[Clarence]

Gällande shared hosting tycker jag det är viktigt att veta att nästan alla hackade sidor sker genom:
- Dåligt uppdaterade gratis och öppna programvaror (fler som laddar ner och letar sårbarheter när programvaran är gratis och öppen).
- Dåligt kodade sidor. Framförallt pga brister vid hantering av uppladdade filer samt annan indata.
- Osäkra admin-lösenord. Standard-login och standard-URL. Följt av medvetet friare admin-interface.

För VPS är det svårare att veta fördelningen tycker jag då säkerligen många av de som drabbas av andra typer av intrång sällan vet vad som hände.

[Danielos]

Citat:

Ursprungligen postat av Clarence

Gällande shared hosting tycker jag det är viktigt att veta att nästan alla hackade sidor sker genom:
- Dåligt uppdaterade gratis och öppna programvaror (fler som laddar ner och letar sårbarheter när programvaran är gratis och öppen).
- Dåligt kodade sidor. Framförallt pga brister vid hantering av uppladdade filer samt annan indata.

Jo, men de där problemen har ju bara alla webbhotell som inte kör modsecurity2 med bra config, men tyvärr kör de flesta webbhotell utan modsecurity2. Sedan finns andra tekniker att skärma av konton på shared hosting och det är att varje webbkonto har sin egen chrootad php process.

[Clarence]

Citat:

Ursprungligen postat av danielos

Jo, men de där problemen har ju bara alla webbhotell som inte kör modsecurity2 med bra config, men tyvärr kör de flesta webbhotell utan modsecurity2. Sedan finns andra tekniker att skärma av konton på shared hosting och det är att varje webbkonto har sin egen chrootad php process.

Ett problem är väl att webbhotell återkommande har fått anstormningar av funktioner i färdig programvara som inte fungerar med mod_security. T ex swfupload, ajax-funktioner i WP-admin osv. Funktionerna i sig är ibland tveksamt skrivna, men ofta helt säkra i sig vilket gör att många rekommenderas att stänga av någon/alla regler för en fil eller katalog. Att felsöka sådant åt användare kan jag inte tänka mig är vidare roligt.

För VPS tycker jag mig se betydligt större del som använder alternativa (lightweight) webb- och applikationsservrar för vilket mod_security inte finns.

Vidare finns det väl gott om sårbarheter som blockerats i mod security först efter ett stort utbrott av hackade sajter och ofta för de största OS-mjukvarorna patchas dessa i mjukvaran innan mod_security reglerna är uppdaterade.

Vad jag menar är inte att mod_security inte är nyttigt. Men att se det som alternativ till säkra programvaror ger en falsk trygghet.

Att skärma av konton i shared hosting är ju så klart nyttigt. Men det hjälper ju inte TS i att undvika att bli hackad så länge han inte kan ge instruktioner åt sitt webbhotell.

[Danielos]

Citat:

Ursprungligen postat av Clarence

Ett problem är väl att webbhotell återkommande har fått anstormningar av funktioner i färdig programvara som inte fungerar med mod_security. T ex swfupload, ajax-funktioner i WP-admin osv. Funktionerna i sig är ibland tveksamt skrivna, men ofta helt säkra i sig vilket gör att många rekommenderas att stänga av någon/alla regler för en fil eller katalog. Att felsöka sådant åt användare kan jag inte tänka mig är vidare roligt.

Håller med, det är därför man bör ha ett system där varje konto kan ändra mod_security inställningar

Citat:

Ursprungligen postat av Clarence

Vidare finns det väl gott om sårbarheter som blockerats i mod security först efter ett stort utbrott av hackade sajter och ofta för de största OS-mjukvarorna patchas dessa i mjukvaran innan mod_security reglerna är uppdaterade.

Så är det, de flesta glömmer bort att patcha kernel med grsecurity och kompilera den.

Citat:

Ursprungligen postat av Clarence

Att skärma av konton i shared hosting är ju så klart nyttigt. Men det hjälper ju inte TS i att undvika att bli hackad så länge han inte kan ge instruktioner åt sitt webbhotell.

Det är sant, det bästa och enklaste är att hitta ett webbhotell som kan tillhandahålla ovan samt som kan ta emot instruktioner.