WN - Hackat webbhotell

Citat:

Originally posted by HenrikAI@May 4 2005, 21:29
Ett hyfsat stort svenskt webbhotell blev precis hackat av några pakistanier. Inte så farligt i det här fallet kanske, men man börjar bli lite orolig i största allmänhet eftersom jag inte vill att uppgifter om mina användare ska komma på vift. Så några funderingar.

- Hur vanligt är det egentligen med intrång och intrångsförsök? (Jag förstår att webbhotellen kanske själva inte vill dela med sig av sådana uppgifter..)

- Kan jag göra något för att öka säkerheten för mina filer och min databas och ändå ha dem hos ett vanligt webbhotell?

Jag kan inte tala för webbhotellen eftersom jag själv inte bedriver sådana men jag kan säga följande: Så fort du har en dator kopplad till Internet så utsätts du för intrångsförsök. Det kan handla allt från ett varannan dag till 20-100 tals varje dag.

Hur de ser ut beror ju naturligtvis på vilket OS maskinen kör. Jag har enbart erfarenhet av UNIX-maskiner och vad man kan se är att de vanligaste är "brute force"-lösenordsgissare.

Hur framgångsrika dessa intrångsförsök är, och hur lätt man upptäcker dem, beror på vilket säkerhetspolicy/säkerhetsmedvetande företaget har.

Jag är tyvärr rädd att säga, att de flesta webbhotellen inte direkt tillfredställer jätterigorösa krav. En del har "tillräckliga" säkerhetsnivår medans andra har direkt undermåliga.

Ett exempel är ett litet webbhotell som lät sina kunder köra PHP, men körde Apache under en gemensam användare för alla sina kunder, utan safe mode och med register_globals. Det var barnlek att hitta databaslösenord till alla deras kunder och ha fri inblick i databaserna. Nå, de större webbhotellen är ändå lite mer säkerhetsmedvetna än så.

"Hackers" kan göra olika typer av skada. Jag skulle vilja klassificera de i 3 sorter:

1. Scriptkiddies och unga människor som vill synas. Dessa "defacar" en site, många gånger utan att ens kunna logga in på maskinen.

2. Människor som behöver din maskin för att dölja sin verksamhet. Spamavsändning, lagring av olagligt material osv osv.

3. Människor som vill komma in din maskin för att komma åt dina företagshemligheter.

Den första typen är tämligen lätt att upptäcka. Plötsligt ser du en naken rumpa istället för ditt företagslogo, eller så står det "J3zzuS w4z h3r3" istället för "Välkommen till Mekaniska AB" på din hemsida.

Den andra och tredje typen är lömsk. Dels så sätts det STORA krav på att administratören gör noggranna övervakningar av loggar. Gärna olika typer av IDS-er installerade. Webbhotellen kan automatisera det här en del, men för att uppnå MYCKET hög säkerhet krävs manuellt arbete. Speciellt eftersom man inte kan installera ett IDS och sen ta semester och tro att man har gjort sitt.

Så vad man bör göra är att ha god relation med webbhotellet som tar hand om servern och se till att man har god koll på vilken säkerhetspolicy de har.

Det är ganska onödigt att säga att man inte vill lägga ut hemliga data på ett hotell som kostar 6-20 kr/månad.

Själv brukar jag ha egna idér om hur man bör säkerhetskolla sina maskiner. Erfarenheten har visat att en hel del saker kan visa falska resultat när man väl blivit utsatt för inbrott. Som tur var fungerade mina metoder.

/Zoran