Téma: Google: eszköz meghackelt weboldalak felderítésére

Egy másik témában felvetődött a kérdés, miképp állapíthatjuk meg egy tetszőleges weboldalról, hogy az kártékony kódot vagy kártékony weboldalra történő átirányítást tartalmaz-e. Ha egy konkrét oldalt vizsgálunk, nincs szükségünk keresőre, ha viszont arra vagyunk kíváncsiak, hogy mely oldalak hordoznak nem kívánt kódot, a megfelelő kulcsszavak használata segítségünkre lehet. Terveim szerint ez a téma nemcsak a kereséssel foglalkozik, egyelőre jobb ötlet híján a Google témakörbe soroltam.

---

Hasonló témák:

• Helyezés naplózó eszköz
• Google: weboldalak nélkül...
• Google kulcsszóválasztó eszköz!
• BLOG, mint SEO eszköz
• Google-ben a weboldalak "tárolt változata"

Bumika eredeti hozzászólása

Egy másik témában felvetődött a kérdés, miképp állapíthatjuk meg egy tetszőleges weboldalról, hogy az kártékony kódot vagy kártékony weboldalra törté.

Baba kezdeményezés!
Csupa fül és szem vagyok

éniséniiiiiiis!
kihegyeztem a szenzoraimat!!!

Ez engem is érdekelne! Már volt részem egy pár kellemetlen meglepetésben

elfelejtetted a jelszavad? (esetleg a felhasználó neved? ) .. vagy milyen kellemetlen meglepetésben?

Látom, nagy az érdeklődés, ezért nem húzom tovább az időt.

Először mindenképp arról érdemes beszélni, mit is jelent, ha a Google azt írja egy link alá: "Az oldal káros lehet a számítógéped számára" (This site may harm your computer). Úgy tűnik, a Google-nél biztonsággal foglalkozó emberek is dolgoznak. Munkájuk egyik eredménye egy figyelemre méltó publikáció, amely letölthető a hxxp://usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf címről.

A Google team készített egy elemző szoftvert, amelynek elsődleges feladata az indexelt oldalak tartalmának vizsgálata kártékony kódok kiszűrése céljából. A fenti dokumentum erről a projektről szól.

Első oldalán olvasható a következő részlet: "Web sites that have been identified as malicious, using our verification procedure, are labeled as potentially harmful when returned as a search result. Marking pages with a label allows users to avoid exposure to such sites and results in fewer users being infected." A link alatti üzenet megjelenése tehát ennek az elemző vizsgálatnak a produktuma.

Ezzel a módszerrel megbélyegződnek azok az oldalak is, amelyek kódja a tulajdonos akaratától eltérően módosul, a felirat eltüntetéséhez pedig cselekedni kell. A következőképp kell eljárnia a weboldal tulajdonosának:

1. lépés: A nem kívánt kód eltávolítása. Persze ne feledkezzünk el a sérülékenység megszüntetéséről se, hiszen ha ezt nem tesszük meg, hamarosan újra találkozunk a problémával.

2. lépés: Jelezni kell a StopBadware.org website-on, hogy felülvizsgálatot kérünk. A pontos link a kérés továbbításához: hxxp://stopbadware.org/home/review.

3. lépés: Ha ők tisztának találják az oldalad, jelzik ezt a tényt a Google-nek, és várhatod, hogy eltávolítják a címkét.

Fontos megemlíteni, hogy a Google jelző rendszere sem 100%-os biztos. Ha egy oldalt nem bélyegeznek meg, az még nem egyenértékű azzal, hogy nyugodtan böngészheted. Előfordulhat, hogy az utolsó elemzés óta módosult az oldal kódja, és az is, hogy egy trükkös kód sikerrel veri át az elemző modult.

Bumika eredeti hozzászólása

Fontos megemlíteni, hogy a Google jelző rendszere sem 100%-os biztos. Ha egy oldalt nem bélyegeznek meg, az még nem egyenértékű azzal, hogy nyugodtan böngészheted. Előfordulhat, hogy az utolsó elemzés óta módosult az oldal kódja, és az is, hogy egy trükkös kód sikerrel veri át az elemző modult.

És azt is fontos megemlítenem, hogy az "oldal" megnevezés helyett a site helyénvalóbb. Ha a site-on csak egyetlen oldalad tartalmaz kártékony kódot, a Google akkor is az összes site találatot megcímkézi.

Nem hagyhatom ki annak leírását, hogy a biztonság fenntartása mellett hogyan férhetünk hozzá a gyanús weboldal HTML kódjához.

A webes kártékony kódok kutatói általában két parancssori böngésző közül szoktak választani. A többség alighanem a wget-re esküszik, amely rendelkezik például a rekurzív letöltés lehetőségével is. Ennek révén az index fájlból kiindulva, a talált hivatkozásokon keresztül a többi linkelt oldal is letölthető.

Én a cURL nevű programot szoktam használni, így ennek paraméterezését mutatom be röviden. Egyébként mindkét program lényeges tulajdonsága, hogy nem hajtják végre a letöltött oldalban elhelyezett script, flash, ki tudja még mi kódokat. A cURL és a wget is Command Prompt-ból futtatható.

A curl --help paraméterezés adja vissza a futtatási paramétereket.

A parancs általános alakja: curl [futtatási opciók] <URL>

Például ennek a fórumnak a nyitóoldala így töltéhető le cURL-lel: curl "hxxp://seo.forum.hu"

Ha a letöltött oldalt egy fájlba szeretném lementeni, akkor az átirányítást a kacsacsőr karakterrel valósítom meg: curl "hxxp://seo.forum.hu" > seo.txt
Ennek eredményeképp a nyitóoldal kódja a seo.txt fájlba kerül. A .txt kiterjesztés használatának előnye, hogy a Notepad egyszerű szöveges fájlként nyitja meg az állományt, és így kártékony kód nem hajtódik végre a dupla klikk hatására.

A lehetséges futtatási opciók közül az alábbiak érdemelnek figyelmet:

-x <proxyszerver_neve: proxyport_száma> - ha proxy szerveren keresztül kell kommunikálni (a kettőspont után nincs szóköz, csak a nyelvnyújtó smiley miatt hagytam ki helyet)

-A <User-Agent_szövege> - ha például egy ismert böngészőnek kell beállítanunk a cURL klienst (vannak exploit oldalak, amelyek ezzel ellenőrzik, hogy igazi böngészővel töltik le a kódot).

Egy MPack exploit kitet futtató szerverrel otthonról a következőképp kommunikálok (feltéve, hogy Firefoxnak szeretném kiadni magam):

curl -A "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5" "hxxp://szerver_neve/eleresi-utvonal/index.php" > msie_xp.txt

A cURL a következő címről tölthető le: hxxp://curl.haxx.se/download.html
A Win32 - General részen az oprendszer verziónak megfelelő, binary, NO SSL változatot szoktam letölteni. Aki profi, megpróbálkozhat az SSL támogatásos verzióval is, habár kártékony kódok kutatása közben ritka, hogy csak HTTPS-en keresztül hozzáférhető oldalba ütközzünk.

Na, sikerült letölteni a cURL-t?

Hamarosan rátérek a konkrétumokra, de addig is leszögezzem: a kártékony oldalakra eljutás nem veszélytelen folyamat, ha nincs kifejezett gyakorlatotok ilyen oldalak letöltésében, ne használjatok mást, mint amit javaslok.

Persze nem kötelező gyakorlatba átültetni, amiről írok, de úgy gondolom, ily módon érthető lesz az is, amit kifelejtek a leírásból.

khm... nem bírok rájönni, hogy melyik kell a gagyi kis XP-mhez... hm-hm...