Сегодня я нашел уязвимость в WordPress. Хакеры могут использовать его, чтобы получить исходный IP-адрес вашего сервера, чтобы они могли запустить DDOS-атаку.

Вот как они могут это получить и как вы можете остановить это.

Как получить исходный IP-адрес сервера через регистрацию пользователя

Шаг 1. Зарегистрируйте учетную запись на своем сайте WordPress.

Перейдите к одному из следующих URL-адресов, чтобы зарегистрировать аккаунт

yourdomain.com/wp-admin



yourdomain.com/wp-login.php



yourdomain.com/wp-login.php?action=register

Введите имя пользователя и адрес электронной почты.

Как администратор вашего сайта WordPress, вы получите уведомление по электронной почте о том, что новый пользователь регистрирует учетную запись на вашем сайте.

В то же время ваш сайт отправит электронному письму новому пользователю (потенциальному атакующему), чтобы установить пароль.

Шаг 2. Откройте исходное сообщение электронной почты

Вместо того, чтобы устанавливать пароль, хакер открывает исходное сообщение электронной почты.

В Gmail откройте письмо, отправленное WordPress, и в правом верхнем углу нажмите стрелку раскрывающегося списка и выберите показать оригинал.

В Mozilla Thunderbird откройте письмо, отправленное WordPress.

В правом верхнем углу нажмите кнопку «More» и выберите «View Source» в раскрывающемся меню.

Вот как выглядят первые несколько строк исходного сообщения:

Return-Path: <admin@yourdomain.com>   

Received:from yourdomain.com([12.34.56.78])<< Это оригинальный IP-адрес вашего сервера!

        by smtp.gmail.com with ESMTPSA id 388343daereqrefa.19.2016.01.05.21.32.31

        for <the-hacker@gmail.com>

        (version=TLS1 cipher=AES128-SHA bits=128/128);

        Tue, 05 Jan 2016 21:32:33 -0800 (PST)

В строке Received: from хакер может увидеть исходный IP-адрес вашего сервера!

Даже если ваш сервер использует внешний SMTP-сервер для отправки электронной почты, исходный IP-адрес сервера все еще можно увидеть в исходном сообщении электронной почты.

X-Received: by 10.66.155.8 with SMTP id qrer3439005dfd.18.1452058439952;

        Tue, 05 Jan 2016 21:33:59 -0800 (PST)

Return-Path: <smtp@external.com>

Received:from yourdomain.com ([12.34.56.78]) << Это оригинальный IP-адрес вашего сервера!

        by smtp.external.com with ESMTPSA id rewre134373dfa.35.2016.01.05.21.33.57

        for <the-hacker@gmail.com>

        (version=TLS1 cipher=AES128-SHA bits=128/128);

        Tue, 05 Jan 2016 21:33:59 -0800 (PST)

Почему это плохо для вас?

Если вы используете службу CDN ( а вы должны), исходный IP-адрес вашего сервера защищен CDN.

Когда люди ищут IP-адрес вашего сервера в DNS, они получат IP-адрес, указывающий на узел CDN.

Если хакер запускает DDOS-атаку на ваш домен, этот плохой DDOS-трафик будет поступать на узлы CDN, развернутые по всему миру вашим поставщиком CDN.

Ваш исходный сервер не получит эти вредоносные DDOS-запросы.

Но если хакер обнаружил исходный IP-адрес вашего сервера по электронной почте, он может запустить DDOS-атаку непосредственно на ваш исходный IP-адрес.

За короткий промежуток времени ваша загрузка сервера увеличивается, и ваша пропускная способность заканчивается.

Легальные посетители получат сообщение об отказе в обслуживании в своем браузере.

Как остановить это

Вы можете остановить его, отключив регистрацию пользователя на своем сайте WordPress.

На панели инструментов WordPress откройте «Настройки»> «Общие».

Снимите отметку в графе Членство – 

Ссылка регистрации на вашем сайте исчезнет.

Таким образом, посетители не могут зарегистрироваться на вашем сайте, и ваш сайт не будет отправлять какие-либо письма хакерам.

Суть

Ваш веб-сервер должен отправлять электронную почту только себе или администратору.

Вы должны настроить свой почтовый сервер на другом сервере.

Grafana – это потрясающий инструмент, который позволяет визуализировать ваши журналы.

Компании во всем мире используют этот удивительный проект, чтобы лучше понять визуализированные логи.

Есть только одна вещь, которая, кажется, забывается, когда дело доходит до таких удивительных проектов, как проект Grafana.

Вы всегда должны проверять, была ли ваша среда защищена, что означает, невозможность того, что кто-то может достичь этой среды и что-то там сделать.

Потому что после небольшого запроса Google Dork я заметил, что вы можете найти десятки публичных проектов Grafana, которые хранят и визуализируют различные файлы журналов.

Google Dork:

intext:Docs Support Plans Community Grafana New version available! -grafana.com -grafana.org inurl:/login

см. также

• Как установить инструмент мониторинга Grafana на Ubuntu 18.04 LTS
• Как установить Prometheus на Ubuntu 18.04
• dorkbot — Инструмент командной строки для Google доркинга
• DorkMe — поисковик Google дорков
• Прекратите использовать Trello в качестве менеджера паролей (как получить пароль пользователей с помощью Google Dorks
• SQLiv – SQL Injection Dork Scanning Tool
• Коллекция Google список дорков для SQL инъекции- SQL дорки 2018
• Snitch — сбор информации через дорки

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

В основном обновление ядра Linux потребует перезагрузки системы.

Новое ядро не вступает в силу до перезагрузки системы.

В среднем ядро Linux получает обновления безопасности и исправления ошибок примерно раз в месяц.

Для критической системы мы не можем планировать время простоя один раз в месяц, потому что у нее много зависимостей, и мы не получим одобрение руководства.

Как преодолеть это? Да, у нас есть опция в Oracle Premier Support.

Она называется Ksplice.

Что такое Ksplice

Oracle Ksplice позволяет поддерживать безопасность и доступность ваших систем, позволяя вам обновлять свои системы с помощью последних исправлений безопасности ядра и других критических обновлений.

Он обновляет текущее изображение ядра без необходимости перезагрузки.

Он обновляет текущее ядро в памяти.

Обновление Ksplice вступает в силу сразу же после его применения.

Это не изменение на диске, которое вступает в силу только после последующей перезагрузки.

Убедитесь, что ваша система должна быть зарегистрирована в Unbreakable Linux Network (ULN), чтобы использовать Ksplice.

Вы можете использовать Oracle Ksplice, если у вас есть учетная запись поддержки Oracle Linux Premier.

Обратитесь к следующему URL-адресу для регистрации системы с помощью Unbreakable Linux Network (ULN).

После того, как вы прошли регистрацию в Unbreakable Linux Network (ULN), подпишите свои системы на канал Ksplice для Oracle Linux и установите на них программное обеспечение Ksplice Uptrack

Как зарегистрировать систему для использования Oracle Ksplice в ULN

Если у вас уже есть учетная запись в ULN, вы можете зарегистрировать свою систему для использования Ksplice Uptrack.

Залогиньтесь в ULN @ http://linux.oracle.com.

Нажмите кнопку регистрации Ksplice Uptrack Registration на домашней странице ULN и выберите идентификаторы поддержки клиентов (CSI), которые вы хотите использовать, и нажмите «Register».

На экране отображается подтверждение, что была создана учетная запись Ksplice, и письмо электронной почты, содержащее ключ доступа Ksplice.

То же самое было проверено через портал ULN.

Используйте учетную запись Oracle SSO для входа в веб-интерфейс Ksplice по адресу https://status-ksplice.oracle.com/ и регистрации систем.

На данный момент система не зарегистрирована. То же самое было проверено на следующем скриншоте.

Как установить Ksplice Uptrack

Просто запустите следующие команды для установки Ksplice Uptrack.

Убедитесь, что вы запускаете следующие команды как root.

Он предлагает скрипт установки, поэтому запустите следующие команды как root и замените YOUR_ACCESS_KEY своим ключом доступа.

Если вы хотите включить автоматическое обновление, установите autoinstall = yes в файле /etc/uptrack/uptrack.conf после установки.

# wget -N https://www.ksplice.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY

В качестве альтернативы мы можем добавить параметр –autoinstall в команду install-uptrack.

# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

По умолчанию Ksplice Uptrack будет переустанавливать перезагружаемые обновления во время процесса загрузки, чтобы вы оставались в безопасности даже после перезагрузки.

Вы можете настроить это поведение, изменив параметр install_on_reboot в /etc/uptrack/uptrack.conf.

# vi /etc/uptrack/uptrack.conf

install_on_reboot = [no or yes]

Да, теперь я могу видеть список зарегистрированных систем.

Просмотр доступных обновлений и установленных обновлений.

Используйте приведенную ниже страницу, чтобы разрешить или запретить системе использовать ksplice uptrack.

Чтобы перечислить доступные обновления Ksplice, используйте следующие команды uptrack-upgrade.

# uptrack-upgrade -n

или

# uptrack-show --available

Available updates:

[fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

[9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы установить все доступные обновления Ksplice:

# uptrack-upgrade -y

The following steps will be taken:

Install [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Install [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Install [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Install [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Install [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Installing [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Installing [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Installing [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Installing [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Installing [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Your kernel is fully up to date.

Effective kernel version is 3.8.13-118.20.3.el6uek

Просмотр установленных обновлений.

# uptrack-show

Installed updates:

[guclwyc2] CVE-2012-0957: Information leak in uname syscall.

[j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

[r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

После запуска команды uptrack-upgrade мы можем видеть, как эффективное ядро запускает компьютер.

Ksplice Uptrack не изменяет вывод uname. Запустите uptrack-uname, чтобы увидеть обновленное запущенное ядро на машине.

# uname -r

3.8.13-68.2.2.el6uek



# uptrack-uname -r

3.8.13-118.20.3.el6uek

Чтобы удалить все обновления из ядра.

# uptrack-remove -y

или

# uptrack-remove --all

The following steps will be taken:

Remove [guclwyc2] CVE-2012-0957: Information leak in uname syscall.

Remove [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.

Remove [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

Remove [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.

Remove [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы удалить Uptrack.

# yum -y remove uptrack

Cold Boot – еще один метод, используемый для кражи данных.

Единственная особенность его в том, что злоумышленники при ее реализации имеют прямой доступ к вашему компьютерному оборудованию или всему компьютеру.

В этой статье рассказывается о том, что такое атака типа Cold Boot и как оставаться в безопасности от таких методов атаки.

Что такое атака “холодная загрузка”

В случае атаки с cold boot или атаки reset platform злоумышленник, у которого есть физический доступ к вашему компьютеру, выполняет холодную перезагрузку, чтобы перезагрузить машину, чтобы получить ключи шифрования из операционной системы Windows.

Они учили нас в школах, что оперативная память (Random Access Memory) является энергозависимой и не может хранить данные, если компьютер выключен.

То, что они должны были сказать нам на самом деле: оперативка не может долго хранить данные, если компьютер выключен.

Это означает, что оперативная память по-прежнему хранит данные от нескольких секунд до нескольких минут, прежде чем она исчезнет из-за отсутствия электропитания.

В течение очень малого периода каждый, у кого есть подходящие инструменты, может считывать ОЗУ и копировать его содержимое в безопасное постоянное хранилище с использованием другой облегченной операционной системы на USB-накопителе или SD-карте.

Такая атака называется атакой холодного бута.

Представьте себе, что компьютер несколько минут лежит без присмотра в какой-либо организации.

Любой хакер просто должен установить свои инструменты на месте и выключить компьютер.

Когда ОЗУ охлаждается (данные медленно исчезают), хакер подключает загрузочный USB-накопитель и загружается через него.

Он или она может копировать содержимое во что-то похожее на тот же USB-накопитель.

Поскольку характер отключает компьютер, а затем с помощью выключателя питания стартует его для перезапуска, атака называется холодной загрузкой.

Возможно, вы знали о холодных и теплых загрузках в ранние компьютерные годы.

Холодная загрузка – это то действие, когда вы запускаете компьютер с помощью выключателя питания.

Горячая загрузка – это когда вы используете возможность перезапуска компьютера с помощью параметра перезапуска в меню выключения.

Замораживание ОЗУ

Это еще один трюк в рукаве хакера.

Они могут просто распылять какое-либо вещество (например, жидкий азот) на модули ОЗУ, чтобы они медленно замораживались.

Чем ниже температура, тем дольше ОЗУ может хранить информацию.

Используя этот трюк, они (хакеры) могут успешно завершить атаку холодной загрузки и скопировать максимальное количество данных.

Чтобы ускорить процесс, они используют файлы автозапуска в облегченной операционной системе на USB-флешках или SD-картах, которые загружаются вскоре после закрытия взломанного компьютера.

Этапы холодной атаки

Не обязательно, чтобы каждый использовал общий стиль атаки, подобные тем, которые приведены ниже.

Однако большинство из общих шагов перечислены ниже.

• Измените информацию в BIOS, чтобы сначала загрузиться с USB-устройства.
• Вставьте загрузочный USB-диск в соответствующий компьютер
• Выключите компьютер принудительно, чтобы процессор не успел отключить любые ключи шифрования или другие важные данные; знайте, что правильное выключение может также помочь, но может быть не таким успешным, как принудительное закрытие, нажав клавишу включения.
• Как можно скорее, используйте выключатель питания для холодной загрузки
• Поскольку настройки BIOS были изменены,  ОС загружается с USB-накопителя
• Даже когда эта ОС загружается, она автоматически запускают процессы для извлечения данных, хранящихся в ОЗУ.
• Выключите компьютер снова после проверки места назначения (где хранятся похищенные данные), удалите USB-накопитель USB

Какая информация находится под угрозой при этой атаке

Наиболее распространенной информацией / данными, подверженными риску, являются ключи шифрования и пароли.

Обычно целью атаки с холодной загрузкой является незаконное извлечение ключей шифрования диска без разрешения владельца.

Последние события, которые происходят при правильном выключении  – это демонтирование дисков и использование ключей шифрования для их шифрования, поэтому возможно, что если компьютер отключится внезапно, данные могут быть доступны для злоумышленника.

Защитите себя от атаки холодной загрузки

На организационном уровне вы можете убедиться, что находитесь рядом со своим компьютером, по крайней мере, 5 минут после его выключения.

Плюс одна из следующих мер предосторожности заключается в том, чтобы правильно выключать машину, используя меню выключения, вместо того, чтобы выдергивать шнур или использовать кнопку питания, чтобы выключить компьютер.

Вы не можете многое сделать, потому что это не проблема программного обеспечения. Это больше связано с оборудованием. Поэтому производители оборудования должны взять на себя инициативу по удалению всех данных из ОЗУ как можно скорее после выключения компьютера, чтобы избежать и защитить вас от атаки с холодным боем.

Некоторые компьютеры теперь перезаписывают ОЗУ до полного закрытия. Тем не менее, возможность принудительного отключения всегда есть.

Техника, используемая BitLocker, заключается в использовании ПИН-кода для доступа к ОЗУ.

Даже если компьютер был в спящем режиме (состояние выключения компьютера), когда пользователь пытается получить доступ к чему-либо, сначала он или она должны ввести ПИН-код для доступа к ОЗУ.

Этот метод также не является безумно секьюрным, поскольку хакеры могут получить ПИН с помощью одного из методов фишинга или социальной инженерии.

Заключение

Приведенная выше статья объясняет, что такое атака холодной загрузки и как она работает.

Существуют некоторые ограничения, из-за которых 100% -ная безопасность не может быть гарантирована от такой атаки.

Но, насколько я знаю,  компании работают над тем, чтобы найти лучшее решение, чем просто переписывать ОЗУ или использовать ПИН для защиты содержимого ОЗУ.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.