lunedì 19 settembre 2011

Attacco inutile Gootkit sul ASafaWeb


Sabato mattina mi sono svegliata a 120 email da ASafaWeb , non perché mi piace davvero, ma perché era nel dolore! Una cosa che ho fatto molto presto con il progetto è stato quello di implementare ELMAH e assicurarsi che ricevo una notifica via email quando qualcosaaccade che non dovrebbero. Non rimarrà in questo modo (per motivi che si sta per vedere), ma è un buon modo di tenere d'occhio tutto ciò che va male molto presto.
Che cosa fa è ELMAH mantiene un registro bel po 'di tutte le cose che accadono sul vostro sito che non dovrebbero, gli errori del server interni, formati URL illegale e gli errori, soprattutto in questo contesto, pagina non trovata (il classico HTTP 404). Si possono anche registrare i vostri messaggi personalizzati pure, ma questa è un'altra storia. ELMAH rende tutte queste informazioni meraviglioso disponibili tramite un gestore personalizzato che ti dà tutti i dettagli a destra all'interno del vostro sito (non dimenticare di sicuro questo!) Ecco cosa mi svegliai a:
Elenco delle richieste registrate da ELMAH
Ci sono due punti di particolare interesse qui:
  1. I sentieri si richiede: ELMAH è dire di no regolatore esiste per questi (è un'applicazione MVC), ma la cosa interessante è i percorsi effettivi stessi. Vedrete un sacco di riferimenti a "sql", "php" e "admin".
  2. Il tempo di ogni richiesta: Tutto questo è successo nel giro di circa un minuto.Qualcosa evidentemente non è proprio qui.
Quando ho forato giù in una di queste richieste, ho visto qualcosa di simile a questa:
Dettagli di una richiesta registrate da ELMAH
In realtà, ELMAH ti dà tutta YSOD con stack ma non è molto interessante quando si tratta di un 404. I bit di cui sopra sono tutte le variabili del server che comprende gli elementi interessanti vedrete evidenziato, in particolare che l'user agent è il "Gootkit auto-Rooter dello scanner". Dopo aver un po 'di una risata ("root" è interpretato in modo leggermente diverso giù sotto ), un rapido Google rivela tutto quello che Gootkit tenta di fare . In sostanza vuole sfondare la porta al tuo sito e infettare le tue pagine con redirect a luoghi brutto.
Naturalmente l'altro pezzo di informazione che otteniamo da tutto questo è l'indirizzo IP dal quale tutte le emozioni origine. Io non riuscivo a risolvere questo ad un geo-localizzazione , ma anche se lo ha fatto, è molto probabilmente qualche individuo povero innocente che ha appena preso un colpo di malware.
Quello che pensavo fosse più interessante di tutto questo è che non solo non ha ASafaWeb lanciato, non ho ancora pubblicato i link al sito web. In realtà non è del tutto vero perché è l'account Twitter , ma questo è tutto. Il punto è che Gootkit trovato un sito del tutto oscuro che usa nessuno e martellato con richieste dannose. Tenetelo a mente la prossima volta che qualcuno sostiene il loro sito è "sicuro", perché nessuno sa che è lì!
Ma l'altra cosa che ho pensato è stata interessante - e questo è il punto cruciale di questo post del blog - è che questo episodio non mi preoccupa assolutamente. Ecco perché:
  1. Non ho nessun segreto ho bisogno di proteggere. Il modo migliore per mantenere un segreto è quello di non averlo e ho consapevolmente deciso di non avere segreti per questo motivo che include non tenere traccia di quali siti vengono scansionati.
  2. L'unico segreto che non vogliono proteggere (ok, per cui vi è una sola), è la password della mia beta tester. Ho veramente bene e preso il mio stesso consiglio qui e usato appartenenza ASP.NET 's provider che implementa sali casuali crittograficamente prima di un hash SHA1 viene creato.
  3. In un caso peggiore in assoluto, ad esempio la distruzione apocalittica della ASafaWeb, posso ridistribuire a AppHarbor in circa 5 secondi. Ho intenzione di parlare di più su questi ragazzi in un futuro prossimo ma non posso dirvi come rassicurante, per avere così un potente capacità immediata di ridistribuire.
  4. So esattamente quello che Gootkit stava cercando di fare per ASafaWeb oltre i limiti previsti di funzionamento, perché ho ​​il registro ELMAH. Nessun log = nessuna capacità di fare questo.
Quindi, tutto sommato, questo è stato un evento molto tranquillo che è quello che fa vale la pena scrivere. Questo e il fatto che non si può nascondere dal bots! Questo evento e le altre recenti esperienze rafforzare alcuni messaggi chiave di costruire pubblicamente di fronte applicazioni web:
  1. Nulla accessibili al pubblico è un obiettivo - essere pronti a prendere attaccato dal primo giorno.
  2. Conosci il tuo nemico - assicuratevi di avere una qualche forma di registrazione che è possibile accedere facilmente e, preferibilmente, essere automaticamente avvisati.
  3. Non tenere i segreti, se non c'è bisogno di - è il modo migliore di non divulgarli!
  4. Essere in grado di ridistribuire in un attimo - la sua garanzia impressionante per quando le cose vanno veramente male.
E tutto questo è morto semplice.
Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)