korisnik

You are currently browsing articles tagged korisnik.

careersinformation

Šta ti radiš da osiguraš svoj blog?

24. April 2009. in Znanje | No comments

Neki dan sam vidio kod AmilaBosnae da je imala napad na blog od strane nekog egipćana ili njih više, pa me je to bacilo u razmišljanje da skontam kakva se bagra vrzma u mene po postovima.

Nije da me nešto posebno interesuje, ali želim da eliminiram takve, ne sa moje stranice, već i sa interneta. Već duži niz godina prijavljivam spam botove i postavljam im zamke pomoću kojih ih hvatamo. Više o tome kasnije.

Instalirao sam neke security dodatke (plugins) za WordPress i pregledao instalaciju istoga. Sve je kao što sam i očekivao bilo u redu, ali sam ipak dodao par još stvari.

Ono što se Amili desilo, ne znam jel do nje bilo, do WordPress verzije, ili do nečeg trećeg.

  • Do Amile je moglo biti to da je imala lošu lozinku. Ali sam se uvjerio da lozinka nije loša bila barem ne za WordPress. Može biti da je Windows imao neki propust pa joj je ukrao lozinku.
  • Druga stvar može da bude, da je WordPress instalacija bila zastarijela, a pored toga imala i neke propuste koji su zakrpljeni u novijim verzijama, ali ne u baš njenoj verziji. Važno je uvijek imati najnoviju verziju programa.
  • Trece nešto je moglo da bude to, Amila se nalazi na serveru kojeg dijeli sa drugim korisnicima. Ako je ona imala pogrešne postavke za svoju mapu, i drugi korisnici imali pristup mapi moglo se na taj način uletjeti.
    Na modernim operativnim sistemima svaki korisnik ima ili moze da ima zaštićenu mapu kojoj samo on ima pristup, i članovi administracije. Ali ako taj korisnik namjerno ili u neznanju postavi da su te fascikle dostupne svima, onda neko može da pomoću malog znanja zloupotrijebi taj slučaj i izbriše/izmijeni sadržaj tih fascikla i datoteka. I svi dokazi koje sam ja vidio su ustvari vodili na to da je ovaj slučaj bio krivac da je taj napad uspiješan bio.

Ali kako je to moguće?

Pa vjerovatno ovako. Kao što već rekoh, taj blog se nalazi na serveru kojeg jedna mušterija ustvari dijeli sa više mušterija. Najvjerovatnije više hiljada mušterija. Oni svi imaju neki sistem oko naziva pojedinih mapa i korisničkih imena, jer to mušterije u većini slušajeva nemogu da sami odaberu. Tako kada kupiš mjesto na tome serveru, obično ti bude korisničko ime isto kao i domen koji je asociran sa tim korisničkim imenom. Znači, kupiš domen.ba i tvoje korisničko ime će biti “domen.ba”. Jednostavno za upravljati, još jednostavnije za mušteriju i za upamtiti. Ali isto tako jednostavno za napadača da masovno napada sistem sa jednom alatkom i od desetine hiljada korisnika neko će da napravi neku grešku i onda potencionalno imaš sistematski napad na sve mušterije.

Neki napadač je vjerovatno uletio nekome, na neki način na FTP konto, preko kojeg je mogao da lansira napade na druge mušterije, jer već sada zna dovoljno dosta o sistemu da može lansirati napade. Nemoraju oni davati ploda, ali je mogućnost tu. Kod amile je njena fascikla bila dostupna cijelom tom serveru, jer je imala čitaj/piši prava za cijeli server.

Znači, napadač je uletio nekome, i sada zna da svi korisnici imaju ista korisnička imena kao i domene. Sa malo muke i znanja može da dobije sve domene, a time i korisnike, koji se nalaze na tome serveru. Onda može da posjećuje ili skanira te domene i skonta koju verziju content-management sistema (CMS) koriste. Recimo da je tražio ako može listati sadržaj fascikla ovih korisnika. Pri tome je naletio na amilinu fasciklu i vidio da može da lista sadržaj. Vidio je ubrzo i da može da piše.

A zašto je u Amile fascikla imala prava za čitanje i pisanje od strane drugih korisnika?

Vjerovatno prilikom instaliranja WordPress-a je ona lično postavila takva prava ili je administracija servera napravila neke module gdje se WordPress instalira automatski, a pritome izostavila taj mali lapsus koji je koštao Amilu napada.

Pa s toga, nikada ne treba imati čitaj/piši prava na fasciklama osim ako baš ne želiš da svako može da zaviriva tu i vidi šta ima.

Šta sam ja uradio kod sebe?

Kao što rekog, pregledao sam i ja svoja prava. Nikada ne škodi pregledati stvari par puta, da se gradivo utvrdi. To je bilo svom srećom u redu kod mene. Ali nisam tu stao. Želio sam da vidim šta se vrzma i šta pokušavaju da učine.

Instalirao sam dodatak za statistiku, kako bih mogu vidjeti ko dolazi, gdje dolazi, i šta radi, ili šta pokušava. Nakon toga, sam zaštitio admin sekciju sa dodadnom lozinkom koja je na samom serveru. I ovo služi kao dodatni sloj sigurnosti za napade sa vana.

Pored toga, prateći statistiku izgrađivam dodatne mjere, gdje sortiram korisnike od botova.
Korisnici završavaju na blogu, a botovi idu na “teglu meda” (eng. honey pot), gdje ih čeka analiza i prijava na crne liste, širom interneta. Tako ih hvatam, kako bi drugi koji koriste ove sisteme mogli da imaju dobit od mog “truda”, a vice versa. Kolaboracioni sistem za suzbijanje majmunluka na netu.

I sve to opet ne garantuje da je moj blog siguran, ali eto eliminišem neke stvari koje se često koriste, a ne zahtijevaju aman zaman vremena da se učine. Pa onda zašto da ne?

Evo jedan važan dodatak za .htaccess datoteku u WordPress instalaciji.

Options -Indexes
<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Prva linija Options -Indexes će da kaže serveru da ne prikaziva sadržaj fascikla koje nemaju neku index datoteku, kao recimo index.html ili index.php, i time otkrivaju sadržaj fascikla.

Ostale tri linije su za zaštitu wp-config.php datoteke. Tako da niko sa neta nema pristup njoj. Samo server, lokalno.

Druga stvar je da se recimo wp-admin fascikla zaštiti sa lozinkom. Više o tome ovdje.

Tags: , , , , , , , , ,

e-mail