martin Adamko)Proces tvorby webu a WordPress (Martin Adamko)
Proces tvorby webu a WordPress (Martin Adamko)wcsk
 
Wordpress joomla-drupal (Tomáš Chvostek)
Wordpress joomla-drupal (Tomáš Chvostek)Wordpress joomla-drupal (Tomáš Chvostek)
Wordpress joomla-drupal (Tomáš Chvostek)wcsk
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)wcsk
 

Más de wcsk (14)

Slobodný sofrvér, slobodná firma (Peter Nemčok)
Slobodný sofrvér, slobodná firma (Peter Nemčok)Slobodný sofrvér, slobodná firma (Peter Nemčok)
Slobodný sofrvér, slobodná firma (Peter Nemčok)
 
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)
Štýlujme WordPress šablóny rýchlejšie - Bootstrap 3 a LESS (Ivan Potančok)
 
Jak na SEO ve WordPressu (Pavel Ungr)
Jak na SEO ve WordPressu (Pavel Ungr)Jak na SEO ve WordPressu (Pavel Ungr)
Jak na SEO ve WordPressu (Pavel Ungr)
 
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)
Ako si zjednodušiť tvorbu webov a ako ich zmeniť na zisk? (Miro Veselý)
 
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)
Ako nám WooCommerce pomohol zdvojnásobiť návštevnosť (Matej Lančarič)
 
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...
O tom nepríjemnom, na čo je vždy čas neskôr … alebo webstránky a právo (Marti...
 
Keď google analytics nestačí... (Braňo Pokrivčák)
Keď google analytics nestačí... (Braňo Pokrivčák)Keď google analytics nestačí... (Braňo Pokrivčák)
Keď google analytics nestačí... (Braňo Pokrivčák)
 
The Good, The Bad & The Ugly (Pavol Magic)
The Good, The Bad & The Ugly (Pavol Magic) The Good, The Bad & The Ugly (Pavol Magic)
The Good, The Bad & The Ugly (Pavol Magic)
 
Tak mám stránku! A čo teraz? (Peter Šebo)
Tak mám stránku! A čo teraz? (Peter Šebo) Tak mám stránku! A čo teraz? (Peter Šebo)
Tak mám stránku! A čo teraz? (Peter Šebo)
 
Projektový manažment pri tvorbe webov (Mária Jellúšová)
Projektový manažment pri tvorbe webov (Mária Jellúšová) Projektový manažment pri tvorbe webov (Mária Jellúšová)
Projektový manažment pri tvorbe webov (Mária Jellúšová)
 
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)
Tipy pre WordPress MFA / affiliate site (Vladimír Rejholec)
 
Proces tvorby webu a WordPress (Martin Adamko)
Proces tvorby webu a WordPress (Martin Adamko)Proces tvorby webu a WordPress (Martin Adamko)
Proces tvorby webu a WordPress (Martin Adamko)
 
Wordpress joomla-drupal (Tomáš Chvostek)
Wordpress joomla-drupal (Tomáš Chvostek)Wordpress joomla-drupal (Tomáš Chvostek)
Wordpress joomla-drupal (Tomáš Chvostek)
 
Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)Respnsive webdesign (Ivan Potančok)
Respnsive webdesign (Ivan Potančok)
 

Website Security & WordPress (Peter Gramantik)

  • 1. Website Security & WordPress co se děje & jak se vyhnout katastrofě
  • 2. Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka”
  • 3. Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka” Zájmy: - rock - rybaření
  • 4. Kdo je P.G. ?! Specializace: - malware researcher - mobilní malware - “vrtačka” Zájmy: - rock - rybaření - malware ;-)
  • 5. Sucuri - www.sucuri.net - malware protection detection alerting cleanup
  • 6. Kdo jsme? - Website Security Company - Celosvětová působnost - Všechny webové platformy - Scanování přes 1M unikátních domén / měsíc - Zablokování přes 1M webových útoků / měsíc - čištění cca 300 - 500 web stránek / den - detekce založená na signaturách / heuristice - operace 24/7
  • 7. Obsah Část 1: - statistiky, trendy, pozorování... - & více..
  • 8. Obsah Část 1: - statistiky, trendy, pozorování... - & více.. Část 2: - případová studie
  • 9. Obsah Část 1: - statistiky, trendy, pozorování... - & více.. Část 2: - případová studie (menší nuda)
  • 10. O čem to celé je? - počet napadených linků / stránek stoupá 85% infikovaných stránek je hostováno u legitimních (a oblíbených) provozovatelů web hostingu Malware, nebo alespoň něco jako malware je všude kolem
  • 11. Typy malware a jejich distribuce
  • 12. Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
  • 13. Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
  • 14. Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
  • 15. Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
  • 16. Malé stránky v nebezpečí? Otestovali jsme prvních 1 000 0000 stránek z Alexa Page Rank Tohle jsou výsledky:
  • 17. We need to go deeper...
  • 18. We need to go deeper...
  • 19. Všechno je o přístupu
  • 20. Automatizované hackování - Exploze v Malware as a Service (MaaS) obchodu - zaplaťte si vlastního hackera - Různé automatické nástroje na hackování a generování payloadu - “script kiddies” vs. profesionální teamy - Blesková infekce - jeden moment je vše OK, za chvilku.. je to plné hvězd malware - Blackhole Exploit Kit - Leader v poskytování MaaS
  • 21. Co to všechno znamená? - Poškození značky - Právní problémy - Dopad na prodeje - Blacklistování ve vyhledávacích enginech - Blacklistování u platebních služeb - Nejhorší den života...
  • 24. Obrana! - Kontrola přístupů - Zranitelnosti - Hosting - Online chování & zvyky - Sociální sítě - Hesla
  • 25. Všechno je to o přístupu... “ It’s about risk reduction… risk will never be zero… ” - všichni to ví, (téměř) nikdo to nedodržuje - bezpečná heslo, brute-force vs. slovníkový útok - jméno vašho zvířecího mazlíčka není bezpečné heslo - pravidelná změna hesla, silné heslo není všechno - spolehlivý password manager? Dobrá volba! - nevěřte nikomu :) - sledujte kdo přistupuje na váš server - SFTP / SSH místo FTP
  • 26. Ochranné vrstvy - přístup
  • 27. Ochranné vrstvy - zranitelnosti
  • 29. Část 2: Případová studie Příběh jedné naprosto běžné infekce
  • 30. Pozadí - bežná honeypot stránka - zranitelnost v přístupu - měsíce čekání, dokud...
  • 31. Jak to začalo? Nejenom pokus, ale někdo se opravdu přilogoval jako admin z následující IP: 188.3.48.163
  • 32. Útočník Zcela zjevně nikdo z kolegů, čas podívat se na to trochu víc
  • 33. Logy Bylo nezbytné zjistit co všechno útočník provedl, takže jsme začali u auditovací funkce v Sucuri pluginu. Hledali jsme a našli...
  • 34. Potvrzení známých skutečností Ano. Konání našeho hackera je dobře viditelné v auditu a samozřejmě i v “syrovém” server access logu. To důležité v server logu najdeme jednoduše korelováním těchto dvou logů.
  • 35. Hax0r má problémy Jeho dalším krokem bylo ověřit si, jestli byl úspěšný, takže se pokusil navštívit stránku 404. Nejdřív přímo v umístění témy, následně v rootu. Je dobré si všimnout dvou různých chybových kódů po tomto pokusu: 403 a 404. První, 403 říká, že Přístup byl odmítnut. Druhý, 404, říká, že Soubor nebyl nalezen. 403-ka je způsobena naším “zpevněním” v .htaccess uvnitř wp-content, které zabraňuje zpouštění PHP: 404-ka se objevila, protože napadená táma nebyla aktivní. Vzpomínáte? Později změnili tému. Stejně to nevysvětluje, proč nepracovali přímo s aktivní témou. Hackeři se někdy chovají podivně..
  • 36. Úspěch Tak se jim to povedlo a oni si to ověřili. Byli uvnitř... [01/Nov/2013:13:23:48 -0700] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66718 [01/Nov/2013:13:24:04 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen HTTP/1.1" 200 7810 [01/Nov/2013:13:24:14 -0700] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 486 [01/Nov/2013:13:24:20 -0700] "GET /wp-admin/theme-editor.php?file=index.php&theme=twentythirteen&scrollto=8896&updated=true HTTP/1.1" 200 66725 After switching theme, they needed to verify: [01/Nov/2013:13:24:27 -0700] "GET / HTTP/1.1" 200 3001 "-" Yes, they’ve got the 200 result.
  • 37. Kde je zakopaný pes malware Útočníci zneužili jinak poměrně užitečnou vlastnost. Abyste pochopili co dělají, musíte pochopit jak WordPress a taky mnoho jiných CMS pracuje. Mají hierarchii načítání která zpustí PHP soubory patřící k aktivní témě a pluginům. V tomto případě náš útočník vložil infikovaný kód do souborů 404.php a index.php témy z které nasledně udělal aktivní, takže malware kód se načetl. No a jelikož infikovali i (témový) index.php, mohli si otestovat funkčnost načtením přímo rootu stránky “/” - to je to co jste viděli na předchozím slidu. No a jelikož byli úspěšní, mohli začít pracovat se svým backdoorem posíláním příkazů. Každý z nich nám způsobil jinou obtíž, ale bylo hezké to sledovat. Konec konců, my jsme chtěli být napadeni..
  • 38. Nebezpečný Náklad [01/Nov/2013:13:24:32 -0700] "GET /?webr00t=telnet HTTP/1.1" 200 2805 Kompletní analýza je mimo rámec téhle prezentace, ale ve zkratce: další BACKDOOR
  • 39. Nové ohlédnutí do logů Následně útočníci používají další backdoor funkci: Nyní už víme co dělají. Ale proč .root soubory a jak to funguje? Odpověď je v modifikovaném .htaccess souboru: [01/Nov/2013:13:24:59 -0700] “GET /?webr00t=config HTTP/1.1″ 200 2828 “http://www.[honeypot].com/?webr00t=telnet”
  • 40. Ještě to nestačilo? Jeden z příkazů backdooru byl “config”. Co dělá? Nyní již máme kompletně napadenou stránku, navíc se symlinkama všude možně, takže útočník má přístup v podstatě k čemukoliv na servru. Není to hezké? A už to stačilo? V tomto momentu můžou útočníci dělat cokoliv. Krást data, uploadovat další soubory / skripty a užívat server k dalším akcím. Co bylo dál?
  • 41. Velké finále Po detailní analýze jsme zjistili, že útočníci stáhli další data ze sdíleného servru. Věci jako /etc/passwd a další soubory. Každá z funkcí backdooru byla naprogramována tak aby provedla automatizovanou a kompletníútočnou sekvenci, takže poměrně složitý útok byla jenom otázka pár “kliků”. Když skončili, zanechali nám malý dárek - zlikvidovanou stránku, což je celkem neobvyklé:
  • 42. Proč? Jednoduše proto, že mohli. Podle všeho se chtěli jenom ukázat. Název našeho honeypotu byl nejspíš také poněkud vybízející takže nám zkrátka zanechali jedno velké virtuální LOL. Další možností je, že jim to prostě bylo jedno... Na základě analýzy jejich akcí a web-shellu samotného to vypadá, že se zaměřili na servrová data. Věci jako existující uživatelské účy a podobně. Zničení stránky nebylo nic víc než jedno velké FU na konci jejich pracovního dne. V každém případě, sledování takovýchto incidentů je vždy zábava, ale také se neustále učíme. Útočníci jsou téměř vždy o krok napřed. A jak nám zničili stránku? Nejdříve prostě smazali wp-includes a wp-admin, následně navíc přidali nový .htaccess do rootu který znemožní spuštění jakéhokoliv PHP kódu. A to je všechno...
  • 44. Děkuji za pozornost! ...a dejte si pozor... Na všecno ;-)