Téma: Tárhely szolgáltatók és szolgáltatások

karesz76 eredeti hozzászólása

Az email figyelmeztetés, az semmiféle védelmet nem jelent!
Attól hogy valakit figyelmeztetek, valamire, az nem igazán védi meg.
A STOP tábla is figyelmeztetés, este a híradóban még is minden nap azt hallom, hogy nem adta meg az elsőbbséget és ezért meghalt 1-2 ember.
És emellett hány és hány eset történik az országban ami a híradóban nem szerepel.
Az ember feltételezné, hogy ha valaki látja a híradóban, milyen veszélyes is ez, oda fog figyelni, és meg fogja adni az belsőséget.
De mégis minden nap megtörténik.
Ráadásul legtöbb esetben az a tapasztalat, hogy a tárhely bérlőnek gőze sincs arról mi van a tárhelyén, mivel az oldalt ismerős haver, vagy esetleg másik cég csinálta akivel a szolgáltató nem áll kapcsolatban.
Továbbá sok esetben a frissítés nagy munkával jár. pl joomla 1.5 ről bármire migrálni, nem kis munka. A legtöbb ugyfél még ha tisztában is van a veszélyekkel, nem lép semmit, mert nincs rá ideje.
Valamint sokan azt hiszik, hogy mivel az ő oldalukon olyan tartalom van ami alig pár embert érdekel, (pl: képes beszámoló, hogy kötök pulóvert) biztonságban van az oldaluk, mivel ki akarna feltörni egy ilyen oldalt.

Ezzel nem teljesen értek egyet. Az email figyelmeztetés önmagában valóbban nem védd - ahogy a hasonlatodnál maradva a STOP tábla sem -, viszont figyelmezteti a felhasználót - aki esetleg valóbban nem szakmabeli, így nem is tud a webtárhelyén futó program esetleges sebezhetőségéről, de tudja továbbítani a levelet a webmesterének -, hogy gond lehet a weboldalával - ahogy a STOP tábla is figyelmeztet a megállási kötelezettségre. Igen, bizonyosan lesz aki olvasatlanul törli majd ezt a figyelmeztetést, de remélhetőleg egy jól megfogalmazott levél azért elgondolkodtatja, és cselekvésre is ösztönzi a felhasználót; mint ahogy a STOP tábla sem hasztalan pusztán azért, mert néhányan nem veszik figyelembe, ettől még a többség figyelembe veszi.

Ezen felül egy jól megfogalmazott levélben lehetőséged van elmagyarázni az ügyfélnek, hogy mi módon működnek ezek a weboldal feltörések, hogy ezeket nagyrészt robot programok végzik tömegesen, így nincs jelentősége, mennyire látogatott az oldala, vagy mi a témája - mért nem jó megközelítés az "én oldalamat miért törnék fel, nincs rajta semmi érdekes" hozzáállás. Lehetőséged van kicsit "nevelni", okítani a felhasználóidat, amit mindenképp érdemes is megtenni egy biztonságtudatos szolgáltatónak.

karesz76 eredeti hozzászólása

A második védelem szintén számomra a baromság kategória.
Pár hozzászólással ezelőtt pont ez volt a téma hogy a szolgáltatónak joga van e belepiszkálni a fájlokba. Ahogy néztem a legtöbb vélemény szerint NINCS joga!!!
És ezzel én is egyetértek, kivétel talán az az eset amikor valós veszélyt kell elhárítani, pl. spam küldést észlel az ember. Ilyenkor két lehetőség lenne, vagy lekapcsolom a domaint, amíg az ügyfél el nem távolítja az adott fájlt.
De ez ugye az ügyfélnek sem jó, főleg ha nyaralni van a fejlesztő. vagy a szolgáltató megvizsgálja az adott fájlt és eltávolítja, esetleg kivizsgálja hogy került fel és jelzi az ügyfélnek, hogy az FTP vagy SMTP jelszónak nem igazán okés az 12345
például: nagyon király lenne ha egy fejlesztő több órai munkát beleöl, abba hogy egy egyedi dolgot belehegesszen az oldalba, feltölti, lefekszik aludni, majd 24 óra múlva azt veszi észre, hogy 8 órás munkája veszett kárba mert a szolgáltató felülírta a régi fájlokat. és ugye a fejlesztő semmi emailt nem kapott. Az oldal tulajdonosa meg vagy nem nézte, vagy mivel nem értette miről van szó törölte a levelet.
Kétlem, hogy ez járható megoldás lenne. Jogilag kimeríti a jogtalan behatolás fogalmát, amit 1-5 évig terjedő börtönnel is díjazhatnak.
Ezt elég jól megtanultam, hogy a törvényt nem igazán érdekli, hogy mit miért csináltál, a lényeg a végeredmény. Én pl: majdnem egy ügyfelünk, joomlás oldalának a költöztetése miatt ütöttem meg a bokámat.
De ebbe most nem mennék bele nem ide tartozik. A lényeg, a végén felmentettek. Mondjuk valószínű én lettem volna az első ember a világon akit joomla oldal költöztetése miatt csuknak le

Ebből maximum annyi a járható út, hogy a fájlok változásáról emailt küld a rendszer. De azért ez nem kis erőforrást emésztene fel.

Mint írtam, szerintem sem tökéletes megoldás a jóváhagyás nélkül megváltozott index.php esetén a mentésből való automatikus visszaállás, hisz ez nem javítja meg azt a programhibát, amit kihasználva jogosulatlanul tudták módosítani a weboldal tartalmát. Itt a jogosulatlan módosítás nem a szolgáltató részéről történik, hanem a cracker részéről, ez más mint amiről a korábbi hozzászólások szóltak a Dotroll kapcsán, ott a szolgáltató átírta a felhasználó állományát, megváltoztatta annak tartalmát, ill. a felhasználó pár napos határidővel nem tiltakozott ez ellen, azt jóváhagyásnak vette úgy, hogy erre az ászf külön nem hatalmazta fel. Itt viszont a jogosulatlan módosítás esetében a saját korábbi mentett állapot kerül visszaállításra, ez benne is van az aszf-ben, a felhasználó elfogadja ezt mikor szerződik, így ez azért nem ugyan az a kategória, nem szerencsés párhuzamot vonni a kettő között szerintem.

Általában egy éles weboldalon nem gyakran változik az index.php, ha pedig a felhasználó frissíti a rendszerét, akkor nem nagy elvárás szerintem, hogy ezt jóvá is hagyja, különösen, mivel ez egy ismert védelmi megoldás az adott szolgáltató részéről, amit a felhasználóval is ismertetett mikor előfizetett a szolgáltatására.

Nem tudom mennyire életszerű, hogy egy fejlesztő a felhasználó tudta nélkül módosítja az éles weboldalt, majd egy nap múlva veszi észre, hogy az visszaállt a korábbi változatra, és még mentése sincs az általa korábban elvégzett módosított oldalról, hisz ha van, akkor mégsem ment kárba a munkája, bármikor újra feltöltheti, csak most már nem felejti majd el a változást jóváhagyni.

Abban igazad van, hogy az is lehetne egy alternatíva a szolgáltató részéről, hogy ha úgy módosul az index.php, hogy ezt nem igazolja vissza a felhasználó az email-ben küldött leírásnak megfelelően, felfüggeszti a tárhelyet. De jelen konkrét esetben nem ezt alkalmazta az adott konkrét szolgáltató. SPAM küldés esetében a szolgáltatók ÁSZF-je valamilyen módon, vagy konkrétan a SPAM küldést tiltó klauzában, vagy általánosabban, a szolgáltató hálózatát ill. más ügyfeleket veszélyeztető tevékenység tiltása kapcsán jogot formál ilyen esetben a szolgáltatás korlátozására. Igazából itt mindig az adott szolgáltató és adott felhasználó közti szerződés ami mérvadó.

Az általad említett feltört oldalon keresztüli SPAM küldés esetében eltúlzottnak tartom a domain lekapcsolását - bár nyilván jogos lenne -, mivel a levél küldését elég egyszerűen le lehet önmagában is tiltani, php-ban mail fv. tiltásával, ill. az adott felhasználó/tárhely kimenő hálózati kapcsolatainak korlátozásával - 25-ös TCP port felé induló kérések tiltásával -, esetleg az auth. smtp szolgáltatás adott felhasználó számára történő felfüggesztésével, így könnyen kezelhető a gond, és így a tárhely többi funkciója továbbra is elérhető marad. Az, hogy a domain felfüggesztése helyett a szolgáltató eltávolítja a levél küldésért felelős fájl-t, ez már inkább jogosulatlan módosítás a felhasználó állományiban, ezt semmiképp sem tartom jogosnak, hacsak erre külön nem tér ki az ászf. Az pedig, hogy ezzel együtt jelzi az ügyélnek a gondot, az persze jó megoldás, bár pont te írtad az előző megoldásra, hogy "attól hogy valakit figyelmeztetek, valamire, az nem igazán védi meg", így ha azt nem tartod jó megoldásnak, hogy a szolgáltató előre figyelmezte a felhasználót, ha sebezhető CMS-t észlel a felhasználó tárhelyén, mért jó ha utólag ír neki, hogy SPAM-et küldtek a tárhelyén keresztül, de semmi ok a pánikra, letörölte a gyanús állományokat, de azért változtasson jelszót (ami megfelelő jelszó policy alkalmazása esetén eleve nem lehet triviális 12345, persze a lementett és különféle kémprogramok által összeszedett jelszavak ellen ez nem védd, de a brute-force ellen azért hatásos védelem)

karesz76 eredeti hozzászólása

A mediacenter megoldása.
nem rossz.
Nálunk is van ilyen, lehet én is kiírom az oldalunkra, mekkora király fejlesztéseket csinálunk.
Letöltöttünk egy apache modult. őőő, izé azt akartam írni, mi is több száz órai munkával fejlesztettük ki.
királyul be lehet benne állítani, bizonyos limiteket pl: adott időn belül hány oldal letöltés történik egy domain alól.
vagy a szerveren belül hány külön domaint nyitnak meg.
az oldal letöltések között mennyi idő telik el...
vagy adott idő alatt mennyi tartalom letöltés történik: pl: képek letöltése....

Ezek alapján azért be lehet állítgatni, mi az ami még beleférhet egy normál használatba és mi az ami már valószínű robot tevékenység.
Pl: elég valószínűtlen, hogy valaki 3 másodperc alatt 6 oldalt nyit meg. Vagy a szerveren mondjuk 3 másodperc alatt 3 különböző domain nevet is megnyitna. Kivétel Superman, de neki ismerjük az IP jét.
Ami e fölött van az banolva lesz.
be lehet állítani, hogy a banolás mennyi ideig tartson.
és persze van benne Whitelist, hogy a jó robotok ne legyenek banolva és mint említettem, superman is benne van

Te ismered részleteiben a MediaCenter megoldását? Mert ezt a "Nálunk is van ilyen, lehet én is kiírom az oldalunkra, mekkora király fejlesztéseket csinálunk. Letöltöttünk egy apache modult. őőő, izé azt akartam írni, mi is több száz órai munkával fejlesztettük ki" megjegyzésed nem igazán értem, miből gondolod, hogy valótlant állítanak?

Én csak a weboldalukon megjelent írás alapján találgattam, hogy ez valami IDS alapú rendszer lehet, több, mint egy sima apache modul, legalábbis amiket írnak: "Fejlesztettünk egy védelmi rendszert", "a védelmi mechanizmus képes még a régóta nem frissített, egyértelműen sebezhető keretrendszereket is megvédeni", "A rendszer hatékonyságát jól jellemzi, hogy az indulás óta méréseink szerint a weboldalakat ért incidensek 90%-kal (!) csökkentek a MediaCenter szolgáltatási körében, aktív védelem mellett", "felhasználói visszajelzések alapján folyamatosan fejlesztjük"; ezek alapján én valami IDS alapú saját fejlesztésre gondolok, egy mod_security vagy más általános célú apache modul azért nem ennyire hatékony tudomásom szerint, ill. mindenhol saját fejlesztést írnak, és a MediaCenternél megvan ehhez a szükséges fejlesztői és anyagi erőforrás is, hogy ezt meg is valósítsák; elég megnézni a cégadataikat ill. a weboldalukon is elérhető általuk kezelt domain és tárhely számot.

karesz76 eredeti hozzászólása

A CloudFlare, ha jól tudom, olyan mint egy nagy cache, lementi az oldalakat statikus tartalomként, és ezt bizonyos időközönként befrissíti az igazi oldalról.
Ingyenesen is használható bizonyos funkciója. Pár ügyfélnek be is állítottuk, de nem igazán szerették, mivel pl az oldalon elvégzett módosítások mondjuk csak 1 óra múlva jelentek meg.
Igaz, hogy ez így nagyon jó védelem mivel gyakorlatilag nem kerül kapcsolatba a hacker és a valódi oldal. De ez azért nem az a szolgáltatás lesz amit az évi 5-10.e Ft os díj mellé meg fog kapni az ember.
De bizonyos oldalaknál, ahol fontos a gyakori frissítés pl: fórumoknál, időjárás oldalaknál, webshopnál, szinte használhatatlan.
Fizetősben lehet jobban használható, de erre egy ügyfél sem akart pénzt áldozni.

Természetesen a dinamikus adatokat direktben az eredeti szerverről kéri le - mint minden normálisan működő cache -, csak a statikus tartalmak kiszolgálása történik a saját cache-ből:

"CloudFlare caches static resources including JavaScript, CSS and images. Your dynamic content continues to be served direct from your web server automatically."

De amire én konkrétan gondoltam, hogy képes védelmet adni az elavult keretrendszerek számára pl. azáltal, hogy a SQL injection támadások ellen védelmet nyújt, uttánajárva sajnos ez a funkció csak a fizetős csomagban elérhető:

"Web application firewall (WAF)
With no hardware to install, you can stop real-time attacks like SQL injection, cross-site scripting and comment spam with CloudFlare’s cloud-based web application firewall, which stops the malicious attack before it can cause damage to your website."

karesz76 eredeti hozzászólása

Igazi védelem szerintem nincs! Sőt ez biztos igy van, hiszen, a nagy bankok és kormányhivatalos rendszerét is feltörik, ahol nem 2 rendszergazda dolgozik, és a költségvetés is picit nagyobb erre a célra.
Főleg ha a hacker tudja mit keressen akkor nem kell próbálkoznia hanem céltudatosan, csak azt az egy hibát keresi. joomla 1.5 nél ma már ilyet nem nehéz találni.
A hackerek is folyamatosan fejlődnek, ma már nagyon nehéz kiszűrni az IP-ket.
Ma már nem ész-nélkül támadnak egy oldalt, hanem több oldalt támadnak egyszerre, viszont nagyobb idő intervalumokat állítanak be egy egy próbálkozás között, már ami adott IP címre irányul, ezáltal már már sima emberi tevékenységnek is tűnhet.
ráadásul, nem egy IP címet használnak, hanem 10-20 at is, így még ritkább nak tűnik a próbálkozások száma.
Szóval a mediacenter védelme sem fogja kiszűrni, ezeket a próbálkozásokat, ez csak a hülye agyatlan barmok ellen véd.

Nem azt mondom, hogy semmit nem ér a védelem, de aki a szolgáltatótól várja azt hogy a elavult, hibáktól hemzsegő oldalát megvédi mindenféle hacker tevékenységtől, az hatalmas tévedésben van.
bizonyos tevékenységeket ki lehet szűrni, de ez csak a próbálkozások 30-60% át jelenti, a maradék 70-40% még mindig ugyanúgy fenyegeti az oldalt.

Kicsit furcsa számomra ezt olvasni egy szolgáltatótól. A megtámadott, feltört oldalak nem csak a felhasználó számára okoznak fejfájást, a szolgáltató számára is legalább akkora gondot jelentenek, ezért is fontos, hogy megpróbáljanak a szolgáltatók is tenni a biztonság növeléséért. Ha a próbálkozások 30-60%-át sikerül csupán megakadályozni, már az is nagy eredmény, de ha ez 90% mint ahogy azt a MediaCenter írja a saját megoldásáról, az már nagyon is jó teljesítmény. Persze, lehet mondani, hogy a támadások 10%-a még így is is célt ér, de az én véleményem az, hogy egy ilyen eredmény már jelentős siker, és nagyban megkönnyítheti mind a felhasználók, mind a szolgáltató életét; de ha csak olyan megoldást sikerül alkalmazni, ami a támadások 1%-át akadályozza meg, már azt is érdemes bevezetni, hisz az is növeli a biztonságot. Legalábbis remélem, hogy nem csak én gondolom így, hanem a tárhelyszolgáltatók többsége is osztja ezen meggyőződésem, és igenis mindent megtesznek a saját és felhasználóik biztonságának növelése érdekében.

Kedves rendszergazda,

Köszönöm értékes hozzászólásod, valóban elment az a topic néhány szolgáltató lejáratására. Persze vannak hibái a Médiacenternek, kinek nincsenek nekem jó a tapasztalatom velük, mint ügyfél, illetve a Tarhely.eu az akik szinten korrektek, és segitokeszek.Mind a kettőt ajánlani tudom. Sajnos Magyarországon az emberek a rosszat sokkal hamarabb látják, sőt felfújják. Pedig szerintem ilyen témában(tárhely, weblap, honlap szerkesztés, használat) fontos az együttműködés a szolgáltató és ügyfél között. Ha ez meg van mind a két oldalról, hosszútávon lehet előre haladni. I think

Nem akartam új témát indítani, így előre is elnézést kérek rendszergazdától, ha OFF a téma.

Több, egymástól független tárhelyen lévő oldalam nem elérhető hajnal óta. Sőt, az Entity is az volt. Tud valaki valamiről?

Nézd meg mit használsz DNS szervernek, aztán ellenőrizd azt. Vagy érdeklődj az ISP-dnél.

Szerintem tárhely szolgáltatónál van a gond. Nekem sem mennek az oldalak. Írtam nekik e-mail. A sajátjukat megcsinálták de az enyém még mindig nem megy...

Igen, erről lehet szó (252525252525)

Gergő(ke) eredeti hozzászólása

A legtöbb tárhely szolgáltató nem direktbe kapcsolódik a gerincre, hanem köztes szolgáltatókon át. Ha valahol fentebb hálózati probléma van, akkor előfordul, hogy az érinti az alsóbb cégeket is.

Nekem is elment pár weblapom egy kis időre, de én a Megacp-nél vagyok. Azt mondták a kérdésemre, hogy támadás érte őket, és a DNS szerver leállt. 1 nap volt az egész, ma reggel ellenőriztem, és már minden rendben. Ez a magyarországi szerveren lévő lapokat érintette nálam, így valószínűleg a fő szolgáltatót nyúzta valaki.