Finar.ru
web.finar.ru
video.finar.ru
Темы для BootstrapNew!

Как поймать хакера, взломавшего сайт?

сыграем в частных сыщиков в виртуальном пространстве

Автор: Филипп Казаков, дата: 2011-02-13, просмотров 6716
Тэги

Сегодня я расскажу немного о том, о чем обычно весьмо непросто найти конкретную и достоверную информацию. Профессионалы, могущие доступно осветить эту тему, обычно предпочитают молчать и зарабатывать деньги, представляя практические аспекты защиты информации слишком сложными для понимания простыми людьми. Как приятно разрушать мифы!

Обычно сайт взламывают либо вирусы в автоматическом режиме, либо не обделенные интеллектом жители стран ближайшего зарубежья. Последние находят неплохие по популярности сайты с дырками в системе безопасности, внедряются тем или иным способом в файловую систему, расставляют "бэкдоры" (от backdoor - задняя дверь) в виде шэл-скриптов (от shell - оболочка, сетевой аналог "Проводника" или Norton Commander), с помощью которых можно впоследствии снова внедриться на сайт и, наконец, скрытно размещают скриптик с Биржи Ссылок. Ссылки они стараются разместить так, чтобы хозяин сайта этого не заметил. После этого заготовленные места для ссылок отправляются на биржу, где продаются seo-шникам, покупающим их для раскрутки по низкочастотным запросам бездарных сайтов-пустышек, например: "термотрансферная печать", "жалюзи и солнцезащитные системы", "монтаж подвесного потолка". Почем продают? Примерно по 5 копеек за одну ссылку в день, "зарабатывая" в сумме около 40-50 руб. в день с большого и хорошо раскрученного сайта.

Как известно, спрос рождает предложение, поэтому я и недолюбливаю "seo-шников". Вместо того, чтобы написать качественную статью про "монтаж подвесного потолка", сделать уникальные фотографии процесса, сверстать красивую и логичную страницу на нормальном домене (а не expert-pаtаlok, о котором, как видимо и о всем бизнесе компании явно думали не больше нескольких минут), эти халявщики скучно скупают ссылки, не принося совершенно никакой пользы человечеству, а напротив лишь провоцируя тем самым юных хакеров заниматься глупостями с продажей ссылок и взламывать кривые сайты.

При таких масштабах заработков, естественно, глупо надеяться, что взломавший ваш сайт юный хакер сидит в соседнем доме в Москве или Питере, и его удастся поймать физически. Скорее всего, заработки подобного уровня интересуют людей из неблагополучных и довольно отдаленных от столиц регионов, где им сложно найти достойную работу. Но можно поймать хакера виртуально, определив его IP-адрес, и - главное - заодно хорошенько напугать.

Первым делом необходимо определить, какие файлы на вашем сайте хакер использует для получения доступа. Об этом в общем-то тоже не очень сложном процессе я расскажу как-нибудь в следующий раз (в этом есть сущность нашей услуги Ремонт, дезинфекция сайтов), но в любом случае скорее всего он использует два скрипта: скрипт для управления ссылками и "бэкдор" или "шэлу". Шэла обычно маскируется под какой-нибудь системный файл, зачастую оставляется несколько ее копий в разных местах движка сайта. Естественно, хакер предполагает, что он очень хитер, и никто не догадается, как именно он проник в систему. Поэтому, как только вы удалите скрипт для управления ссылками, и он заметит это через биржу, он наверняка зайдет на ваш сайт еще хотя бы раз - проверить, нашли ли вы замаскированные им шэлы или нет, и что вообще случилось.

Этим-то и надо воспользоваться. Заменив найденную шэлу специальным php-файликом, мы определим IP-адрес обратившегося к ней клиента. Вот как он выглядит:

  1. Дорогой друг-хакер!<br><br>
  2.  
  3. Мы следим за тобой !<br><br>
  4.  
  5. В биржу linkfeed.ru отправлен официальный запрос на раскрытие твоей личности. Скриншоты с сайта сняты, исходный код записан, все это наториально заверено для отправки официального запроса в правоохранительные органы и провайдеру. <br><br>
  6.  
  7. Кстати:<br><br>
  8. <?php
  9. #генерируем уникальный ID для данного захода
  10. $UNIQUE_ID = md5("secret" . $_SERVER['REMOTE_ADDR'] . $_SERVER['REMOTE_PORT'] . time() . "secret");
  11.  
  12. #подключаем сервис decloak.net
  13. echo "<iframe height='1' width='1' scrolling='no' src='http://decloak.net/decloak.html?cid=$UNIQUE_ID'></iframe><br><br>";
  14.  
  15. #генерируем ссылку для просмотра данных на decloak.net
  16. $UNIQUE_ID_link = "http://decloak.net/report.html?cid=$UNIQUE_ID&format=text";
  17.  
  18. #пугаем хакера, показывая его IP (может быть и не настоящим, но все равно - страшно!):
  19. $ip = $_SERVER['REMOTE_ADDR'];
  20. echo "твой IP: $ip<br>";
  21. # отправляем собранные данные нам по почте
  22. mail("yourmail@anycomp.com", "hacker's IP", "$ip, details: $UNIQUE_ID_link");
  23. echo "<br>успешно отправлен нам на почту. Спасибо!";
  24. ?>

Кроме, собственно, простого определения физического IP-адреса из переменной php, в данном скрипте используется сервис www.decloak.net . На случай, если злоумышленник использует прокси-сервер во время своей подрывной деятельноти, этот сервис применяет несколько хитрых приемов, якобы позволяющих узнать истинный физический IP-адрес с помощью JavaScript'ов, флэш-объектов, прямой закачки файлов, QuickTime-мувиков и пр. Экспресс-тестирование показало, что при разумном использовании FireFox и сети прокси-анонимизаторов Tor - круговая порука, decloak.net, вероятнее всего, не сможет узнать реальный IP-адрес. Жаль, но в эффектности сервису не откажешь - при обращении к скрипту начинают открываться дополнительные окна, скачиваться какие-то файлы, что-то приогрывается - в общем, психологический эффект отличный.

Когда хакер попадется в вашу ловушку, к вам по почте придет пиьсмо с IP-адресом и ссылкой на подробные данные от decloak.net

Удачной охоты!




Оставить комментарий 


Ваше имя:
->