Teška vremena….

Curenje passworda i iframe napadi su postali naša svakodnevnica.  Našli  smo se u situaciji da imamo 5 velikih i nekoliko malih upada dnevno na siteove korisnika sa urednim ulogiravanjem FTP-om od “prve”. Jedan pokušaj i unutra je.  Botneti iz cijelog svijeta skidaju php i html fajlove, lijepe iframeove ili javascript, te uploadaju nazad.

Prvi layer zaštite koji smo uveli prije tjedan dana, tj. skeniranje svih fajlova koje korisnici uploadaju preko ftp-a ili php-a je samo flaster, ne pomaže baš nešto jer napade samo detektira, no šteta se radi i dalje, fajlove i dalje čistimo na ruke, a jedni je plus sto sada te probleme uspjevamo detektirati prije nego što eskaliraju, tj. prije nego sto Google-ov safe browsing engine ne napipa i blacklista site.

Od danas uvodimo još jedan layer zaštite, zatvaramo portove za ftp za pristup svim ip adresama izvan  RH.  Na žalost, nemamo baš drugog izbora, problemi su eskalirali do takvih granica, da se dovodimo u situaciju da nekim korisnicima više ne  dajemo pasword, jer nakon jednog dana sto dobiju password, siteovi budu zaraženi ponovo.

Blokiranjem pristupa ćemo dobiti dodatni layer zaštite i onemogućavanje trenutnih vektora napada; Sada ćemo moći suziti range ip-ova na domaće providere i moći bar trejsati korisnike koji su djelovi botnet mreže i njihova zaražena računala.

Naravno, biti ce problema sa korisnicima koji se spajaju sa javnih ip-eva izvan RH, no ti su u manjini, pa neće biti problem dodati exceptione u firewall ruleove.

Sve web stranice će se vidjeti bez problema, mailovi će normalno funkcionirati (uključujući i webmail), no nećete moći  pristupati serveru FTP-om ukoliko se nalazite izvan Hrvatske.