Защита серверов от атак с помощью AIDE
Актуальность проблемы
Кибератаки на веб-серверы становятся всё более изощренными. Преступники активно эксплуатируют уязвимости в коде, используют эксплойты нулевого дня и фишинговые схемы для получения доступа к файлам, внедрения вредоносного кода и нарушения работы критически важных систем.
Наш клиент – крупная компания “ФармаГрупп”, использующая CMS WordPress и корпоративную систему Битрикс24.
В процессе эксплуатации серверов были выявлены следующие проблемы:
– Постоянные попытки атак на веб-приложения с целью внедрения вредоносного кода
– Незаметные изменения конфигурационных файлов, создающие потенциальные уязвимости
– Риск компрометации данных клиентов и пользователей
– Необходимость постоянного контроля целостности серверных файлов
Для решения этих задач мы выбрали Advanced Intrusion Detection Environment (AIDE) – мощный инструмент мониторинга целостности файлов, который помогает выявлять несанкционированные изменения и защищать систему от атак.
Обнаружение угрозы
В ходе регулярного мониторинга целостности файлов на серверах клиента мы зафиксировали подозрительную активность в системе Битрикс24, в том числе в файлах:
.htaccess
siteheads.php
# А также в директории assets/images в корне сайтов
Анализ показал, что злоумышленники пытались использовать новую критическую уязвимость в модулях ESOL для CMS “1С-Битрикс”. Уязвимость позволяла атакующим выполнять произвольный код на сервере, что могло привести к полной компрометации системы.
Дополнительными инструментами анализа и мониторинга, было обнаружено, что злоумышленники пытались проникнуть в систему с помощью загрузки вредоносного кода через файлы:
/bitrix/modules/kda.importexcel/admin/iblock_import_excel_cron_settings.php
/bitrix/modules/kda.exportexcel/admin/iblock_export_excel_cron_settings.php
/bitrix/modules/esol.importexportexcel/admin/iblock_import_excel_cron_settings.php
/bitrix/modules/esol.importexportexcel/admin/iblock_export_excel_cron_settings.php
/bitrix/modules/esol.importxml/admin/import_xml_cron_settings.php
/bitrix/modules/esol.massedit/admin/profile.php
/bitrix/modules/esol.allimportexport/admin/cron_settings.php
Реагирование и защита
Благодаря системе мониторинга AIDE (Advanced Intrusion Detection Environment) нам удалось своевременно обнаружить попытку взлома и предотвратить компрометацию серверов и спасти клиентов от репутационных рисков и потери данных. Мы оперативно провели следующие действия:
Обновили модули ESOL до последней версии, устраняющей уязвимость.
Провели аудит системы и устранили возможные точки проникновения злоумышленников.
Настроили дополнительные правила мониторинга AIDE, чтобы исключить подобные инциденты в будущем.
Внедрили автоматизированную проверку целостности файлов, позволяющую оперативно выявлять подозрительные изменения.
Что такое AIDE и как он работает?
AIDE (Advanced Intrusion Detection Environment) – это инструмент мониторинга целостности файловой системы, который:
1. Создаёт контрольные суммы файлов с использованием хеш-функций
2. Анализирует атрибуты файловой системы (размер, права доступа, inode и др.)
3. Сравнивает текущие параметры файлов с эталонными значениями, выявляя любые изменения
4. Формирует детализированные отчёты, позволяя оперативно обнаруживать подозрительные действия.
AIDE широко используется компаниями, работающими с конфиденциальными данными и высоконагруженными веб-приложениями.
Мы решили внедрить этот инструмент для автоматического мониторинга серверов клиента и своевременного выявления угроз.
Этапы внедрения AIDE
1. Установка и инициализация
AIDE доступен в стандартных репозиториях популярных дистрибутивов Linux, что упрощает процесс установки:
sudo apt install aide #Для Debian/Ubuntu
sudo yum install aide # Для CentOS/RHEL
После установки мы создали эталонную базу файловой системы:
aide --init
Процесс занял около 90 секунд для 318 000 файлов и позволил создать хранилище контрольных сумм и атрибутов, которое используется для последующих проверок.
2. Настройка мониторинга критически важных файлов
Для защиты серверов WordPress и Битрикс24 мы настроили правила мониторинга в конфигурационном файле /etc/aide/aide.conf
В зону контроля вошли:
– Исходные файлы WordPress и Битрикс24
– Конфигурационные файлы веб-сервера и базы данных /etc/nginx/nginx.conf, /etc/mysql/my.cnf, /etc/php/* и другие
– Директории с файлами сайтов /home/bitrix/, /vаr/www/
– Исключены файлы, которые изменяются постоянно (логи, кэш, upload)
Настройки позволили минимизировать ложные срабатывания и сфокусироваться на значимых изменениях.
3. Автоматизация проверок и отчётность
Для удобства работы мы настроили ежедневные проверки целостности файлов и автоматическую отправку отчётов администраторам безопасности.
В crontab был добавлен следующий скрипт:
0 3 * * * /usr/bin/aide --check | mail -s 'AIDE Security Report' security@company.com
Теперь система ежедневно проверяет целостность файлов и отправляет отчёты на почту ответственных сотрудников.
4. Защита AIDE от манипуляций
Один из потенциальных рисков – возможность изменения бинарных файлов AIDE злоумышленниками.
Чтобы исключить это, мы внедрили механизм проверки целостности самого AIDE перед каждым запуском:
sha256sum /usr/bin/aide
Хеш-суммы хранятся в защищенной среде и сверяются перед выполнением проверок, что исключает подмену утилиты.
Результаты внедрения
После интеграции AIDE наш клиент получил надёжную систему контроля файловой системы, которая:
– Обнаруживает попытки несанкционированного изменения файлов в режиме реального времени
– Уменьшает риск заражения вредоносным кодом, внедряемым в WordPress и Битрикс24
– Автоматизирует процесс контроля целостности, минимизируя участие администраторов
– Повышает общую защищенность серверной инфраструктуры.
Заключение
Внедрение AIDE значительно повысило уровень информационной безопасности серверов клиента. Теперь компания может быть уверена в целостности своих данных и оперативно реагировать на потенциальные угрозы.
Если ваша компания использует WordPress, Битрикс24 или другие веб-системы и хочет защитить свою инфраструктуру, мы готовы помочь в настройке AIDE и других решений для кибербезопасности.
Свяжитесь с нами, и мы подберём оптимальное решение именно для вас!