עליה חדה בכמות נסיונות הפריצה

בעוד שמבצע "עמוד ענן" מתנהל לו בעיקר מהאוויר, על הקרע הוצתה מלחמה כוללת ברשת האינטרנט.
בשבוע האחרון אנו רואים עליה חדה בכמות נסיונות הפריצה לשרתים ולאתרים.
בעוד האחריות על רמת אבטחת שרתים הינה שלנו בלקוחות מנוהלים ללא השתלטות מרחוק או בשרתים שיתופיים, עדיין קיימת אחריות אישית לאבטחת החשבון הספציפי שלכם ולאבטחת אתרכם והקוד.
לקוחות המעוניינים בפתרונות: אבטחה / גיבוי / שרתים / שירותים, שאינם כלולים בחבילה שרכשתם, מוזמנים ליצור איתנו קשר.

נקודות חשובות באבטחת מידע:

• הקטנת אפשרויות התקיפה/שטח הפנים לפריצה.

הסימפטום: העלאת קבצים על ידי גורם לא מזוהה והפעלתו בשלב מאוחר יותר על מנת לקבל גישה לקבצים בחשבון.
לחילופין, ניצול לרעה באגים ובבעיות אבטחה של סביבות שונות.

הפיתרון:
הרעיון המנחה הוא הקטנת שטח התקיפה (Surface Area) על מנת להקטין את האפשרויות לתקיפת האתר.

עיקבו אחר ההוראות בדף הבא (עבור H-Sphere):
https://www.199.co.il/howto.asp?aid=116

עיקבו אחר ההוראות בדף הבא (עבור DotNetPanel / WebsitePanel):
https://www.199.co.il/howto.asp?aid=117

• מדיניות סיסמאות ופריצות FTP

אנא היכנסו כבר כעת לממשקי הניהול שלכם והחליפו סיסמאות (גם אם הסיסמאות שבחרתן הן סיסמאות קשות).
יכול להיות שבנקודה כזו או אחרת גורם זר הצליח לקבל את שמות המשתמש והסיסמאות שלכם ממחשבכם או לחילופין, שבחרתם סיסמה קלה מידי.

הסימפטום: התקבלו במערכת הפניות שלנו פניות רבות על שינוי קבצים באתרם.
מבדיקה עלה כי ניתן למצוא בשרתים קבצי Log המראים כניסה ל-FTP ושינוי קבצים. הגישה התבצעה מכתובות IP של מחשבים שונים בחו"ל שהותקפו גם הם וחברים ברשת "Zombies".
הסיבה: מחשבים אישיים של לקוחותינו, מנהלי אתרים אשר נגועים בוירוס/סוס טרויאני ועושים שימוש בתוכנות FTP לצורך העלאת קבצים לאתריהם.
שמות המשתמש והסיסמאות ל-FTP שמורות בתוכנות אלו באופן לא מוצפן ובשל כך נשלחות לפורץ לשימושו על מנת להמשיך את הפצת הוירוסים והטרויאנים.

הפיתרון:
1. לוודא שתוכנת האנטיוירוס שברשותכם וברשות כל מי שניגש ל-FTP מעודכנת ופעילה.
2. לאחר מכן החליפו את הסיסמאות ל-FTP באמצעות ממשק הניהול כפי שניתן לראות באתרנו: https://www.199.co.il/howto.asp?aid=96
3. אל תישלחו את הסיסמאות במייל.
4. לא לישמור סיסמאות במחשב

• פריצות באמצעות RTF Editors לא מאובטחים

הסימפטום: התקבלו במערכת הפניות שלנו פניות רבות על שינוי קבצים באתרם.
מבדיקה עלה כי ניתן למצוא בשרתים קבצי Log המראים שימוש בקובץ asp/php/aspx אשר הועלו לשרת והופעלו על ידי הפורץ.
הסיבה: קבצי הפריצה (סקריפטים) הועלו על ידי קבצי ברירת מחדל המועלים יחד עם קוד האתר על ידי מפתח האתר בעורכי RTF בעיקר כגון FCKEditor.
מה גם, שבדרך כל הקבצים הללו מועלים לאותן תיקיות בדר"כ (ספריות Editor או FCKEditor) ובשל כך קיימים "רובוטים" רבים של פורצים אשר כל תפקידם הינו לאתר ספריות אלו ולנסות להעלות לתוכן קבצים בכדי שהפורץ יפעילם לאחר מכן.

הפיתרון:
1. לא רק בנושא ה-Editors, תמיד השתדלו שלא להשתמש בהגדרות או בשמות default.
2. לא לשים את למחוק את כל הקבצים אשר אינם נדרשים להפעלת ה-FCKEditor.
3. יש למחוק קבצים אשר אינם נדרשים (למשל אם האתר שלכם כתוב ב-asp, אין שום צורך לקבצי ה-php, aspx, cfm שנמצאים שם כגירסאות נוספות של ה-FCKEditor).
4. חפשו קובץ בשם i_upload_object_FSO.asp ושנו את השורה:
oUpload.AllowedTypes = "*"
לשורה שתכלול אך ורק את סוגי הקבצים שברצונכם לאפשר העלתם (הפרדה בתו "|").
5. אפשרו גישה לקבצי ה-FCKEditor רק במידה וקיים Session ברמת Admin.

• MySQL Injection

מומלץ לעבור על קוד האתר ולבדוק שלא מוכנס משתנה לשאילתה ללא escaping .

דוגמאות ניתן למצא כאן :
http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php

במידה ועובדים עם mysqli או pdo חשוב לעבוד עם bind_param().

• חוקים בסיסיים לטיפול קבצים

1. מומלץ לבדוק את סיומות הקבצים ולא לאפשר העלאת קבצים זדוניים כגון js/php/asp/aspx/pl.
2. אין לישמור קבצים בשמם האמיתי כמו שעלה דרך ה- client .

• חוקים ב-Firewall (שרתים וירטואליים/יעודיים בלבד) / הגנה מפני Brute Force

קיימים רובוטים רבים (מיליונים כאלו) אשר מחפשים פורטים (Ports) פתוחים כדי לנסות ולהגיע לשרת ולבצע Brute Force.
Brute Force היא שיטה פשוטה ביותר לניסיונות פריצה שבה הגורם מנסה לקבל לאתר שמות משתמש וסיסמאות על המערכת (למשל Administrator או root עם סיסמאות קלות).

לקהל לקוחותינו בעלי השרתים הוירטואליים/היעודיים ניתן לחסום פורטים חשובים ב-Firewall ולאפשר לכם גישה מרחוק באמצעות VPN או באמצעות פתיחת הפורטים לכתובות IP יעודיות בלבד.
כל יום אנו עדים לעשרות אלפי נסיונות פריצה לפורטים פתוחים (למשל עשרות אלפי נסיונות התחברות כ-Administrator ביום לשרת באמצעות FTP או באמצעות MSSQL לשרתים שפתוחים ב-Firewall לפורטים אלו).

פרט ליתרון הגדול של סגירת הפורט ב-Firewall כך שלא יוכלו כלל להגיע ל-Service שאותו מנסים לפרוץ, עצם סגירת הפורט יכולה לעזור לביצועים מאחר והשרת לא יצטרך להתעסק בכל נסיונות הפריצה הללו.

אתם מוזמנים לפנות לתמיכה בשאלות נוספות כיצד ניתן לסגור את הפורט על השרת שלכם.

• חומת אש אפליקטיבית (IPS) ללקוחות שרתים וירטואליים/יעודיים בלבד

לאבולוציה יש שיתוף פעולה עם חברת Applicure הישראלית. יצרנית ומפתחת dotDefender.
תוכנה מיועדת גם ללינוקס וגם ל-Windows ותפקידה לשמש כ-IPS (Intrusion Prevention System – מערכת למניעת חדירות).

מערכת זו מומלצת לכל שרת (מנוהל או לא) בכדי שיגן באופן מלא על האפליקציה שלו מפני התקפות שונות (למשל SQL Injection).
המערכת מתעדכנת באופן תמידי על חתימות התקפה חדשות ומביאה כל שרת לתקן PCI ממש Out Of The Box בהתקנה פשוטה ובניהול מרכזי שלנו.

קישורים נוספים:

https://www.199.co.il/howto.asp?aid=84 – כיצד להגן על האתר מפני פריצות.
https://www.199.co.il/howto.asp?aid=45 – שינוי סיסמאות ל-FTP ב- H-Sphere.
https://www.199.co.il/howto.asp?aid=81 – (לינוקס בלבד) – ניהול הרשאות כתיבה.