RAPORT SKANOWANIA ANTY-EXPLOITOWEGO kont hostingowych Smarthost.pl za rok 2016

1. Wprowadzenie

Na serwerach hostingowych Smarthost.pl wdrożono system wyszukujący podejrzane fragmenty w kodzie wtyczek i dodatków. Działa on w oparciu o bazę kilku tysięcy exploitów na popularne systemy CMS, w tym Joomla, WordPress, Drupal oraz innych aplikacji internetowych napisanych w języku PHP. Podczas skanowania wykrywa próby nieuprawnionych zmian na stronie (w plikach użytkownika).

Monitoring zabezpiecza przed próbami włamań m.in. poprzez dziurawe biblioteki,
które umożliwiają dodanie szkodliwego kodu oraz przez niezabezpieczone formularze na
stronach www. Skrypt wykrywa również wgranie przez FTP zawirusowanego pliku na
serwer, uniemożliwiając atak w sytuacji, gdy zostało wykradzione hasło dostępowe do
menedżera plików.

2. Sposób działania systemu anty-exploitowego

W momencie wykrycia zainfekowanego kawałka kodu, następuje blokada wgrania
pliku i automatyczne przesunięcie do oddzielnego katalogu kwarantanny, niedostępnego
dla użytkownika.
Informacja o zdarzeniu dociera do administratorów Smarthost.pl oraz właściciela
strony internetowej. Pozwala to powstrzymać dalsze działania exploitów, które mogą
okazać się bardzo kłopotliwe.

Abonent konta otrzymuje natychmiast wiadomość e-mail z informacją, że na serwerze wystąpiła próba wgrania pliku z zainfekowaną zawartością, wraz z dokładną informacją o zaatakowanym pliku. Sam plik, którego zawartość uległa zmianom, lub nowy plik z podejrzaną zawartością zostaje zablokowany.

System wykrywa każdy typ próby wgrania plików, w tym wgranie przez ftp, upload przez
formularz, pobranie pliku przez skrypt.

3. Wykrywanie nieaktualnych wersji skryptów

Oprócz wykrywania szkodliwych skryptów, skrypty na hostingu wykrywają również
nieaktualne wersje popularnych CMS-ów oraz ich modułów oraz dodatków. O wykryciu
nieaktualnej wersji skryptu informowany jest właściciel konta. Nie jest podejmowana
żadna inna akcja, oprócz informacji dla właściciela konta hostingowego.

4. Skrócone podsumowanie roczne liczby wykrytych zagrożeń

Liczba przeskanowanych plików na serwerach hostingowych: 39 810 757

W powyższej liczbie zawierają się pliki dostępne publicznie w katalogach będących
serwowanymi przez Apache (w przypadku serwerów opartych na cPanel jest to public_html.

Liczba plików oznaczonych jako znany exploit: 11 674

Pliki zarażone zostały zablokowane przed zapisem, a użytkownicy kont zostali poinformowani o próbie wgrania zainfekowanego pliku.

Liczba plików oznaczonych jako nieaktualna wersja skryptu: 3 903

O nieaktualnej wersji skryptu abonencie kont zostali poinformowani i nie została podjęta
żadna inna akcja, oprócz informacji.

5. Podsumowanie wykrywania exploitów wg typu

Typ wykrytego exploitaLiczba wystąpień
PHP WordPress Exploit6348
PHP Injection Exploit1053
PHP Obfuscated Exploit1000
PHP Exploit904
PHP Shell Exploit708
PHP GLOBALS Exploit570
PHP COOKIE Exploit393
PHP Upload Exploit223
PHP DarkLeech Exploit130
PHP POST Exploit116
PHP REQUEST Exploit100
PHP EXIF Exploit41
PHP Spammer Exploit21
Hacker Sign Exploit12
PHP Defacer Exploit9
PHP PB Exploit8
Exploited .htaccess7
Shell Exploit4
PHP Phishing Exploit4
PHP CryptoPHP Exploit4
PHP cPanel Exploit3
Hacker Signature Exploit3
Shell LD_PRELOAD Exploit2
PHP GET Exploit2
Perl Spammer Exploit2
Perl Exploit2
PHP Site Defacer1
PHP Proxy Exploit1
PHP Joomla Exploit1
PHP Hacker Signature1
PHP Backdoor Exploit1

6. Nieaktualne wersje skryptów

Uwaga 1: podane wersje dotyczą wykrytych wersji w ciągu całego roku 2016, zatem
część z wersji została zaktualizowana, część skryptów została po raz kolejny uznana za
pewien czas jako nieaktualna. Wersje skryptów są przybliżone. Ze względów na ew.
podatności skryptów, które mogły nie zostać zaktualizowane przez użytkowników nie
podajemy w niniejszym raporcie dokładnej wersji nieaktualnych skryptów.

Uwaga 2: Wersje skryptów uznawanych za aktualne zmieniały się w ciągu roku. Zatem
zestawienie w ramach jednej z wersji zawiera skrypty które mogły być aktualne, a
następnie stały się nieaktualne za pewien czas, ze względu na zmianę wersji aktualnej.
Dokładne wytyczne dla Klientów mają zatem znaczenie w przypadku wystąpienia
braku aktualności skryptu w konkretnej dacie, ze wskazaniem używanej wersji skryptu i
wersji aktualnej, np.

System wykryje wersję nieaktualną i porówna go z aktualnie najnowszą, stabilną wersją:
Joomla v2.5.24 < v3.4.8
ale za jakiś czas może wykryć inny skrypt i porówna go z aktualnie najnowszą, stabilną
wersją obowiązującą w dacie wykrycia:
Joomla v2.5.22 < v3.6.4

Uwaga 3: Nasz system nie informuje Klientów wielokrotnie o nieaktualności skryptu w
przypadku, gdy zmieniła się aktualna wersja stabilna. Jeżeli Klient został raz
poinformowany, dopóki nie zmieni wersji swojego oprogramowania, nie zostanie
poinformowany ponownie. Dzięki takiemu rozwiązaniu, z jednej strony Klient nie jest
zalewany informacjami a z drugiej strony nasze zestawienie nie zawiera wielokrotnego
sprawdzania tych samych starszych wersji oprogramowania.

Uwaga 4: Zestawienie zawiera jedynie skrypty występujące co najmniej 3 razy w ciągu
roku.

Uwaga 5: W przypadku wersji oznaczeniem x zaznaczono wiele wersji, np. WordPress 4.x może oznaczać wersje np. v.4.4.4, v.4.4.5, v.4.5.2, v.4.5.3 itp.

Uwaga: 6: Oczywiście nie wszystkie wersje skryptów (a może nawet większość) uznane za nieaktualne mają podatności na ataki.

Nazwa i wersja oprogramowaniaLiczba wystąpień
CodeIgniter22
Drupal v.7.x4
Joomla Advanced Module Manager Ext v5.3.x27
Joomla Akeeba Ext v3.x230
Joomla AllVideos Ext v4.5.x89
Joomla Asynchronous Google Analytics Ext v2.x16
Joomla Community Builder Ext v1.x4
Joomla Google Maps Ext v3.x37
Joomla JEvents Ext v3.x17
Joomla JomSocial Ext v4.x3
Joomla K2 Ext v2.6.x100
Joomla Kunena Forum Ext v3.x29
Joomla Modules Anywhere Ext v2.x107
Joomla Phoca Gallery Ext v3.x128
Joomla Sourcerer Ext v3.x82
Joomla Tabs Ext v4.x25
Joomla v0.69
Joomla v1.5.x131
Joomla v2.5.x346
Joomla v3.x369
Joomla XCloner Ext v3.x4
Moodle v1.2.x5
Moodle v2.x51
Moodle v3.x61
phpBB v3.x39
phpMyAdmin v4.x11
Piwik v2.x6
PrestaShop v1.x44
Roundcube v0.9.x13
VirtueMart v1.x28
VirtueMart v2.x56
VirtueMart v3.x28
WordPress v2.x3
WordPress v3.x62
WordPress v4.x680
WP All In One SEO Ext82
WP Contact Form 7 Ext v3.x112
WP Google XML Sitemaps Ext v3.x9
WP Jetpack Ext v3.x25
WP SEO Ext v1.x7
WP UpdraftPlus Ext v1.x3
WP WooCommerce Ext v2.x6

7. Podsumowanie

Celem niniejszego raportu jest przedstawienie zagrożeń związanych ze stronami
internetowymi oraz sposobów ich przezwyciężania. W kwestiach bezpieczeństwa nic nie
zastąpi stałej i regularnej aktualizacji oprogramowania na serwerach. Istnieją jednak
technologie, w tym stosowane na hostingu Smarthost.pl, które mogą pomagać Klientom
w dbaniu o bezpieczeństwo ich systemów.

Niniejszy raport ma charakter badania całkowicie zanonimizowanego, bez wskazywania zarówno Klientów jak i konkretnych wersji oprogramowania.

pobierz raport w pdf

załóż konto hostingowe z ochroną anty-exploitową

Dodaj komentarz