התקפות – הסיוט של אחסון משותף

בכל הארץ פורסם שביום א' תהיה התקפה מאסיבית על אתרים. מבחינת אחסון משותף שאני מתחזק (ליתר דיוק: תחזקתי, הלילה "התפטרתי" מהתפקיד) לא היה נזק משמעותי. אתר מסויים שדווקא הופיע ברשימה נשאר חי ותקין, 2 אחרים באותו אתר נפלו.

אבל היום – היתה ה-התקפה. לאתר שלי, לדוגמא, עשו Defacement פעמיים, ועוד פעמיים מחקו לגמרי את ה-DB. חושבים ששחזורים פותרים תקלות? תחשבו שוב. גיליתי סקריפטים שיודעים בקלות לעקוף כל SuEXEC ודומיו, שיודעים להראות לפורץ את קובץ configuration.php או wp-config.php  כטקסט פשוט וגם סקריפט שנקרא xmlpc.php (הוא מטעה אנשים שחושבים שזה קובץ xmlrpc.php) שהוא Database Killer. שילוב של הנתונים מהסקריפט הראשון פלוס ה-xmlpc.php יבטיח לפורץ שתוך דקה אין DB לגמרי! עוד "חוויות" היו אתרים שחודשים רבים לא עודכנו וחורי אבטחה יש שם כמו גבינה שוויצרית, ומשם הפורץ לא עושה רק Defacement אלא גם מכניס את כל שלל הסקריפטים שלו ב-3-5 עותקים, שיהיה. 

אז מה המסקנות שלי שיכולות לסייע לכם? הנה כמה מהן:

  1. לפני שאתם רצים לטלפון לבקש שישחזרו לכם, כנסו לפאנל והורידו העתק של קובץ Access Log אל המחשב שלכם. אחרי שאתם מבקשים שישחזרו לכם, תתחילו לנתח את הקובץ וחפשו שורות POST. אם הפריצה מקומית לאתר שלכם, חפשו שורות POST שדרכם הפורץ מעלה את הסקריפטים שלו. בד"כ זה המקום שאתם תגלו איך הפורץ העלה את הסקריפטים שלו ומשם אתם יכולים להבין איזה תוסף יש לו בעית אבטחה. אם אתם יכולים, תתקנו את הבעיה במקום לבקש שחזור, כי אם הפורץ "יושב עליכם" ובודק שוב את הפריצה, שחזור יחזיר את הקבצים הבעיייתיים. 
  2. אם יש שרות שלמדתי להעריך אתמול והיום, זה CloudFlare. הם נותנים שרות CDN בחינם וגם יודעים לבדוק מי מנסה לחטט לכם באתר. החבילה הבסיסית החינמית לא מגינה באופן מספק, אבל יש שם אפשרויות נוספות בתשלום שיכולים לתת מענה זה או אחר. ה-DNS שלהם מצוין ואם ראיתם שהאתר הזה עולה מהר, זה בגלל שגם אתר זה משתמש בתשתית שלהם.
  3. אם יש לכם ידע כלשהו בלינוקס, ויש לכם כסף ל-VPS, תעבירו את האתרים שלכם ל-VPS ועדיף בלי פאנל. אני יכול לאמר היום מנסיון ש-CPANEL/WHM לא עוזר נגד הפריצות בכלום. רוב העבודה שהיום עשיתי קשורה בסקריפטים ב-Shell (עם המון AWK).
  4. נקודה חשובה: ספק אחסון אתרים אינו קוסם. הוא ברוב המקרים לא ינתח מדוע נפרץ האתר שלכם ואתם תצטרכו להחליט מה לעשות בנידון.

כשאני מסכם את היום, אני מגיע למסקנה שאחסון משותף הוא אולי זול, אבל יש מחיר מאוד גבוה ל"זול" הזה. האם אני אמליץ מחר לבעל עסק שיש לו אתר קטן לאחסן באחסון משותף? כן. האם אני בעתיד יחשוב להציע אחסון משותף בזול? לא, זה לא שווה מבחינה כספית את הזמן ומאמץ כשקורות תקלות מרובות עקב פריצות המוניות.

Comments

comments

7 תגובות בנושא “התקפות – הסיוט של אחסון משותף

    • כי באחסון משותף אינך יודע מי השכן שלך ומה הוא מתקין ואיזה באגים יש שיכולים לעשות אסקלציה עד רמת root ומשם הדרך קצרה לדפוק גם אתרים מעודכנים ומתוחזקים.

      ב-VPS אם אתה מאחסן רק את האתרים שלך שאתה מתחזק, הסיכוי לכך קלוש יותר ויש לך יותר שליטה במה שקורה.

  1. סליחה עודף חננה, נא לתקן בפסקה האחרונה :זה לא שווה מבחינה כספית את הזמן ומאמץ כשקורות תקלות מרובות עקב פריצות המוניות.

    אפשר למחוק התגובה לאחר מכן…

    * וחוץ מזה מעניין מאוד

  2. אולי תפרסם סקריפט שהם העלו כדי שנלמד

    חור אבטחה, משהו – מה הם עוללו שם ?

    • אתמול גיליתי יותר מ-70 חורים בחשבונות שונים. אני לא מחפש לפרסם כי יש מספיק כאלו שיקחו סקריפט שאעלה כדי להשתמש בו למטרות.. לא נחמדות.

      כמדומני שיש כל מיני אתרים שיש בהם את הסקריפטים האלו שאתה יכול להוריד

סגור לתגובות.