Webhostingy sú ideálnym terčom hackerov, pretože veľmi veľa webových stránok využíva komunitne vyvíjané aplikácie, ako napr. WordPress, Joomla, Drupal a i. Tieto aplikácie majú svoj zdrojový kód voľne dostupný na stiahnutie, a preto nič nebráni útočníkovi analyzovať tento kód a vytvoriť exploit, ktorý vedia následne využiť.
Aby bol kyberútok hackerov úspešný, potrebujú získať prístup na veľa serverov, z ktorých si vedia spraviť sieť softvérových robotov, tzv. botnet. Útoky sa však dajú robiť aj v menšom merítku, avšak len veľmi zriedka si dá hacker námahu prelomiť bezpečnosť webovej aplikácie.
Čo z toho hackeri majú?
Dôvod, prečo sa niekto zaoberá infikovaním aplikácií bežiacich na hostingu je práve ten, že po získaní prístupu si tam útočník môže nahrať svoj kód a spúšťať ním zvolené skripty, ktoré môžu robiť všetko, čo je na serveri povolené.
V 99 % je to práca robotov (naprogramovaný softvér). Robot preskenuje internet a kde nájde dieru v kóde stránky, tam sa „zastaví“, uloží svoj kód a ide ďalej. Tento neželaný cudzí kód môže spôsobiť buď „len“ nefunkčnosť stránky, v horších prípadoch je však ničenie hlbšie a trvalé.
Veľmi častým úkazom je zaradenie servera do botnetu, ktorý rozosiela milióny spamových e-mailov denne. Obsahom takýchto emailov sú často ponuky na pofidérne produkty (viagra, rôzne ‘udelátka’ či nigérijsky investor), ktoré sa snažia nalákať ľudí na kopu produktov.
Môžu však obsahovať aj iné formy útoku, ako napr. Phishing, kedy sa útočník snaží získať prihlasovacie údaje do iných stránok (napr. webmail – opäť na rozosielanie spamu, sociálne siete alebo internet banking a i.). K čím väčšiemu prístupu serverov má útočník prístup, tým je viac flexibilný, aby bol jeho útok silný a konštantný.
Ako to vlastne robia?
Vo väčšine prípadov útočníci využívajú buď verejne známe zraniteľnosti v aplikáciách, alebo dokonca sami hľadajú spôsoby, ako nahrať na hosting svoj kód. V poslednej dobe sa stáva trendom vkladať infikovaný kód do prémiových tém a pluginov, ktoré sa šíria pomocou P2P sietí, prípadne na úložiskách. Réžia útočníka na infiltráciu svojho skriptu je minimálna a spolieha sa na kooperáciu s programátorom (používateľom aplikácie), ktorý infikovaný balík nainštaluje do svojej aplikácie.
Čo môže hacknutie stránky spôsobiť?
Keď útočník získa prístup na hosting, tak má rovnaké možnosti na hostingu, ako keď sa oprávnený používateľ prihlási cez FTP – ba dokonca ešte väčšie. Vo väčšine prípadov chce útočník profitovať z možnosti mať aktívny prístup k veľkému množstvu serverov a podľa svojich potrieb ich zapojiť do botnetu, ktorý môže kedykoľvek využiť na ďalší útok. Vzhľadom na to, že pre útočníka je oveľa efektívnejšie mať možnosť využiť server pre svoje potreby, ako sa prezradiť mazaním dát. Existujú aj útoky, ktoré sa špecifikujú v šifrovaní súborov a za poplatok ich odšifrujú. Je však veľká pravdepodobnosť, že útočník získa údaje k databáze a bude mať prístup aj k citlivým údajom.
Ako sa brániť?
Jedna z najdôležitejších vecí je aktualizácia svojich aplikácií, aby boli vždy v poslednej verzii. To zabezpečí, že bezpečnostné diery, ktoré boli objavené, sú opravené a útočník nebude môcť použiť túto chybu, aby nahral na hosting svoj kód. Taktiež je vhodné použiť aj bezpečnostné pluginy, ktoré spravia opatrenia, aby pri skúšaní zraniteľnosti útočník nebol schopný identifikovať aplikáciu, prípadne jej verziu. Takéto pluginy menia URL na prihlásenie do administrácie, schovávajú v <meta> tagoch verziu aplikácií a i. Určite nesťahujte pluginy z warez fór, prípadne z neznámych stránok, nakoľko je veľmi veľká šanca, že budú obsahovať škodlivý kód.
Ako sa bránime proti hackerom vo WebSupporte?
Vyvíjame vlastný nástroj (Webscanner), ktorý pravidelne scanuje hostingy a snaží sa nájsť infikované súbory. Ak sa mu podarí nájsť napadnutý hosting, obmedzíme jeho funkčnosť v čo najväčšej miere, aby infikovaný skript nebol schopný vykonávať aktivitu. Následne okamžite notifikujeme nášho zákazníka a navrhneme mu vhodné riešenie.
Skontrolujte, či je vaša stránka v bezpečí
Kontrolu vlastného hostingu môžete vykonať kedykoľvek vo vlastnej réžii. Ľahko tak zistíte, či neobsahuje malvér alebo iný škodlivý skript. Stačí sa prihlásiť do WebAdminu a v správe hostingu nájsť Web Scanner.
Ak chcete vyskúšať iný nástroj, otestujte Sucuri. Ak máte skúsenosti s inými nástrojmi, odporučte ich v komentároch.
[mc4wp_form]
5 odpovedí na “Je vaša stránka v bezpečí?”
Zdravím, ten váš webscaner dokáže rozoznať nežiaduci kód v scripte alebo pozná len niektoré známe varianty? Ako veľmi je spoľahlivý?
Určite nepozná všetky. Tie najznámejšie však áno a neustále pribúdajú nové.
Zial, web scanner nie je dostupny na virtualnom serveri, co je skoda :/
Dík za hint, pokecáme o tom s adminmi.
No, teda ten webscanner je asi onicom, tak potom by som uz fakt radsej isol so specializovanym riesenim, ako bitdefender, alebo nieco take, mozno maju aj z esetu volaco.
A inak PHP FPM komplet v SELinuxe a vybavene.
Ten PHP proces by aj tak nemal mat ziadne Write permissions na subory, kere spusta.