priv8v, у Олега просто бан по IP.
Таких техник защиты от антивирусов существует великое множество. Часть из них была перечислена мной и Олегом странице на 3-4 этого топика. Очень показательным является техника сайта, описанного здесь: http://virusinfo.info/showpost.php?p...&postcount=163
1. В зависимости от "User-Agent", отдаются разные данные.
2. При нужном "User-Agent" (т.е. для IE) при каждом заходе отдается новый вариант вредоносного скрипта.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В общем линк чекер может быть полезен в определенных ситуациях, но не соответствует тому что было написано в пресс релизе.
немного поясню возможности этой опции в большинстве связок.В зависимости от "User-Agent", отдаются разные данные.
но для начала вообще поясню методику "пробива" браузера эксплоитами и поясню терминологию по вариантам:
1). браузер заходит на страницу и его пробует "пробить" какой-то один эксплоит - т.е сделано так, что любого кто зайдет на страницу будет пробовать пробивать один и тот же эксплоит (обычно это какой-то свежи с милворма или еще откуда-нибудь) - это самый тупой пример. такая тупость - редкость. т.к несмотря на тупость это сделать относительно сложно - это требует определенных знаний, как минимум немного пхп и яваскрипта.
2). на хосте лежит целая куча разных эксплоитов и при заходе браузером на определенную страницу браузер пытаются пробить сразу кучей эксплоитов одновременно/по очереди - это уже называется связкой эксплоитов - потому-что их несколько, связка эта неинтеллектуальная - т.к никаких зачатков интеллекта тут не наблюдается - просто втупую пробует все что умеет.
3). и наконец - десерт. интеллектуальная связка эксплоитов. опишу наиболее частые их функции - обладают/поддерживают: развитой статистикой, отдельными скриптами для отстука для определения сколько пробито браузеров, базой данных мскл, возможностью выдачи разных зловредных файлов в зависимости от страны (это к примеру), в зависимости от страны/браузера/версии браузера/ОС - пытаются "пробить" браузер разными эксплоитами.
Для того что бы эта вся прелесть заработала нужно зайти браузером на определенную страницу (чаще всего это index.php (хотя это совершенно не важно) - т.е на страницу для которой и "служит" весь могучий функционал).
Теперь немного о методике заражения сайтов:
1). Сайты могут взламываться "руками" - т.е злоумышленник заходит на сайт и начинает искать уязвимости (активные хсс, мскл-инъекции и т.д и т.п)
2). Могут взламываться эксплоитами - т.е кто-то более умный взломал какой-то движок "руками" и написал скрипт, который автоматизирует его работу - т.е делает тоже самое, что и он, но все сам - требуется его только запустить и указать адрес сайта с таким-же движком и версией
3). Взлом посредством трояна - троян тащит пароли на админку из браузера или (что еще хуже) от фтп.
4). Взлом хостинга
5). Брут фтп (подбор паролей по словарю или тупым перебором)
6). Брут доступа в админку
7). Основные способы уже рассмотрены и дальше изыскивать и вспоминать другие способы нерационально
А теперь самое главное:
Что же делается при взломе сайта?
Есть несколько вариантов (приведу некоторые):
1). Ничего не делается - злоумышленник выключает компьютер и идет спать
2). Администратор сайта оповещается о уязвимости
3). Делается дефейс (какая-либо надпись на главной (чаще всего) странице сайта или ее полная замена, при этом считается хорошим тоном не удалять главную страницу полностью, а переименовать ее, что бы было понятно, что это она и оставить на месте (в корне сайта))
4). Происходит заражение сайта с целью заражения заходящих на этот сайт пользователей.
Нас интересует в данный момент только четвертый вариант, рассмотрим его:
На сайт внедряется ифрейм (он может быть зашифрован средствами яваскрипта, но он все равно остается ифреймом и выполняет свои функции) на index.php (допустим) связки эксплоитов - что за связка такая мы рассматривали выше. Т.е будет получаться, что пользователь зашедший на этот сайт одновременно еще зашел и на связку эксплоитов.
Ифрейм чаще всего невидим - он является точкой - заданы нулевые параметры.
Зашифрованный ифрейм может занимать более 200 символов - при этом его очень просто добавить в базу антивируса и "палить" сигнатурно.
При этом работа линк чекера должна сводится не только к проверке страницы на наличие уже знакомого зашифрованного ифрейма (или незашифрованного) но и должна быть эвристика:
обнаружение ифреймов, определение их вредоностности, анализ где именно ифреймы стоят, автоматическая расшифровка ифреймов (зашифрованных), проверка сайта который в ифрейме открывается (если несколько последовательно ифреймов - проверка всех вложенных и докапывание до связки), попытка найти по конечному сайту зловредные файлы по именам (они вшиты в связку и редко меняются), и т.д и т.п.
PS: я описал лишь наиболее распространенную методику взлома и заражения. На полный обзор не претендую - это лишь один пост на форуме в ветке обсуждения данной проблемы. (с) :-)
Ногами не пинать. Старался для людей.
Последний раз редактировалось priv8v; 19.08.2008 в 11:37.
Проверил линк-чеккером данную ссылку, принял решение что она безопасна и зашел. возможно, то, что Вы отметили и является единственным нюансом, но для тех, кто пользуется линк-чеккером этот нюанс отлично разрешается и различается.Сообщение от DVi
Именно так. О том и речь.
priv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел "Наши статьи".
DVi, спасибоpriv8v, отличная статья получилась. Можно выделить ее отдельным топиком и положить в раздел "Наши статьи".
Еще немного доработаю тогда, исправлю "очепятки" и выложу.
Я опять не по-русски?Тогда еще раз: необходимо проверять на всю глубину вложенности (однако Вы утверждаете, что линк-чекер этого не делает), но если по дороге встретится детектируемый скрипт, то дальше (после него) проверять смысла нет.
Добавлено через 4 минуты
Думаю, Виталий все прекрасно понимает.
Последний раз редактировалось borka; 19.08.2008 в 23:48. Причина: Добавлено
---
С уважением,
Borka.
santy, этот нюанс сводит на нет всю рекламу этого линк-чеккера.
Именно поэтому линк-чеккер может быть использован только внутри вирлаба и только по одному назначению: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.
- Потому что он этого не делает.
- Он проверяет только первый URL.
- И даже на первом URL'е он не гарантирует, что проверяет именно тот файл, который будет отдан сервером пользователю.
Последний раз редактировалось DVi; 20.08.2008 в 00:00.
Ну не спорю я с Вами, не спорю!
Про гарантии я уже сказал.
Резюмируем.
1. Линк-чекер проверяет тот файл, который отдаст сервер.
2. Пользователь скачивает тот файл, который отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Если страница не содержит скриптов защиты от антивируса, то она будет проверена.
5. Одиноко лежащий вирус,
6. Файл (архив), выложенный на странице без скриптов защиты от антивируса, будет проверен.
Все верно?
Добавлено через 4 минуты
А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?
Последний раз редактировалось borka; 20.08.2008 в 00:09. Причина: Добавлено
---
С уважением,
Borka.
Верны первые три пункта.
4й, 5й и 6й пункты являются уточнением первого пункта. Следовательно, Ваше резюме выглядит так:
1. Линк-чеккер проверяет тот файл, который ему отдаст сервер. Это может быть файл (в том числе архив либо веб-страница). Линк на этот файл может быть размещен где угодно (в том числе в письме).
2. Пользователь скачивает тот файл, который ему отдаст сервер.
3. Эти два файла в общем случае могут быть разными.
4. Эти два файла будут одинаковыми только если:
4.1. На сервере нет защиты от антивируса.
4.2. Находящийся на проверяемом адресе файл не обновляется постоянно (не является, например, баннером или новостной страницей).
Дополнения:
а. Линк-чеккер проверяет этот файл с до той глубины вложенности, до которой его запрограммировал разработчик. На сегодняшний момент (судя по описанию линк-чеккера на сайте) это всего один уровень для скриптов и два уровня - для фреймов.
б. Линк-чеккер физически не может проверять даже статичные файлы, лежащие в области авторизации. Т.е. проверить вирус, пришедший к Вам личку на форуме, линк-чеккер не сможет - он в любом случае скажет "файл чист", т.к. будет проверять страницу авторизации
Добавлено через 3 минуты
Тот же самый: в случае обнаружения вируса сделать вывод о зараженности сайта. В случае же необнаружения нельзя делать никаких выводов.А какой нужно сделать вывод в случае обнаружения вируса, но не внутри вирлаба?
Проблема в пресс-релизе, который утверждает обратное - и люди ему верят. Согласно этому пресс-релизу, линк-чеккером пользуется не менее 8 миллионов человек. Вирусными аналитиками, понимающими цену результата сканирования урла линк-чеккером, являются не более 100 человек. Остальные даже не подозревают о подвохе. Даже Вас мне пришлось убеждать 10 страниц. А Вы отнюдь не "простой пользователь".
Последний раз редактировалось DVi; 20.08.2008 в 00:54. Причина: Добавлено
Принимается.
Проблема отнюдь не в пресс-релизе.
Меня? Убеждать? В чем - в том, что сервис работает? Так это я и сам знаю.
---
С уважением,
Borka.
Просто, исходя из своего опыта, Вы считаете, что пункт 4 доминирует над всеми остальными
Я же точно знаю, что два файла оказываются одинаковыми лишь по счастливому совпадению. И на это счастливое совпадение еще накладываются ограничения реализации (дописанное мное в предыдущем посте "Дополнение а"), что еще больше ограничивает область использования линк-чеккера.
Вы предлагаете мне опираться на Ваш опыт?Просто, исходя из своего опыта, Вы считаете, что пункт 4 доминирует над всеми остальными
Везет же мне!
Резюмируем: заявление о полной бесполезности сервиса несколько преувеличено.
---
С уважением,
Borka.
Резюме неверное.
Для простого пользователя, поверившего рекламе ООО "Доктор Веб", этот сервис вреден, т.к. дает ему ложное чувство защищенности.
Для профессионала этот сервис является подспорьем в работе, и не более того.
про чувство ложно защищенности сказано отлично.
хочется от себя посоветовать тем, кто из-за секьюрных новостей на новостн. сайтах считает себя полностью защищенным:
что бы не было ложного чувства защищенности нужно читать (во всяком случае слепо доверять тому, что там пишут) не новостные сайты, а обсуждения этих продуктов знающими людьми (секьюрные форума, например этот).
на форуме скорее снизят достоинства продукта, чем завысят.
достаточно почитать форум ЛК - чего там только "лестного" не вычитаешь...
priv8v, а еще лучше изучать первоисточники.
офиц. сайты?..а еще лучше изучать первоисточники.
начинать их изучать можно только имея за плечами хотя бы базовые знания.
иначе тоже можно быть введенным в заблуждение или просто ничего не понять.
Я надеюсь, Вы не станете утверждать, что Вы меня убедили?
Добавлено через 2 минуты
Марксизма-ленинизма?
Последний раз редактировалось borka; 20.08.2008 в 16:41. Причина: Добавлено
---
С уважением,
Borka.
Нет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.
Ааа... ну про такое я и не подумал - это как само собой разумеющеесяНет. Я имел в виду именно получение базовых знаний о целях и методах проникновения злоумышленников на компьютер. Все остальное - вторично.
Ваши права в разделе
