-
priv8v, у Олега просто бан по IP.
Таких техник защиты от антивирусов существует великое множество. Часть из них была перечислена мной и Олегом странице на 3-4 этого топика. Очень показательным является техника сайта, описанного здесь: http://virusinfo.info/showpost.php?p...&postcount=163
1. В зависимости от "User-Agent", отдаются разные данные.
2. При нужном "User-Agent" (т.е. для IE) при каждом заходе отдается новый вариант вредоносного скрипта.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.
-
-
В зависимости от "User-Agent", отдаются разные данные.
немного поясню возможности этой опции в большинстве связок.
но для начала вообще поясню методику "пробива" браузера эксплоитами и поясню терминологию по вариантам:
1). браузер заходит на страницу и его пробует "пробить" какой-то один эксплоит - т.е сделано так, что любого кто зайдет на страницу будет пробовать пробивать один и тот же эксплоит (обычно это какой-то свежи с милворма или еще откуда-нибудь) - это самый тупой пример. такая тупость - редкость. т.к несмотря на тупость это сделать относительно сложно - это требует определенных знаний, как минимум немного пхп и яваскрипта.
2). на хосте лежит целая куча разных эксплоитов и при заходе браузером на определенную страницу браузер пытаются пробить сразу кучей эксплоитов одновременно/по очереди - это уже называется связкой эксплоитов - потому-что их несколько, связка эта неинтеллектуальная - т.к никаких зачатков интеллекта тут не наблюдается - просто втупую пробует все что умеет.
3). и наконец - десерт. интеллектуальная связка эксплоитов. опишу наиболее частые их функции - обладают/поддерживают: развитой статистикой, отдельными скриптами для отстука для определения сколько пробито браузеров, базой данных мскл, возможностью выдачи разных зловредных файлов в зависимости от страны (это к примеру), в зависимости от страны/браузера/версии браузера/ОС - пытаются "пробить" браузер разными эксплоитами.
Для того что бы эта вся прелесть заработала нужно зайти браузером на определенную страницу (чаще всего это index.php (хотя это совершенно не важно) - т.е на страницу для которой и "служит" весь могучий функционал).
Теперь немного о методике заражения сайтов:
1). Сайты могут взламываться "руками" - т.е злоумышленник заходит на сайт и начинает искать уязвимости (активные хсс, мскл-инъекции и т.д и т.п)
2). Могут взламываться эксплоитами - т.е кто-то более умный взломал какой-то движок "руками" и написал скрипт, который автоматизирует его работу - т.е делает тоже самое, что и он, но все сам - требуется его только запустить и указать адрес сайта с таким-же движком и версией
3). Взлом посредством трояна - троян тащит пароли на админку из браузера или (что еще хуже) от фтп.
4). Взлом хостинга
5). Брут фтп (подбор паролей по словарю или тупым перебором)
6). Брут доступа в админку
7). Основные способы уже рассмотрены и дальше изыскивать и вспоминать другие способы нерационально
А теперь самое главное:
Что же делается при взломе сайта?
Есть несколько вариантов (приведу некоторые):
1). Ничего не делается - злоумышленник выключает компьютер и идет спать
2). Администратор сайта оповещается о уязвимости
3). Делается дефейс (какая-либо надпись на главной (чаще всего) странице сайта или ее полная замена, при этом считается хорошим тоном не удалять главную страницу полностью, а переименовать ее, что бы было понятно, что это она и оставить на месте (в корне сайта))
4). Происходит заражение сайта с целью заражения заходящих на этот сайт пользователей.
Нас интересует в данный момент только четвертый вариант, рассмотрим его:
На сайт внедряется ифрейм (он может быть зашифрован средствами яваскрипта, но он все равно остается ифреймом и выполняет свои функции) на index.php (допустим) связки эксплоитов - что за связка такая мы рассматривали выше. Т.е будет получаться, что пользователь зашедший на этот сайт одновременно еще зашел и на связку эксплоитов.
Ифрейм чаще всего невидим - он является точкой - заданы нулевые параметры.
Зашифрованный ифрейм может занимать более 200 символов - при этом его очень просто добавить в базу антивируса и "палить" сигнатурно.
При этом работа линк чекера должна сводится не только к проверке страницы на наличие уже знакомого зашифрованного ифрейма (или незашифрованного) но и должна быть эвристика:
обнаружение ифреймов, определение их вредоностности, анализ где именно ифреймы стоят, автоматическая расшифровка ифреймов (зашифрованных), проверка сайта который в ифрейме открывается (если несколько последовательно ифреймов - проверка всех вложенных и докапывание до связки), попытка найти по конечному сайту зловредные файлы по именам (они вшиты в связку и редко меняются), и т.д и т.п.
PS: я описал лишь наиболее распространенную методику взлома и заражения. На полный обзор не претендую - это лишь один пост на форуме в ветке обсуждения данной проблемы. (с) :-)
Ногами не пинать. Старался для людей.
Последний раз редактировалось priv8v; 19.08.2008 в 11:37.
-

Сообщение от
DVi
Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.
-
-

Сообщение от
Geser
В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.
Именно так. О том и речь.
priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел "Наши статьи".
-
-
priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел
"Наши статьи".
DVi, спасибо
Еще немного доработаю тогда, исправлю "очепятки" и выложу.
-

Сообщение от
DVi
Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.
Я опять не по-русски?
Тогда еще раз: необходимо проверять на всю глубину вложенности (однако Вы утверждаете, что линк-чекер этого не делает), но если по дороге встретится детектируемый скрипт, то дальше (после него) проверять смысла нет.
Так понятнее?

Сообщение от
DVi
Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.

Добавлено через 4 минуты

Сообщение от
santy
Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.
Думаю, Виталий все прекрасно понимает.
И когда линк-чекер сработает, и когда не.
Последний раз редактировалось borka; 19.08.2008 в 23:48.
Причина: Добавлено
---
С уважением,
Borka.
-
santy, этот нюанс сводит на нет всю рекламу этого линк-чеккера.

Сообщение от
santy
для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.
Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.

Сообщение от
borka
(однако Вы утверждаете, что линк-чекер этого не делает)
- Потому что он этого не делает.
- Он проверяет только первый URL.
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, который будет отдан сервером пользователю.
Последний раз редактировалось DVi; 20.08.2008 в 00:00.
-
-

Сообщение от
DVi
- Потому что он этого не делает.
- Он проверяет только первый URL.
Ну не спорю я с Вами, не спорю! 

Сообщение от
DVi
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, что будет отдан сервером пользователю.
Про гарантии я уже сказал.
Резюмируем.
1. Линк-чекер проверяет тот файл, который отдаст сервер.
2. Пользователь скачивает тот файл, который отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Если страница не содержит скриптов защиты от антивируса, то она будет проверена.
5. Одиноко лежащий вирус,
на который ссылается линк (например, в письме), будет найден при проверке.
6. Файл (архив), выложенный на странице без скриптов защиты от антивируса, будет проверен.
Все верно? 
Добавлено через 4 минуты

Сообщение от
DVi
Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?
Последний раз редактировалось borka; 20.08.2008 в 00:09.
Причина: Добавлено
---
С уважением,
Borka.
-
Верны первые три пункта.
4й, 5й и 6й пункты являются уточнением первого пункта. Следовательно, Ваше резюме выглядит так:
1. Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
2. Пользователь скачивает тот файл, который ему отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Эти два файла будут одинаковыми только если:
4.1. На сервере нет защиты от антивируса.
4.2. Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).
Дополнения:
а. Линк-чеккер проверяет этот файл с до той глубины вложенности, до которой его запрограммировал разработчик. На сегодняшний момент (судя по описанию линк-чеккера на сайте) это всего один уровень для скриптов и два уровня - для фреймов.
б. Линк-чеккер физически не может проверять даже статичные файлы, лежащие в области авторизации. Т.е. проверить вирус, пришедший к Вам личку на форуме, линк-чеккер не сможет - он в любом случае скажет "файл чист", т.к. будет проверять страницу авторизации 
Добавлено через 3 минуты

Сообщение от
borka
А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?

Тот же самый: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".
Последний раз редактировалось DVi; 20.08.2008 в 00:54.
Причина: Добавлено
-
-

Сообщение от
DVi
1. Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
2. Пользователь скачивает тот файл, который ему отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Эти два файла будут одинаковыми только если:
4.1. На сервере нет защиты от антивируса.
4.2. Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).
Принимается. 

Сообщение от
DVi
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек.
Проблема отнюдь не в пресс-релизе.
Проблема в сабже. Ваше утверждение о полной бесполезности сервиса неверно - Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает. 

Сообщение от
DVi
Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".
Меня? Убеждать? В чем - в том, что сервис работает? Так это я и сам знаю.
Или в том, что он работает не всегда правильно? Так и с этим никто не спорил.
-

Сообщение от
borka
Вы сами только что подтвердили, что в определенных случаях (на мой взгляд - в большинстве) сервис работает.
Просто, исходя из своего опыта, Вы считаете, что пункт 4 доминирует над всеми остальными 
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение а"), что еще больше ограничивает область использования линк-чеккера.
-
-

Сообщение от
DVi
Просто, исходя из своего опыта, Вы считаете, что пункт
4 доминирует над всеми остальными

Вы предлагаете мне опираться на Ваш опыт? 

Сообщение от
DVi
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение а"), что еще больше ограничивает область использования линк-чеккера.
Везет же мне! 
Резюмируем: заявление о полной бесполезности сервиса несколько преувеличено.
-
Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.
-
-
про чувство ложно защищенности сказано отлично.
хочется от себя посоветовать тем, кто из-за секьюрных новостей на новостн. сайтах считает себя полностью защищенным:
что бы не было ложного чувства защищенности нужно читать (во всяком случае слепо доверять тому, что там пишут) не новостные сайты, а обсуждения этих продуктов знающими людьми (секьюрные форума, например этот).
на форуме скорее снизят достоинства продукта, чем завысят.
достаточно почитать форум ЛК - чего там только "лестного" не вычитаешь...
-
priv8v, а еще лучше изучать первоисточники.
-
-
а еще лучше изучать первоисточники.
офиц. сайты?..
начинать их изучать можно только имея за плечами хотя бы базовые знания.
иначе тоже можно быть введенным в заблуждение или просто ничего не понять.
-

Сообщение от
DVi
Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.
Я надеюсь, Вы не станете утверждать, что Вы меня убедили? 
Добавлено через 2 минуты

Сообщение от
DVi
priv8v, а еще лучше изучать первоисточники.
Марксизма-ленинизма?
Последний раз редактировалось borka; 20.08.2008 в 16:41.
Причина: Добавлено
---
С уважением,
Borka.
-

Сообщение от
priv8v
офиц. сайты?..
Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.
-
-
Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.
Ааа... ну про такое я и не подумал - это как само собой разумеющееся