Home > Linux, Razno, Sigurnost > Teška vremena….

Teška vremena….

Curenje passworda i iframe napadi su postali naša svakodnevnica.  Našli  smo se u situaciji da imamo 5 velikih i nekoliko malih upada dnevno na siteove korisnika sa urednim ulogiravanjem FTP-om od “prve”. Jedan pokušaj i unutra je.  Botneti iz cijelog svijeta skidaju php i html fajlove, lijepe iframeove ili javascript, te uploadaju nazad.

Prvi layer zaštite koji smo uveli prije tjedan dana, tj. skeniranje svih fajlova koje korisnici uploadaju preko ftp-a ili php-a je samo flaster, ne pomaže baš nešto jer napade samo detektira, no šteta se radi i dalje, fajlove i dalje čistimo na ruke, a jedni je plus sto sada te probleme uspjevamo detektirati prije nego što eskaliraju, tj. prije nego sto Google-ov safe browsing engine ne napipa i blacklista site.

Od danas uvodimo još jedan layer zaštite, zatvaramo portove za ftp za pristup svim ip adresama izvan  RH.  Na žalost, nemamo baš drugog izbora, problemi su eskalirali do takvih granica, da se dovodimo u situaciju da nekim korisnicima više ne  dajemo pasword, jer nakon jednog dana sto dobiju password, siteovi budu zaraženi ponovo.

Blokiranjem pristupa ćemo dobiti dodatni layer zaštite i onemogućavanje trenutnih vektora napada; Sada ćemo moći suziti range ip-ova na domaće providere i moći bar trejsati korisnike koji su djelovi botnet mreže i njihova zaražena računala.

Naravno, biti ce problema sa korisnicima koji se spajaju sa javnih ip-eva izvan RH, no ti su u manjini, pa neće biti problem dodati exceptione u firewall ruleove.

Sve web stranice će se vidjeti bez problema, mailovi će normalno funkcionirati (uključujući i webmail), no nećete moći  pristupati serveru FTP-om ukoliko se nalazite izvan Hrvatske.

  1. October 27th, 2009 at 15:34 | #1

    zanimljivo je pitanje kako botneti uopće dolaze do passworda i kako se zaštititi sa te strane ? dali ulaze u korisnikovo računalo i traže ftp pass ili ?

  2. October 27th, 2009 at 16:40 | #2

    Najcesce zbog spywarea na korisnikovom racunalu koji dolazi kroz iframe infected stranice. Dakle trebalo bi drzati passworde na sigurnom (ne ih spremat u browser) tipkat ih samo na secured stranicama, lokalno ih drzati u kriptiranom obliku i naravno up to date antivirusi, firewalli i spyware alati. Ili alternativno prebacit se na linux gdje nema takvih problema 😉

  1. No trackbacks yet.