Недавно купил и установил антивирус "Касперский плюс" и честно уже замучился. То что компьютер тормозить стал и виснуть периодически это одно. Но бл он постоянно спрашивает какие-то разрешения. Я человек простой и к компьютерам отношусь по принципу, пришёл с работы включил поиграл, сериал посмотрел и баиньки. А тут такие вопросы. Мало того этот мудак блокирует любые действия пока я не поставлю разрешение но я не понимаю о чём он спрашивает! И это зачастую по несколько десятков таких запросов каждое включение. Гуглеж особо информации не даёт. Как сделать это более комфортным в использовании?
BitNinja — это аналог Dr.Web или Immunify, но в отличие от них специализируется не только на ловле вирусов, но и фильтрации входящего трафика. Для работы антивируса задействует AI, а управлять защитой всех серверов можно из одного окна.
Тестирование BitNinja я разделил на три фазы.
1. Пассивное — просто размещал BitNinja на серверах с разной конфигурацией и смотрим, на какие активности он реагирует.
2. Активное — планирую идти по публичной документации вендора и тестировать с помощью симуляции атак.
Важно. В России симуляция атаки на сервер приравнивается к киберпреступлению. Поэтому, если вы работаете из РФ и/или тестовые VPS находятся в РФ, не симулируйте атаки на серверах с белыми IP. Это уголовно наказуемое преступление. Тестировать продукт таким образом можно только в серой сети и только предупредив хостера. Если вы работаете из другой страны и/или тестовые VPS находятся в другой стране, изучите местное законодательство по этому вопросу.
3. Приближенное к реальности,— за BitNinja размещается какой-то реальный код, который пентестеры пытаются вскрыть.
В этой статье я расскажу об итогах пассивного тестирования. По его результатам я сгенерировал несколько гипотез:
Даже пустой сервер подвергается атакам.
WordPress привлекает больше внимания атакующих, чем Drupal.
Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.
Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.
Рассказываю подробности.
Инфраструктура для пассивного тестирования BitNinja
Взял 3 сервера с 2 ядрами, 4 ГБ RAM и 60 гб жесткого диска и разными операционными системами: Debian 11, Ubuntu 22 и AlmaLinux 8. Пользователь на сервере во всех случаях был один — root. Все серверы находятся в одном кластере и у одного хостинг-провайдера, на территории РФ.
ПО на сервере:
Ispmanager lite с рекомендуемым ПО;
BitNinja, устанавливался как stand alone версия;
WordPress на Ubuntu 22 и Debian 11 (далее WPU и WPD);
Drupal на AlmaLinux 8 (далее DA).
Сайты на CMS не создавал — это просто голые файлы CMS, даже без доменов. В ноябре задам домены и создам сайты. Посмотрю, как изменится ситуация.
При схожих вводных со стороны ПО и ТТХ я ожидал одинакового результата с точки зрения активности злоумышленников. Но ошибся.
Настройки BitNinja
Основная задача теста — проверить сколько атак отловит BitNinja с минимальными настройками. Поэтому никаких существенных изменений не было. Единственное, для DA и WPD был включен WAF, без каких-либо изменений в правилах.
Поскольку для всех CMS в качестве БД использовался MySQL, также можно было включить Database Cleaner — модуль проверяет базы данных на предмет заражения. Но в моменте это забылось.
Состояние модулей BitNinja
Malware detection. Включен, настройки по умолчанию
WAF. Включен для DA и WPD
Trusted Proxy. Включен, настройки по умолчанию
Port Honeypot. Включен, настройки по умолчанию
Web Honeypot. Выключен
DoS Detection. Включен, настройки по умолчанию
Log Analysis. Включен, настройки по умолчанию
Defense Robot. Включен, настройки по умолчанию
Site Protection. Выключен
Database Cleaner. Выключен
Sandbox Scanner. Включен, настройки по умолчанию
Vulnerability Patcher. Включен, настройки по умолчанию
Spam Detection. Включен, настройки по умолчанию
Advanced Modules. Включены, настройки по умолчанию
Результаты пассивного тестирования BitNinja
Сводка Период 17.08 — 29.10 (обновим по завершению октября)
Заблокировано пакетов. Много. На графике значения в тысячах заблокированных пакетов.
Из сводки видно, что по интернету гуляет множество парсеров и ботов, которые «щупают» ресурсы в поисках уязвимостей. На серверах нет абсолютно ничего, однако с завидной регулярностью их утюжат в поисках дырок. Даже несколько DoS-атак прошло.
На сводной инфографике хорошо видно, что основной удар пришелся на порты, часть инцидентов привели капчи, самая значительная среди них — веб-капча. Остальные на грани погрешности.
Скорее всего при появлении на ресурсах контента боты начнут отправлять запросы и пытаться вскрыть формы в админке или формы на сайте. Тогда увидим рост блокировок от WAF. Так это или нет, проверю за следующие три месяца — с помощью привязанных теперь к серверам доменов и созданных на них болванок сайтов с формами.
Разбивка по странам тоже не такая, как я ожидал. Да, там есть Индия и Тайвань, но.
Китай — с очень большим отрывом.
США.
РФ.
Кроме Китая, неожиданным для меня стали Танзания и UK
Уверен, что страны, из которых приходят атаки будут отличаться в зависимости от того, где сервер стоит. Наши тестовые VPS находятся в Москве.
Результаты по отдельным серверам
Моя гипотеза была в том, что объем атак будет равномерно распределен между серверами. Но нет, я ошибся. Больше всего атак пришлось на WPU, потом WPD и в конце DA.
Моя новая гипотеза в том, что причиной такого поведения стал WordPress.
У WordPress куча модулей, не все из них безопасны и это самая популярная в мире CMS — на WordPress самое большое число сайтов в мире. Даже сервера с голым WordPress без какого-либо контента или сайтов привлекают больше внимания ботов, чем сервер с Drupal.
Разница между WPD и WPU в том, что на WPD работает WAF, но могло ли это стать причиной такой существенной разницы в количестве атак — сейчас я сказать не могу. Смущает, что сам WAF заблокировал очень мало запросов. Но, возможно, боты как-то его определяют и даже не пытаются продолжать запросы. Если вы в курсе — расскажите, пожалуйста.
Port Honeypot
Никакой сезонности или одинаковых паттернов не обнаружилось. Серверы атаковали хаотично, без очевидной логики. Были странно похожие колебания для DA, но они повторились всего лишь раз. Этого мало, чтобы сделать какие-либо выводы.
Синий — DA, зеленый — WPU, красный — WPD
DoS Detection
Под DoS-атаки попал только сервер WPU. На остальных включен WAF, возможно дело в этом.
DoS-атаки на сервер WPU
WAF
Общее количество атак на DA было меньше, чем на остальные сервера, но WAF отразил больше подключений. Но запросов мало, поэтому это, скорее всего, случайность.
График частично совпадает между собой, что опять же показывает, что часть атак проводится ботами по всем сетям провайдера.
Синий — DA, Красный — WPD. Синий намеренно притушил, чтобы было видно совпадение пиков.
Blocked packets
Рackets или «пакеты» — это единица измерения трафика, который генерируется IP-адресом. Каждый инцидент или запрос могут содержать разное количество пакетов, в зависимости от размера запроса. В терминологии BitNinja речь идет именно о HTTPS- пакетах.
Почему-то на DA количество дней с атаками было больше, чем на других серверах. При том, что пик достался WPU. Также как и в случае с заблокированными подключениями к портам.
Синий — DA, зеленый — WPU, красный — WPD
Что дальше
Из результатов нашего тестирования атак за три месяца я сгенерировал несколько гипотез:
Даже пустой сервер подвергается атакам.
WordPress привлекает больше внимания атакующих, чем Drupal.
Иногда атаки проходят по всей сети провайдера, без цели захватить какой-то конкретный сервер.
Больше всего атак и блокировок приходится на запросы, взаимодействующие с портами сервера.
В планах посмотреть как изменится активность злоумышленников после того, как прикрутил к серверам домены и завел на них сайты с формами. А параллельно проведу вторую фазу — активное тестирование по документации вендора.
Разработчик антивируса Avast и утилиты CCleaner — чешская компания Avast Software — стал недоступным в РФ. В официальном заявлении IT-предприятие объяснило свое решение проведением специальной военной операции на территории Украины. Но тогда компания не блокировала работу приложений. Однако сейчас пользователи видят уведомление о том, что программа больше «не поддерживается в вашей стране или регионе».
"Avast — это как продажа сушеных экскрементов летучих мышек, подорожника от всех болезней. Он имитирует современный антивирусный пакет, который не работает, никакой защиты."
Чем его заменить?
Илья Вайцман:
«Могу порекомендовать набор из бесплатных версий Wise Disk Cleaner и Wise Registry cleaner. Из бесплатных антивирусов неплохо работают Comodo Free Antivirus и ClamWin Free Antivirus. Как вариант можно рассмотреть еще антивирусы Total 360 Security и Malwarebytes. Вообще, вариантов очень много», — отметил специалист.
