Проверка URL'ов, есть ли смысл?

priv8v, у Олега просто бан по IP.

Таких техник защиты от антивирусов существует великое множество. Часть из них была перечислена мной и Олегом странице на 3-4 этого топика. Очень показательным является техника сайта, описанного здесь: [url]http://virusinfo.info/showpost.php?p=269642&postcount=163[/url]
1. В зависимости от "User-Agent", отдаются разные данные.
2. При нужном "User-Agent" (т.е. для IE) при каждом заходе отдается новый вариант вредоносного скрипта.

В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.

[QUOTE]В зависимости от "User-Agent", отдаются разные данные.
[/QUOTE]
немного поясню возможности этой опции в большинстве связок.
но для начала вообще поясню методику "пробива" браузера эксплоитами и поясню терминологию по вариантам:
1). браузер заходит на страницу и его пробует "пробить" какой-то один эксплоит - т.е сделано так, что любого кто зайдет на страницу будет пробовать пробивать один и тот же эксплоит (обычно это какой-то свежи с милворма или еще откуда-нибудь) - это самый тупой пример. такая тупость - редкость. т.к несмотря на тупость это сделать относительно сложно - это требует определенных знаний, как минимум немного пхп и яваскрипта.
2). на хосте лежит целая куча разных эксплоитов и при заходе браузером на определенную страницу браузер пытаются пробить сразу кучей эксплоитов одновременно/по очереди - это уже называется связкой эксплоитов - потому-что их несколько, связка эта неинтеллектуальная - т.к никаких зачатков интеллекта тут не наблюдается - просто втупую пробует все что умеет.
3). и наконец - десерт. интеллектуальная связка эксплоитов. опишу наиболее частые их функции - обладают/поддерживают: развитой статистикой, отдельными скриптами для отстука для определения сколько пробито браузеров, базой данных мскл, возможностью выдачи разных зловредных файлов в зависимости от страны (это к примеру), в зависимости от страны/браузера/версии браузера/ОС - пытаются "пробить" браузер разными эксплоитами.
Для того что бы эта вся прелесть заработала нужно зайти браузером на определенную страницу (чаще всего это index.php (хотя это совершенно не важно) - т.е на страницу для которой и "служит" весь могучий функционал).

Теперь немного о методике заражения сайтов:

1). Сайты могут взламываться "руками" - т.е злоумышленник заходит на сайт и начинает искать уязвимости (активные хсс, мскл-инъекции и т.д и т.п)
2). Могут взламываться эксплоитами - т.е кто-то более умный взломал какой-то движок "руками" и написал скрипт, который автоматизирует его работу - т.е делает тоже самое, что и он, но все сам - требуется его только запустить и указать адрес сайта с таким-же движком и версией
3). Взлом посредством трояна - троян тащит пароли на админку из браузера или (что еще хуже) от фтп.
4). Взлом хостинга
5). Брут фтп (подбор паролей по словарю или тупым перебором)
6). Брут доступа в админку
7). Основные способы уже рассмотрены и дальше изыскивать и вспоминать другие способы нерационально:)


А теперь самое главное:
[B]Что же делается при взломе сайта?[/B]
Есть несколько вариантов (приведу некоторые):
1). Ничего не делается - злоумышленник выключает компьютер и идет спать;)
2). Администратор сайта оповещается о уязвимости
3). Делается дефейс (какая-либо надпись на главной (чаще всего) странице сайта или ее полная замена, при этом считается хорошим тоном не удалять главную страницу полностью, а переименовать ее, что бы было понятно, что это она и оставить на месте (в корне сайта))
4). Происходит заражение сайта с целью заражения заходящих на этот сайт пользователей.

Нас интересует в данный момент только четвертый вариант, рассмотрим его:

На сайт внедряется ифрейм (он может быть зашифрован средствами яваскрипта, но он все равно остается ифреймом и выполняет свои функции) на index.php (допустим) связки эксплоитов - что за связка такая мы рассматривали выше. Т.е будет получаться, что пользователь зашедший на этот сайт одновременно еще зашел и на связку эксплоитов.
Ифрейм чаще всего невидим - он является точкой - заданы нулевые параметры.
Зашифрованный ифрейм может занимать более 200 символов - при этом его очень просто добавить в базу антивируса и "палить" сигнатурно.

При этом работа линк чекера должна сводится не только к проверке страницы на наличие уже знакомого зашифрованного ифрейма (или незашифрованного) но и должна быть эвристика:
обнаружение ифреймов, определение их вредоностности, анализ где именно ифреймы стоят, автоматическая расшифровка ифреймов (зашифрованных), проверка сайта который в ифрейме открывается (если несколько последовательно ифреймов - проверка всех вложенных и докапывание до связки), попытка найти по конечному сайту зловредные файлы по именам (они вшиты в связку и редко меняются), и т.д и т.п.

PS: я описал лишь наиболее распространенную методику взлома и заражения. На полный обзор не претендую - это лишь один пост на форуме в ветке обсуждения данной проблемы. (с) :-)
Ногами не пинать. Старался для людей.
:)

[QUOTE=DVi;269920]Я это отлично понимаю.
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: [url]http://info.drweb.com/show/3462/ru[/url][/QUOTE]

Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.

[QUOTE=Geser;269941]В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.[/QUOTE]
Именно так. О том и речь.

[B]priv8v[/B], отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел [URL="http://virusinfo.info/index.php?page=articles"]"Наши статьи"[/URL].

[QUOTE]priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел [URL="http://virusinfo.info/index.php?page=articles"]"Наши статьи"[/URL]. [/QUOTE]

DVi, спасибо:)
Еще немного доработаю тогда, исправлю "очепятки" и выложу.

[QUOTE=DVi;269835]Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное. [/QUOTE]
Я опять не по-русски? ;) Тогда еще раз: необходимо проверять на всю глубину вложенности (однако Вы утверждаете, что линк-чекер этого не делает), но если по дороге встретится детектируемый скрипт, то дальше (после него) проверять смысла нет. :) Так понятнее?

[QUOTE=DVi;269835]Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.[/QUOTE]
:P

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=santy;269985]Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.[/QUOTE]
Думаю, Виталий все прекрасно понимает. :) И когда линк-чекер сработает, и когда не. :)

[B]santy[/B], этот нюанс сводит на нет всю рекламу этого линк-чеккера.

[QUOTE=santy;269985]для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.[/QUOTE]
Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: [B]в случае обнаружения[/B] вируса сделать вывод о зараженности сайта. В [B]случае же необнаружения[/B] [U]нельзя делать никаких выводов[/U].


[QUOTE=borka;270558](однако Вы утверждаете, что линк-чекер этого не делает)[/QUOTE]
- Потому что он этого не делает.
- Он проверяет только первый URL.
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, который будет отдан сервером пользователю.

[QUOTE=DVi;270562]- Потому что он этого не делает.
- Он проверяет только первый URL. [/QUOTE]
Ну не спорю я с Вами, не спорю! :)

[QUOTE=DVi;270562]- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, что будет отдан сервером пользователю.[/QUOTE]
Про гарантии я уже сказал. ;)

Резюмируем.
1. Линк-чекер проверяет тот файл, который отдаст сервер.
2. Пользователь скачивает тот файл, который отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Если страница не содержит скриптов защиты от антивируса, то она будет проверена.
5. Одиноко лежащий вирус, ;) на который ссылается линк (например, в письме), будет найден при проверке.
6. Файл (архив), выложенный на странице без скриптов защиты от антивируса, будет проверен.

Все верно? :worried:

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=DVi;270562]Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: [B]в случае обнаружения[/B] вируса сделать вывод о зараженности сайта. В [B]случае же необнаружения[/B] [U]нельзя делать никаких выводов[/U].[/QUOTE]
А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба? :)

Верны первые три пункта.
4й, 5й и 6й пункты являются уточнением первого пункта. Следовательно, Ваше резюме выглядит так:

[B]1.[/B] Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
[B]2.[/B] Пользователь скачивает тот файл, который ему отдаст сервер.
[B]3.[/B] Эти два файла в общем случае могут быть разными.
[B]4.[/B] Эти два файла будут одинаковыми только если:
[B]4.1.[/B] На сервере нет защиты от антивируса.
[B]4.2.[/B] Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).

Дополнения:
[B]а.[/B] Линк-чеккер проверяет этот файл с до той глубины вложенности, до которой его запрограммировал разработчик. На сегодняшний момент (судя по описанию линк-чеккера на сайте) это всего один уровень для скриптов и два уровня - для фреймов.
[B]б.[/B] Линк-чеккер физически не может проверять даже статичные файлы, лежащие в области авторизации. Т.е. проверить вирус, пришедший к Вам личку на форуме, линк-чеккер не сможет - он в любом случае скажет "файл чист", т.к. будет проверять страницу авторизации :)


[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=borka;270574]А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба? :)[/QUOTE]
Тот же самый: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".

[QUOTE=DVi;270594][B]1.[/B] Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
[B]2.[/B] Пользователь скачивает тот файл, который ему отдаст сервер.
[B]3.[/B] Эти два файла в общем случае могут быть разными.
[B]4.[/B] Эти два файла будут одинаковыми только если:
[B]4.1.[/B] На сервере нет защиты от антивируса.
[B]4.2.[/B] Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей). [/QUOTE]
Принимается. :)

[QUOTE=DVi;270594]Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. [/QUOTE]
Проблема отнюдь не в пресс-релизе. ;) Проблема в сабже. Ваше утверждение о полной бесполезности сервиса неверно - Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает. :)

[QUOTE=DVi;270594]Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".[/QUOTE]
Меня? Убеждать? В чем - в том, что сервис работает? Так это я и сам знаю. :) Или в том, что он работает не всегда правильно? Так и с этим никто не спорил. :)

[QUOTE=borka;270610]Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает.[/QUOTE]
Просто, исходя из своего опыта, Вы считаете, что пункт [B]4[/B] доминирует над всеми остальными :)
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение [B]а[/B]"), что еще больше ограничивает область использования линк-чеккера.

[QUOTE=DVi;270623]Просто, исходя из своего опыта, Вы считаете, что пункт [B]4[/B] доминирует над всеми остальными :) [/QUOTE]
Вы предлагаете мне опираться на Ваш опыт? ;)

[QUOTE=DVi;270623]Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение [B]а[/B]"), что еще больше ограничивает область использования линк-чеккера.[/QUOTE]
Везет же мне! :)
Резюмируем: заявление о полной бесполезности сервиса несколько преувеличено. :)

Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.

про чувство ложно защищенности сказано отлично.
хочется от себя посоветовать тем, кто из-за секьюрных новостей на новостн. сайтах считает себя полностью защищенным:

что бы не было ложного чувства защищенности нужно читать (во всяком случае слепо доверять тому, что там пишут) не новостные сайты, а обсуждения этих продуктов знающими людьми (секьюрные форума, например этот).
на форуме скорее снизят достоинства продукта, чем завысят.
достаточно почитать форум ЛК - чего там только "лестного" не вычитаешь...

priv8v, а еще лучше изучать первоисточники.

[QUOTE]а еще лучше изучать первоисточники.
[/QUOTE]
офиц. сайты?..
начинать их изучать можно только имея за плечами хотя бы базовые знания.
иначе тоже можно быть введенным в заблуждение или просто ничего не понять.

[QUOTE=DVi;271057]Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.[/QUOTE]
:)
Я надеюсь, Вы не станете утверждать, что Вы меня убедили? ;)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=DVi;271073]priv8v, а еще лучше изучать первоисточники.[/QUOTE]
Марксизма-ленинизма? :P

[QUOTE=priv8v;271083]офиц. сайты?..[/QUOTE]
Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.

[QUOTE]Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.[/QUOTE]
Ааа... ну про такое я и не подумал - это как само собой разумеющееся:)