Curenje passworda i iframe napadi su postali naša svakodnevica. Našli smo se u situaciji da imamo 5 velikih i nekoliko malih upada dnevno na siteove korisnika sa urednim ulogiravanjem FTP-om od “prve”. Jedan pokušaj i unutra je. Botneti iz cijelog svijeta skidaju php i html fajlove, lijepe iframeove ili javascript, te uploadaju nazad.
Što smo napravili za curenje passworda?
Prvi layer zaštite koji smo uveli prije tjedan dana je skeniranje svih fajlova koje korisnici uploadaju preko ftp-a ili php-a je samo flaste. Ne pomaže baš nešto jer napade samo detektira, šteta se radi i dalje, fajlove i dalje čistimo na ruke. Jedni je plus što sada te probleme uspijevamo detektirati prije nego što eskaliraju. Na taj način smo brži od Google-ovog safe browsing engine-a koji ne napipa i blacklista site.
Od danas uvodimo još jedan layer zaštite. Zatvaramo portove za ftp za pristup svim ip adresama izvan RH. Na žalost, nemamo baš drugog izbora. Problemi za curenje passworda su eskalirali do takvih granica da se dovodimo u situaciju da nekim korisnicima više ne dajemo pasword. Nakon jednog dana što dobiju password, siteovi budu zaraženi ponovo.
Blokiranjem pristupa ćemo dobiti dodatni layer zaštite i onemogućavanje trenutnih vektora napada. Sada ćemo moći suziti range ip-ova na domaće providere i moći bar trejsati korisnike koji su dijelovi botnet mreže i njihova zaražena računala.
Bit će problema s korisnicima koji se spajaju s javnih ip-eva izvan RH. Oni su u manjini, pa neće biti problem dodati exceptione u firewall ruleove.
Sve web stranice će se vidjeti bez problema, mailovi će normalno funkcionirati (uključujući i webmail). Ono što nećete moći je pristupati serveru FTP-om ako se nalazite izvan Hrvatske.
Kako pravilno čuvati passworde? O tome smo pisali nedavno u članku te ga možete pročitati na linku. Saznajte koje termine i znakove je poželjno koristiti kod kreiranja lozinke, a koje valja izbjegavati.
zanimljivo je pitanje kako botneti uopće dolaze do passworda i kako se zaštititi sa te strane ? dali ulaze u korisnikovo računalo i traže ftp pass ili ?
Najcesce zbog spywarea na korisnikovom racunalu koji dolazi kroz iframe infected stranice. Dakle trebalo bi drzati passworde na sigurnom (ne ih spremat u browser) tipkat ih samo na secured stranicama, lokalno ih drzati u kriptiranom obliku i naravno up to date antivirusi, firewalli i spyware alati. Ili alternativno prebacit se na linux gdje nema takvih problema 😉