[Anders Karlsson]

Finns det några tipps på vad man ska tänka på för att undvika att ens VPS eller shared web hosting blir hackad?

[ion]

De grundläggande saker att tänka på är:

- Hålla OS uppdaterad med senaste patchar
- Folj utveckling av dina installerade applikationer och prenumerera på respektive rss strömmar gällande senaste säkerhets uppdateringar.
- Installera och konfigurera iptables, mod_security2 osv..
- Genom att konfigurera samt säkra apache2, php5 och mysql korrekt minimerar du risker att intrång via hemsidan sprider sig vidare till systemet.
- Installera logwatch så får du fina strukturerade loggfiler mailade till dig.
- Minimera tjänster som körs i bakgrunden.
- Separera webserver och mysql server.
- Genom att stänga av root inloggning via ssh samt att aktivera keyauth. slipper du många bruteforce attacker. Lägg på portknocking så har du en rätt så bra start.

Ovan skriver jag lite allmänt och går ej in på detaljer.

Att göra en system säker kan vara ganska enkelt men även ganska avancerat beroende hur mycket kunskap du har, tänk på att så fort servern är ansluten till internet så är den aldrig säker.

[KristianE]

För att inte glömma något av det viktigaste:

* Starka lösenord på precis allt. Ett starkt lösenord i dagens värld bör vara
12+ tecken långt, innehålla specialtecken såsom ,.#"€%/)"!(=, gärna åäö (om
du aldrig behöver använda annat än svenskt tangentbord) och aldrig någon gång
använts på någon annan plats.

* Lösenordet får inte innehålla något ord, årtal eller annat logiskt nummer (666).
* En siffra, bokstav eller tecken bör inte användas mer än en gång i lösenordet.

Detta gäller:
* root
* Samtliga konton med admin/root-rättigheter
* admin-konto i ev. CMS
* Alla övriga konton som på något vis har rättighet att utföra något på din server
(t.ex. kunna logga in via SSH).

Givetvis ska ovan användare inte dela på samma lösenord - hur starkt det
än är.

Lösenordet ska vara så svårt att du är tvungen att skriva ner det. Förvara
lappen på en säker plats. Plånboken, t.ex, brukar man alltid bära med sig...
Använd här sunt förnuft. Mobilen kan vara bra om du kan maskera lösenorden
på något bra sätt. Räkna med att du kommer tappa mobilen och plånboken
och behandla lösenorden därefter. Det kan också vara bra att spara lösenorden
på ytterligare en säker plats - dokumentationspärm, kanske?

* Installera Fail2Ban för att hindra bruteforce-attacker mot SSH.

* Installera inte telnet och undvik okrypterad FTP. Försök att alltid arbeta
över krypterad förbindelse vid administration. Detta gäller även CMS:ens
admin-interface.

[Clarence]

Gällande shared hosting tycker jag det är viktigt att veta att nästan alla hackade sidor sker genom:
- Dåligt uppdaterade gratis och öppna programvaror (fler som laddar ner och letar sårbarheter när programvaran är gratis och öppen).
- Dåligt kodade sidor. Framförallt pga brister vid hantering av uppladdade filer samt annan indata.
- Osäkra admin-lösenord. Standard-login och standard-URL. Följt av medvetet friare admin-interface.

För VPS är det svårare att veta fördelningen tycker jag då säkerligen många av de som drabbas av andra typer av intrång sällan vet vad som hände.

[Danielos]

Citat:

Ursprungligen postat av Clarence

Gällande shared hosting tycker jag det är viktigt att veta att nästan alla hackade sidor sker genom:
- Dåligt uppdaterade gratis och öppna programvaror (fler som laddar ner och letar sårbarheter när programvaran är gratis och öppen).
- Dåligt kodade sidor. Framförallt pga brister vid hantering av uppladdade filer samt annan indata.

Jo, men de där problemen har ju bara alla webbhotell som inte kör modsecurity2 med bra config, men tyvärr kör de flesta webbhotell utan modsecurity2. Sedan finns andra tekniker att skärma av konton på shared hosting och det är att varje webbkonto har sin egen chrootad php process.

[tartareandesire]

Jag anser att man ALDRIG bör använda åäö eller andra udda tecken i lösenordet. Det är sällan man vet med 100% säkerhet att man inte måste använda det i lägen där man inte har tillgång till dessa tecken.

En sak till, om samtliga gör "rätt" och följer de lösenordsregler som KristianE eller någon annan ställt upp så blir det tvärtom lättare att knäcka lösenordet än om inga regler följs

[KristianE]

Citat:

Ursprungligen postat av tartareandesire

Jag anser att man ALDRIG bör använda åäö eller andra udda tecken i lösenordet. Det är sällan man vet med 100% säkerhet att man inte måste använda det i lägen där man inte har tillgång till dessa tecken.

Åäö kan jag hålla med dig men "vanliga" symboler som !"#€%&/(()==? finns alltid
tillgängliga. Annars sitter man på en riktigt udda terminal..

Citat:

En sak till, om samtliga gör "rätt" och följer de lösenordsregler som KristianE eller någon annan ställt upp så blir det tvärtom lättare att knäcka lösenordet än om inga regler följs

Så kan man också se det! oO

[Clarence]

Citat:

Ursprungligen postat av danielos

Jo, men de där problemen har ju bara alla webbhotell som inte kör modsecurity2 med bra config, men tyvärr kör de flesta webbhotell utan modsecurity2. Sedan finns andra tekniker att skärma av konton på shared hosting och det är att varje webbkonto har sin egen chrootad php process.

Ett problem är väl att webbhotell återkommande har fått anstormningar av funktioner i färdig programvara som inte fungerar med mod_security. T ex swfupload, ajax-funktioner i WP-admin osv. Funktionerna i sig är ibland tveksamt skrivna, men ofta helt säkra i sig vilket gör att många rekommenderas att stänga av någon/alla regler för en fil eller katalog. Att felsöka sådant åt användare kan jag inte tänka mig är vidare roligt.

För VPS tycker jag mig se betydligt större del som använder alternativa (lightweight) webb- och applikationsservrar för vilket mod_security inte finns.

Vidare finns det väl gott om sårbarheter som blockerats i mod security först efter ett stort utbrott av hackade sajter och ofta för de största OS-mjukvarorna patchas dessa i mjukvaran innan mod_security reglerna är uppdaterade.

Vad jag menar är inte att mod_security inte är nyttigt. Men att se det som alternativ till säkra programvaror ger en falsk trygghet.

Att skärma av konton i shared hosting är ju så klart nyttigt. Men det hjälper ju inte TS i att undvika att bli hackad så länge han inte kan ge instruktioner åt sitt webbhotell.

[SimonP]

Av de hackade sidor som jag undersökt & fixat så är de klart vanligaste felen:
1. Dålig kontroll av indata (GET, POST, COOKIE, REQUEST etc.) vilket i sin tur leder till bl.a. SQL-injektioner eller XSS/RFI/LFI-attacker.
2. Dåliga lösenord eller återanvänding av samma lösenord på andra webbplatser
3. Felkonfigurerad webbserver

[Anders Karlsson]

Citat:

Ursprungligen postat av SimonP

1. Dålig kontroll av indata (GET, POST, COOKIE, REQUEST etc.) vilket i sin tur leder till bl.a. SQL-injektioner eller XSS/RFI/LFI-attacker.
2. Dåliga lösenord eller återanvänding av samma lösenord på andra webbplatser
3. Felkonfigurerad webbserver

Någon som har tips på litteratur hur man undviker att gå i ovan nämnda fällor?