Útok na web

Zdravím Vás,
dnes jsem procházel error.log, který si vytváří autonomně můj webový systém. Při něm jsem zjistil, že z IP adresy 90.177.157.247 bylo na můj web zaútočeno v době mezi 18.12.2009 23:51:00 a 19.12.2009 00:32:30 celkem 6420x !!! Vypadá to, že bez jediné újmy.

Chci varovat všechny z vás, kteří používáte ke změně obsahu předávání parametrů metodou GET (přes změnu adresy webu): dávejte pozor, jak s předaným parametrem pracujete. Tyto útoky byly zaměřeny na neopatrnost při práci se soubory nebo databází. (některé z těchto útoků by pravděpodobně odchytil systém zabezpečení na straně poskytovatele, ale to jen některé)

Původně jsem chtěl pro zájemce sem přiložit soubor s výpisem útoků, ale zdejší systém mi nedovolí nahrát soubor *.txt . Pokud bude mít někdo zájem nahlédnout, jaké parametry útočníci zkouší, pak mi pošlete zprávu. (Nebo pokud by admini povolili nahrávat txt soubory, pak jej dodatečně přiložím)

Snad to zde někomu z vás pomůže. S pozdravem Ferror

Tak jsem nyní kontroloval útoky ještě v access.log a zde jich je zaznamenáno 26214. Robot prošel celý web a všude zkusil každý parametr nahrazovat svým.
Jdu se postarat o to, aby případné podobné útoky byly zavčasu zablokovány. Vzhledem k tomu, že útok probíhal ve výše uvedeném časovém rozmezí, byl server asi docela solidně zatížen

Dobrý den, od teď je možné připojovat soubory s koncovkou txt. Možná by bylo lepší, pokud byste uvedl jen pár typických řádek z logu, které můžete dát přímo do příspěvku. Není to nic neobvyklého, roboti systematicky prochází weby a zkouší php skriptům podstrkovat parametry, aby našli bezpečnostní chybu, kterou budou moci zneužít (k rozesílání spamů, k útokům na jiné počítače atd.).

O víkendu jsem se ještě trochu "šťoural" a zjistil, že se jedná a běžně stahovaný scan. V každém případě jsem web již proti podobným "obrnil" - opakovaným předáním neplatného parametru dojde k dočasnému zablokování IP adresy (max. 24hodin)

Přikládám výpis t errors.log - vymazal jsem zbytečné řádky (parametry se cyklicky opakují). Kdo má, držím palce, ať rychle vychytá chyby, o které se tyto scany pokouší

Nejlepší způsob, jak se s podobnými útoky vypořádat, je programovat skripty tak, aby podobné útoky neměly naději na úspěch. U každé vstupní proměnné předpokládejte, že může mít libovolnou hodnotu (kterou jí podstrčí útočník). Např. u proměnných, pomocí kterých se konstruují sql dotazy do databáze, je nutné escapovat obsah proměnných. U proměnných, z kterých se konstruuje název souboru, s kterým se dále nějak pracuje, je dobré udělat nějaké omezení na hodnoty proměnných, aby útočník nepodstrčil cestu ke svému souboru (php umí u většiny funkcí, které pracují s cestami k souborům, pracovat se vzdálenými soubory, tj. že cesta začiná na http://www...).

Strategie, kterou jste zvolil, nemusí být efektivní proti botnetům, které mohou měnit ip adresu při každém přístupu.

Ano, s tím souhlasím.
čtení parametrů jsem omezil už při stavbě stránek.
Toto je opatření en doplňkové

Zdravím pánové a dámy,
to co tu čtu je velice zajímavé. Bohužel se všechny stránky které jsem měla na C4 zavirovaly. Bylo to mojí chybou a zadanými hesly v FTP přes tottalcommader. HTML stránky jsem přeinstalovala a php taky. zabralo to 14 dní ale je vše v pořádku.

Nicméně mě zajímá, jak je to se zabezpečením samotného hostingu a zda existují nějaké programy, které lze nainstalovat do samotných stránek, aby byly odolné proti nezvaným hostům? Nejsem silná v programování, proto se budu muset spolehnout na takové řešení, v případě, že existuje.

Dobrý den, to není otázka jestli jste silná v programování. Jde o to, že nesmíte na FTP přistupovat ze zavirovaného počítače, jinak dojde k úniku hesel a pozdějšímu zneužití. Takže doporučuji používat antivirus. A dále doporučuji neukládat si do FTP klienta hesla ke všem webům. Protože sebelepší antivirus není dokonalý a může se stát, že i přes antivirus dojde k zavirování počítače a pokud máte ve FTP klientovi uložena všechna hesla, tak dojde k úniku všech hesel najednou.

Děkuji za odpověď. K tomuto poznání jsem si již došla cestou nejtrnitější. Spíše mě zajímala možnost posílení ochrany webu. Zda existuje nějaký miniprográmek, který by se nahrál do stránek a svojí funkcá bránil nežádoucím útokům... atd.

To není v principu možné, při přístupu na FTP se pouze manipuluje se soubory (upload, download, přejmenování) a nic se nedá spouštět, takže prográmek si tam klidně nahrát můžete, ale při FTP přístupu program stejně běžet nebude ani nejde spustit. Nejefektivnější metoda je neukládat hesla do FTP klienta + bych ještě doporučil mít u webů v administračním systému nastaveno FTP: ne (pak se nelze na FTP přihlásit ani se správným heslem). A přenastavovat FTP: ano jen na dobu aktualizace stránek.