Küzdelmünk a biztonsági kockázattal üzemeltetett honlapokkal és az RBL-listázással
2012. január 13-án körlevélben és itt, a Silihost.net oldalunkon közzétettünk egy felhívást, miszerint az egyik webszerverünk rendszeresen nemzetközi RBL-tiltólistára kerül. Időközben elképesztő bonyodalmakat okoztak a biztonsági kockázattal üzemeltetett honlapok, de maga az RBL-tiltólista is. Mint olvasóink megszokhatták, rendszeresen beszámolunk a színfalak mögött zajló – a szakmánkat unalmassá kicsit sem tévő – incidensekről is. Évek óta hangsúlyozzuk, hogy mennyire fontos a honlapok szakszerű karbantartása, különös tekintettel az ingyenes rendszerekre. Beszámoltunk a tárhely-fájlok megfertőzésével kapcsolatos küzdelmünkről is annak érdekében, hogy megértessük: nem csak abból áll az együttműködés, a szolgáltató-ügyfél kapcsolat lényege, hogy kifizet valaki x ezer Ft-ot és kész, a szolgáltató a tőle várt minőséggel szolgáltat, nekem – mint ügyfélnek – pedig semmi dolgom nincs. Ez hatalmas – tájékozatlanságból, sokszor figyelmetlenségből eredő – félreértés! Az együttműködés kölcsönös: az ügyfeleknek is vannak kötelességei, nem csak a szolgáltatóknak! A játékszabályok egyszerűek: ahhoz, hogy megfelelő minőségű szolgáltatást tudjunk biztosítani, olyan honlapokat kell kiszolgáljunk, melyek a jelenlegi ismeretek szerint nem jelentenek jelentős biztonsági kockázatot. Amennyiben viszont például egy Joomláról, egy WordPressről vagy épp egy E107 CMS-rendszerről kiderül, hogy biztonsági hibát tartalmaz a forráskód, ezen esetben a hivatalos fejlesztői ajánlásoknak megfelelően kell elvégezni a frissítéseket. Ezeket a biztonsági kiadásokat nem véletlenül publikálják a fejlesztők, s a kritikusság fokának megfelelően különféle jelölésekkel cimkézik őket, például:
The Joomla Project is pleased to announce the immediate availability of Joomla 2.5.0. This is a security release. Version 2.5.0 is is the next update from version 1.7. (Note that we have skipped from version 1.7.x to 2.5.x.) Forrás: http://www.joomla.org/announcements/release-news/5403-joomla-250-released.html
Mint a fent olvasható, a Joomla.org hivatalos fejlesztői honlap biztonsági javítást adott ki. Ugyanígy jelöli a többi CMS fejlesztői csapat is a rendszeréhez kiadott biztonsági javításokat, még egy példa a WordPresstől:
WordPress 3.3.1 Security and Maintenance Release
WordPress 3.3.1 is now available. This maintenance release fixes 15 issues with WordPress 3.3, as well as a fix for a cross-site scripting vulnerability that affected version 3.3.
Forrás: http://wordpress.org/news/2012/01/wordpress-3-3-1
Az egyik legnagyobb probléma az, hogy az ingyenesség csábításának engedve a felhasználók feltelepítik a rendszereket, viszont ezt követően semmilyen frissítést nem alkalmaznak, még akkor sem, ha az adott rendszer belső kezelőpultja erre figyelmezteti a felhasználókat! Hogy miért írunk erről ismét? Az RBL-tiltólista érdekes – ám annál szűkszavúbb – tájékoztatása miatt, idézzük:
This IP is infected with, or is NATting for a machine that is infected with, a PHP-based backdoor trojan. The most common target of this infestation is Plesk hosting environments using Qmail and WordPress or CPanel hosting environments.
A fentiek szerint tehát php-alapú féreg miatt tiltottak ki, s most jön a lényeg: az RBL-rendszer nem szolgáltat semmilyen adatot arról, hogy melyik domén/tárhely miatt tiltottak! Az érintett szerveren FreeBSD operációs rendszer fut, a rutinból elvégeztünk vírus- illetve rootkit-keresést, negatív eredménnyel. Plesket, Cpanelt nem használunk – nem a mi világunk ezek a tucat adminrendszerek. A fenti RBL-listát használja többek közt a freemail.hu is. Néhány órája a küzdelem következő lépéseként bevezettük a kimenő levelezés ellenőrzését, a mai nap folyamán pedig a Sophos-al fogjuk a tárhelyeket ellenőrizni. Ezen kívül listát fogunk készíteni az összes, nem-frissített ingyenes CMS-rendszerről, s ezeket le fogjuk kapcsolni, amennyiben a hivatalos ajánlás szerint nem történt meg a frissítésük. Néhány hónapja ezzel kapcsolatosan már kiküldtünk egy körlevelet, illetve néhány napja még egyet. Ennél többet mi nem tudunk tenni a figyelmeztetés és a tájékoztatás érdekében, így minden érintett tisztelt ügyfelünket arra kérünk, szíveskedjen mihamarább gondoskodni a rendszerfrissítésekről!
Frissítés: A CBL-esek válaszoltak – az egyik tárhelyre egy furmányos alkalmazást töltöttek fel, ami Qmailnek álcázva magát küldött ki SPAM-eket, majd dolga végeztével a kód gazdája törölte az alkalmazást. Azt a következtetést vontuk le a logok alapján, hogy FTP-jelszót loptak el a felhasználótól, ezért az SFTP-szolgáltatás terén biztonsági szigorításokat fogunk bevezetni, illetve figyelni fogjuk az elavult, nem-frissített CMS-eseket a szervereinken, és a felhasználókat értesíteni fogjuk.


Legutóbbi hozzászólások