molti robot stanno effettuando la scansione per la violazione del server e molti siti Web sono esposti a questo tipo di attacchi, la maggior parte delle volte le soluzioni sono semplici:
- utilizzando una password complessa (il migliore è usare caratteri speciali come ¥, §, À, ±, ..)
- avere un sistema aggiornato (e anche CMS)
- cercando di evitare il terzo componente
- utilizzando un firewall per aprire solo la porta in ingresso utilizzata
- chiusura dell'accesso al database su Internet
- utilizzando la restrizione ip per lo strumento di amministrazione sensibile
- utilizzando uno strumento di registro
Thoose sono attacchi dei robot comuni:
forza bruta
questo è il metodo prova a trovare l'accesso di accesso inviando la richiesta di accesso e poi testando il risultato, purché il risultato non sia loggato, riprova un'altra combinazione di login / password fino a quando l'accesso non è concesso
principalmente indirizzato su internet:
- FTP (solito porta 21)
- SSH (solita porta 22)
- TS (solita porta 3389)
- Pagine di accesso al sito Web (solito porta 80 & 443)
per prevenire questo tipo di attacchi:
- (se possibile) modifica della porta predefinita
- con una password complessa
- cercando di evitare l'uso del nome di accesso di base (admin / root / administrator, ...)
- con un temporizzatore di "tentativo fallito", in quanto ci vorrà troppo tempo per trovare la combinazione perfetta di login / password.
è necessario conoscere la prima fase di questo tipo di attacchi al sito Web, è trovare quali strumenti Web si usano (nome CMS, phpmyadmin, ...), una volta trovata forza bruta può iniziare. Per l'applicazione è più semplice trovare una semplice scansione delle porte che usi lo strumento di sistema.
Oggi la maggior parte degli strumenti di sistema sono sicuri contro questo tipo di attacchi, ecco perché oggigiorno si concentrano sul sito web.
violazione della sicurezza nota
molte persone usano CMS open source, dato che è possibile sfruttare il codice open source. Tutte le violazioni vengono rilevate e protette dal dev, ma non tutti gli amministratori del server eseguono gli aggiornamenti.
Quindi una volta risolta la violazione, la violazione diventa nota al pubblico (come Heartbleed, Poodler, ...).
Ogni volta che i bot vengono aggiornati con nuove informazioni, cercando il sito esposto alla vulnerabilità.
per prevenire questo tipo di attacchi:
- con un (ben) sito autosufficiente
- aggiornare il tuo sistema (e gli strumenti web)
- non utilizza i nomi di cartella predefiniti
- lettura di documenti su come proteggere il tuo CMS, i tuoi contenuti esposti e il tuo codice
- blocco di strane richieste per prevenire attacchi prima di tentativi con la configurazione del server.
questo è un esempio delle regole di blocco per il server Apache:
<Directory />
#Block user agent empty or with suspicious values
RewriteCond %{HTTP_USER_AGENT} ^-?$|\x.*?\x|perl|python [NC,OR]
#Block default folders (optional, but prevent 404 logs)
RewriteCond %{REQUEST_URI} MyAdmin|\/pma\/|\/phpmyadmin| [NC,OR]
#Limit request to thoose requiered
RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ [OR]
#blocking request who not start by /
RewriteCond %{REQUEST_URI} !^/
#all thoose redirect to the error code you want, i like to use 406 in my case
RewriteRule .* - [END,R=406]
</Directory>
come la maggior parte dei bot sono bloccati prima di poter testare la violazione del tuo sito web.
A proposito, se si tiene d'occhio registri e annoncement di sicurezza, è possibile aggiornare le regole per aumentare la protezione dei robot.
Bonus per i programmatori
non temere i robot o gli hacker, la maggior parte delle volte ci sono solo 4 cose principali da proteggere:
- pagine di accesso
- codice di iniezione
- carica pagine
- cross server
non dimenticare i backup, può essere utile!