Русское сообщество по скриптингу

Продвинутый бекдоринг и защита от него

Все, что касается защиты серверов от различного рода атак, эксплойтов, бэкдуров и т.д.
Правила форума
1. Запрещено материться и оскорблять других участников форума.
2. Запрещен флуд, оффтоп, дабл постинг во всех разделах форума, кроме раздела "Болтовня".
3. Запрещено взламывать сайт/форум или наносить любой вред проекту.
4. Запрещено рекламировать другие ресурсы.
5. Запрещено создавать темы без информативного названия. Название темы должно отображать ее смысл.

Продвинутый бекдоринг и защита от него

Сообщение crash94 » 18 июл 2013, 22:31

Привет формучане.

Ни для кого не секрет, что в билдах cs до сих пор находят уязвимости. Так же некоторые пытаются сделать бекдор на уровне pawn. Он может как очень простым, так и очень сложным, который будет трудно обнаружить.

Сегодня, я вам расскажу как защититься от 1 вида злостного бекдора, который может заразить все ваши плагины и вы никогда не узнаете, что вас сервер используют злоумышленники.

Ну чтож - приступим.

Думаю многие видели иклуд http - интересный такой инклуд, который позволяет скачивать любые файлы на сервер. Сразу думаю напрашивается мысль - а почему не заменить стандартные плагины на свои, в которых будут свои функции - к примеру получение rcon, админки. И даже игрок уберет плагин, который был поставлен хотя бы 1 раз, то от бекдора будет избавиться трудно, но можно. Нужно быть просто внимательным и смотреть, когда в последний раз изменялась папка/файл.

Давайте разберем сам плагин бекдора
ВНИМАНИЕ: Никакой ответственности за выложенный код не несу.

Не, пожалуй таким вещам детишек учить не нужно // Rejiser


Как видите ничего специфического здесь нет. Это самый простой пример использование данной уязвимости. Всё предельно просто - после установки на сайт плагин начинает качать плагин с другого сайта, в который уже предварительно вшит вредоносный код.

Даже если вы уберете данный плагин, то бекдор останется там.

Для тестирование был взят плагин admincmd, потому что он есть у всех. в него была добавлена команда my_backdoor_test для вывода сообщение в чат о том, что бекдор активен и находится в плагине admincmd.amxx . Возможности данного плагина безграничны.

Но скажу вам одно - данный плагин можно использовать не только как бекдор. Это так же отличный способ создание что-то наподобии системы мгновенной установки плагинов, карт, зарузка моделей, звуков

Защита:
1. Для защиты нас понадобиться модуль, который должен стоять у всех без исключений. Его название Вы должны зарегистрироваться, чтобы видеть ссылки. . Данный плагин позволит вам заблокировать доступ ко всем внешним адресам, кроме тех, что вы разрешите. Скажем так - файрволл.

Данный модуль вам не только поможет от данного бекдора, но и отправки информации на сайт в базу через GET запросы.

2. Не ставить плагины без исходников и обязательно перекомпилировать при их наличии

[align=center]При копировании материала указания автора и активная ссылка на сайт
ОБЯЗАТЕЛЬНА
Автор статьи, а так же администрация проект amx-x.ru не несет никакой ответственности за выложенный флагмент кода. Код выложен в ознакомительных целях вместе с защитой[/align]
Аватара пользователя
crash94
 
Сообщения: 683
Зарегистрирован: 25 фев 2010, 16:34
Забанен
Благодарил (а): 80 раз.
Поблагодарили: 317 раз.

Re: Продвинутый бекдоринг и защита от него

Сообщение trololost » 20 июл 2013, 17:26

Хотелось бы добавить, что когда создавался такой бэкдор, то одновременно с этим использовался еще один баг, с помощью которого плагин влезал во все сервера данной машины и заражал их.
Таким образом с 1го зараженного этим бакдуром сервера имелось до 36 серверов.
[Не принимаю заказы]
Аватара пользователя
trololost
 
Сообщения: 923
Зарегистрирован: 05 ноя 2011, 02:25
Благодарил (а): 104 раз.
Поблагодарили: 358 раз.

Re: Продвинутый бекдоринг и защита от него

Сообщение Leo_[BH] » 04 ноя 2014, 01:46

crash94 писал(а):Думаю многие видели иклуд http - интересный такой инклуд, который позволяет скачивать любые файлы на сервер.

Где можно взять такое?
Сохраняйте историю
Аватара пользователя
Leo_[BH]
 
Сообщения: 98
Зарегистрирован: 06 апр 2014, 17:51
Откуда: UA
Благодарил (а): 9 раз.
Поблагодарили: 30 раз.
Опыт программирования: Больше трех лет

Re: Продвинутый бекдоринг и защита от него

Сообщение Asmodai » 04 ноя 2014, 02:05

Leo_[BH] писал(а):
crash94 писал(а):Думаю многие видели иклуд http - интересный такой инклуд, который позволяет скачивать любые файлы на сервер.

Где можно взять такое?

Ты же на заказ пишешь "практически любой сложности, кроме чрезвычайной". А тут ничего чрезвычайного нет, простейший запрос и прием в цикле.
Аватара пользователя
Asmodai
Адмирал
 
Сообщения: 466
Зарегистрирован: 24 фев 2011, 20:48
Благодарил (а): 0 раз.
Поблагодарили: 393 раз.
Языки программирования: Counter-Strike 1.6

Re: Продвинутый бекдоринг и защита от него

Сообщение Dipsi » 06 ноя 2014, 21:37

[pawn]
  1. //
[/pawn]
Последний раз редактировалось Dipsi 08 ноя 2014, 20:43, всего редактировалось 1 раз.
Аватара пользователя
Dipsi
 
Сообщения: 13
Зарегистрирован: 06 ноя 2014, 21:30
Благодарил (а): 0 раз.
Поблагодарили: 5 раз.

Re: Продвинутый бекдоринг и защита от него

Сообщение RevCrew » 07 ноя 2014, 18:36

Leo_[BH] писал(а):
crash94 писал(а):Думаю многие видели иклуд http - интересный такой инклуд, который позволяет скачивать любые файлы на сервер.

Где можно взять такое?

я тоже помню себе установил, все файлы которые он скачивал были повреждены :-D
Аватара пользователя
RevCrew
Скриптер
 
Сообщения: 1648
Зарегистрирован: 15 июл 2013, 20:45
Благодарил (а): 273 раз.
Поблагодарили: 357 раз.
Языки программирования: Unkown

Re: Продвинутый бекдоринг и защита от него

Сообщение ChesterField* » 23 дек 2014, 21:41

crash94 писал(а): за выложенный флагмент кода

:shout: Ошибка! :shout:
Аватара пользователя
ChesterField*
 
Сообщения: 1
Зарегистрирован: 11 сен 2014, 07:47
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
Опыт программирования: Около 3 месяцев
Языки программирования: Counter-Strike 1.6


Вернуться в Безопасность и защита серверов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3