As ameaças na Internet estão aumentando dia a dia, portanto, ter um site seguro é muito importante para todos os webmasters. Alguns ataques são:
- Man in the middle ataca falsificação de MITM
- Falsificação de DHCP
- Shellshock simples
- Roubo de Porto
- Keylogger
- Injeção SQL
Muitos sites são atacados em busca de vulnerabilidades para infectá-los com cavalos de Tróia ou vírus criptografados para executar o código-fonte do site atacado. Este tipo de vírus pode ser proveniente de código javascript, de modo que o antivírus não pode detectá-lo facilmente para criar um script em php ou outras linguagens.
A forma mais conhecida e mais usada é a criptografia de script que usa os comandos eval, base64_decode, base64 ou base64_decode. Este tipo de código é usado para gerar grandes quantidades de spam, atacar outros servidores, desabilitar um serviço de servidor, assumir o controle da web ou tornar a web inoperante.
O webmaster ou webmaster não perceberá o que acontece até que a web seja bloqueada para spam ou suspensa devido ao alto consumo de recursos. Se gerenciarmos o servidor nós mesmos, podemos perceber essa situação observando os logs do sistema e do firewall que mostrarão que algo incomum está acontecendo, especialmente se houver consumo excessivo de recursos ou e-mails massivos.
Falhas de segurança ou deficiências de programação são as causas mais frequentes de vulnerabilidade, portanto, são atacadas explorando qualquer uma das seguintes vulnerabilidades:
1. Falhas de segurança que colocam um site em risco
Injeção de código
Esta técnica consiste em enviar código através da url e que estes dados não sejam validados quando executados pela web, as injeções de sql e php mais frequentes. Encontrar sites possíveis é pesquisar na web do Google que contenham uma variável em seu url, por exemplo
inurl: article.php? id =Veremos como várias páginas da web aparecem, mudando a página e o id, encontraremos sites possivelmente vulneráveis.
Pegamos uma web aleatória da lista fornecida pelo Google e enviamos uma variável "a" no id, o resultado é mais do que claro, a web é vulnerável.
Para evitar esse problema, deve-se verificar se os dados inseridos pela url são válidos e também evitar a exibição de mensagens de erro, caso a consulta SQL falhe e deva ser enviada para uma página de erro controlada pelo administrador web.
Sessões e Cookies
Esse tipo de vulnerabilidade se deve ao uso indevido de sessões quando o usuário utiliza logs ou autenticação para acessar qualquer seção da web. Devemos ter o cuidado de criptografar as informações que armazenamos nas seções e cookies para evitar que sejam lidas e usadas por um invasor.
Cross-Site Scripting (XSS)
Este tipo de vulnerabilidade é muito frequente e como as anteriores, funciona quando um parâmetro é enviado por url e não é efetuada uma validação correta dos dados inseridos nos parâmetros.
Um exemplo simples para testar se nosso site é vulnerável a ataques XSS ou a injeção de código pode ser:
http: // www mydomain.com.com/index.php?variable=Nesse caso, o ataque mostrará apenas uma mensagem de alerta no computador do usuário que visita a web, pois só injetamos JavaScript no código html da web. Isso ocorre porque a variável não valida que você não inseriu um código incorreto.
Um exemplo onde a vulnerabilidade é vista onde uma página de login html completa pode ser injetada para substituir o formulário. E redirecioná-lo para outro servidor:
Configurações ruins ou permissões erradas: Este tipo de vulnerabilidade ocorre quando configuramos incorretamente os serviços do servidor ou quando concedemos permissões inadequadas aos usuários.
AtençãoSe for um VPS ou um servidor dedicado, devemos ter muito cuidado com os arquivos e diretórios sensíveis do sistema operacional
Tudo o que se refere ao sistema funcional do servidor deve ser o mais restrito possível, ser administrador apenas pelo usuário root. No caso de desenvolvimento web ou ter diferentes usuários, devemos atribuir permissões de acesso a diferentes recursos e os arquivos de uma aplicação web devem ter um usuário e grupo que irá acessar os diferentes serviços do servidor web.
2. Ferramentas de detecção
VirusTotal
É uma ferramenta de análise online fornecida pela Google, que inspeciona rapidamente os arquivos de um site que este antivírus encontra no servidor, usa vários dos mais conhecidos motores antivírus, como Panda ActiveScan, Bit Defender, McAfee FreeScan, etc.
Esta ferramenta é usada apenas para um scanner, não para limpar ou desinfetar a teia.
BlackListAlert
BlackListAlert.org é uma ferramenta online amplamente usada que oferece pesquisa gratuita se nosso endereço IP ou nosso site estiver em qualquer lista negra. Se ao pesquisar por domínio ou por IP o site aparecer em alguma lista negra, eles não podem ser removidos da lista de BlackListAlert, mas fornecerá um link Veja porque para ver os motivos pelos quais estamos nessa lista negra.
PROLONGAR
Se aparecermos em uma lista negra, poderemos ter sérios problemas de posicionamento de SEO. Para tentar sair da lista negra sem ter que mudar de domínio ou IP, devemos entrar em contato com o administrador do site que está nos colocando na lista negra. Teremos que explicar qual era o problema desta forma o administrador da lista negra pode investigar a situação para que a web e o IP sejam desbloqueados.
MXToolbox
MXToolbox.com oferece um conjunto de ferramentas online para verificar o desempenho, operação e reputação de um domínio ou ip. Se com esta ferramenta também verificamos que aparecemos em uma lista negra, devemos evitá-lo através de firewall, antispam ou suspender o domínio para poder impedir o envio de e-mails de spam.
O lista negra ou RBL (Listas de buraco negro em tempo real) armazena endereços IP de servidores e provedores de serviços de Internet que enviam e-mails excessivamente e, portanto, são suspeitos de gerar spam, se nosso servidor ou site receber um ataque de spam ou alguma vulnerabilidade permitir o envio de spam, também podemos entrar em uma lista negra.
Para resolver o problema, devemos ter certeza de corrigir a vulnerabilidade e certificar-se de que não há e-mail ou arquivo que eu ainda usei para esse propósito malicioso, caso contrário, poderemos ter problemas novamente, também é importante cancelar a porta 25, que é amplamente utilizado para o envio de ataques de SPAM e e-mail.
Para remover o ip de uma lista negra de MXToolbox faremos o seguinte:
- Vamos para a página inicial e entramos na opção Blacklist, entramos no IP que queremos verificar e clicamos no botão Verificação da lista negra.
- Para deletar o IP ou domínio de uma lista específica, clicamos no botão Detalhe.
- Abaixo você verá um clique cbl.abuseat.org/lookup.cgi?ip=my ip
Aqui são indicados os motivos do bloqueio e que devemos corrigir para limpar nosso IP da lista negra e fazer a reclamação correspondente, eles verificarão se o problema foi resolvido, se não corrigirmos o problema o IP permanecerá no preto lista para sempre. Com essas ferramentas também podemos saber se nosso domínio está em uma lista negra, o status dos servidores DNS, o status dos servidores de e-mail, analisar a saúde do domínio entendendo a análise de dns, e-mail, problemas de serviço web, etc.
Para terminar o tutorial deixo-vos um que foi feito onde são explicadas as ameaças informáticas comuns às quais estamos expostos diariamente: Ameaças e vulnerabilidades comuns.
Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo