Вы управляете сервером и думаете, что вас невозможно атаковать? Вот что вам нужно знать

Мы уже вступили во второе десятилетие 2000-х годов, но все еще распространено широко распространенное и ошибочное убеждение, согласно которому злоумышленники всегда сосредотачиваются на определенных веб-сайтах. В действительности злоумышленники не только нацелены на широкий спектр веб-сайтов, но также сосредотачиваются на подключенных к Интернету серверах, предоставляющих всевозможные услуги. Предоставление веб-страниц с использованием протоколов HTTP/HTTPS на самом деле является лишь верхушкой айсберга: услуги что серверная машина может выставить наПубличный IP их может быть много (даже тех, которые не имеют отношения к Сети).

Большинство атак начинаются с бот, или автоматизированными системами, которые, в свою очередь, подключены к Интернету, которые ничего не знают о сканируемых системах, выполняемых ими действиях или веб-сайтах, которые могут размещаться на серверах. Короче говоря, боты ни в малейшей степени не принимают во внимание цели своей деятельности: если машина любого типа доступен по IP общественность всегда является потенциальной целью.

Боты ежедневно атакуют любой сервер — это факт

По мнению экспертов компании Имперва, половина всех посетителей сайта — боты. Из них около 29% готовы атаковать сайт. Действительно, малоиспользуемые серверы, те, на которых размещены домены с небольшим ежедневным посещением, часто являются излюбленными целями: отсутствие мер безопасности или принятие недостаточных мер защиты может привести к включению атакуемой машины в ботнет.

Сеть-приманка, некоммерческая организация, занимающаяся информационной безопасностью, некоторое время назад создала своего рода «ловушку» для отслеживания атак безопасности на веб-сервер, подключенный к сети. Машина использовала экземпляр, созданный на Амазон АВС и даже не привязывала к себе доменное имя: анализируя трафик с известных и оцененных анализатор пакетов Wireshark на 24 часа, а затем использовать p0f (пассивный сбор отпечатков пальцев ОС)программное обеспечение для идентификации Отпечатки пальцев в трафике TCP/IP можно было установить, что практически неизвестный сервер подвергся в общей сложности примерно 250 000 попыткам атак.

В середине августа 2023 года два французских исследователя опубликовали результаты трехлетней работы, посвященной использованию и реализации протокол RDP который, как известно, позволяет устанавливать сеансы настольный пульт дистанционного управления. Также в этом случае создание горшок медасмогли зафиксировать и детально изучить действия ботов и реальных злоумышленников после обнаружения уязвимой цели.

Другими словами, независимо от того, какой веб-сайт или сервис вы администрируете (и которые общедоступны в Интернете), каждый день кто-то будет стучать в вашу дверь. Обычно это боты: использующие определенные скрипты или режим атаки «Базовый» приводит к желаемому результату (злоумышленниками), IP-адрес уязвимой системы записывается и затем передается злоумышленникам, которые попытаются нарушить его в различных целях.

Почему злоумышленники атакуют сервер

Злоумышленники могут атаковать веб-сервер по разным причинам, которые зависят от их целей и мотивации. Они варьируются от сбора личной информации и конфиденциальных данных до кражи личных данных, от попыток вымогательства до стремления нанести репутационный ущерб, от использования атакуемого сервера для распространения вредоносного ПО до установки программа-вымогатель (с требованием денежного выкупа).

Некоторые атаки направлены на использование ресурсы сервератакие как вычислительная мощность или пропускная способность, для выполнения незаконных действий, таких как инициирование DDoS-атак (Распределенный отказ в обслуживании), рассылка спам-кампаний, добыча криптовалют без ведома законных владельцев машин.

Однако действия злоумышленников направлены не только на веб-серверы: даже в случае других серверов, на которых нет веб-серверов, злоумышленники могут попытаться совершить рейд. конфиденциальная информация, финансовые, личные данные и деловые тайны. Не говоря уже о злоупотреблении вычислительными ресурсами, явлениях вымогательства, распространении вредоносных компонентов, добавлении систем в ботнет и так далее.

Среди многих есть и общедоступная поисковая система Shodan, содержащая постоянно обновляемый список IP-адресов, к которым имеют доступ определенные сервисы: некоторые из них явно страдают от специфических уязвимость. Механизм поиска, который Шодан интегрирует и даже позволяет использовать определенные фильтрычтобы выбрать машины, которые – в глобальном масштабе или в определенной стране – предоставляют один или несколько портов, доступных с любого удаленного устройства.

Используйте брандмауэр, чтобы избежать раскрытия ненужных сервисов на общедоступном IP-адресе.

Золотое правило Чтобы избежать рисков, он заключается в отображении на публичном IP только и исключительно строго необходимых сервисов. Больше ничего. Если, например, машина должна действовать как веб-сервер, обычно только порт 80 (HTTP) е 443 (HTTPS): всё остальное должно быть абсолютно заблокировано на уровне брандмауэр.

Разумеется, эту самую машину придется администрировать удаленно, но показывать порты, на которых слушает и ожидает запросы серверный модуль, нет смысла. удаленное подключение и администрирование. Например, РДП (Протокол удаленного рабочего стола) использует порты TCP/UDP 3389 и является излюбленной целью удаленных злоумышленников. И потому, что атаки грубая сила количество попыток угадать учетные данные для входа растет, поскольку системные администраторы часто не устанавливают их обновления безопасности которые напрямую влияют на серверы удаленных рабочих столов.

Защита доступа через SSH, СУБД и другие серверные приложения

То же самое происходит через доступ SSH (безопасная оболочка), порт которого по умолчанию — TCP 22, чрезвычайно распространен на платформах GNU/Linux. Крайне важно избегать публичного раскрытия удаленного администрирования SSH, даже если он должным образом защищен именем пользователя и паролем на общедоступном интерфейсе.

Аналогичные соображения применимы, например, к основным серверам. СУБД или, в любом случае, серверные модули, используемые для управления данными. Порты, которые прослушивают серверы MySQL/MariaDB, PostgreSQL, MongoDB и так далее не может и не должен игнорировать общедоступный IP-адрес. И это даже если использование аккаунта было деактивировано. корень вне локальные IP-адреса и если бы разрешения были тщательно назначены (предоставить) на отдельные аккаунты.

Давайте даже не будем говорить о ресурсах, совместно используемых через SMB/NFS: они никогда не должны появляться на общедоступном IP-адресе.

Список сервисов, которые должны быть недоступны на общедоступном IP-адресе, практически бесконечен.

Конфигурация брандмауэра

Брандмауэр должен быть настроен так, чтобы разрешать неограниченный доступ только определенным пользователям. статические IP-адреса используется системными администраторами, которые подключаются удаленно. В качестве альтернативы вам следует установить сервер VPN для доступа к удаленной инфраструктуре, подлежащей администрированию, заботясь о регулярном обновлении самого VPN-сервера, чтобы оперативно устранять любые уязвимости безопасности.

В случае затруднений у вас всегда должен быть один доступный консоль веб (обычно предоставляется, например, облачными провайдерами), что позволяет вам действовать на машинах, даже если доступ через VPN не работает.

Вам следует остановить свой выбор на одном аппаратное обеспечение брандмауэра; однако можно интегрировать такие программные продукты, как pfSense, OPNsense, Endian, IPFire или аналогичные, в облачную инфраструктуру.

Уязвимости безопасности в серверных компонентах и ​​приложениях

«Сомнительной помехой» любого системного администратора является наличие уязвимость в приложениях, которые интегрируют функциональность сервера, особенно в тех, которые доступны по общедоступному IP-адресу.

Упомянем самый банальный (но и очень распространенный) случай классического веб-сервера: если была обнаружена серьезная брешь в безопасности, которую можно использовать удаленно, в таких компонентах, как HTTP-сервер Apache (httpd), Нгинкс, IIS (Информационные службы Интернета) и других, следует немедленно изучить проблему и как можно скорее принять меры. Особенно если правильно сформированный злоумышленником «неверный» запрос должен был позволить обойти ограничения, получить конфиденциальную информацию или даже удаленно выполнить код.

Обычно проблему можно решить, установив исправления безопасности официально или обратившись, хотя бы временно, обходной путь корректирующий.

Какие кибератаки могут повлиять на веб-приложения

Даже если веб-сервер был настроен безопасно, важно также побеспокоиться о безопасность приложений которые отображаются онлайн. Уязвимости в веб-приложениях могут подвергнуть вас следующим примерам атак:

• SQL-инъекция (SQLi). Он включает в себя внедрение вредоносных команд SQL через входные данные, принимаемые приложением. Это пример плохого программирования: злоумышленники могут манипулировать SQL-запросами для получения несанкционированных данных и поставить под угрозу безопасность базы данных, используемой в качестве основы для работы приложения.
• Межсайтовый скриптинг (XSS). Позволяет злоумышленникам выполнять клиентские сценарии внутри браузеров пользователей. Злоумышленники могут использовать эту уязвимость для кражи конфиденциальной информации или выполнения вредоносных действий от имени пользователя.
• Внедрение команд. Это происходит, когда отправленные данные не проверяются должным образом и в конечном итоге выполняются как команды на стороне сервера.
• Подделка межсайтового запроса (КСРФ). Эта категория уязвимостей позволяет злоумышленникам обманом заставить пользователей выполнить вредоносные действия на сайте, где пользователь прошел аутентификацию. Злоумышленники могут использовать доверие пользователей для выполнения вредоносных операций.
• Нарушенная аутентификация и управление сеансами. В этот набор входят все те уязвимости, которые позволяют злоумышленникам обходить механизмы аутентификации и авторизации, с возможностью перехвата и манипулирования пользовательскими сессиями.

Другие заметные уязвимости, иногда встречающиеся в приложениях

• Неправильные или поверхностные настройки безопасности.. Неправильные или небезопасные конфигурации могут раскрыть конфиденциальную информацию, обеспечить несанкционированный доступ или позволить злоумышленнику выполнить вредоносные действия.
• Небезопасные прямые ссылки на объекты (ИДОР). В этом случае веб-приложение предоставляет ссылки на внутренние объекты, такие как файлы или базы данных, без контроля доступа к ним. Злоумышленники могут манипулировать этими ссылками для получения несанкционированной информации.
• Подделка запроса на стороне сервера (СССРФ). Это позволяет злоумышленникам обманом заставить сервер отправлять запросы к внутренним ресурсам, потенциально открывая возможность исследования систем, подключенных к той же локальной сети.
• Уязвимости в механизмах загрузки: Если приложение разрешает загрузку файлов и не выполняет эффективные проверки, злоумышленники могут загружать вредоносные файлы и даже запускать их на стороне сервера или использовать их для распространения вредоносного ПО.
• Внедрение внешнего объекта XML (XXE). Злоумышленники могут использовать уязвимости, содержащиеся в механизмах обработки контента в формате XML. Целью является получение доступа к локальным ресурсам или выполнение вредоносных действий.

Взгляните на файлы журналов вашего сервера: вы обнаружите некоторые действительно интересные вещи.

Файлы журналов вашего сервера являются бесценным источником информации, позволяющей понять, что происходит изо дня в день на каждом компьютере.

Ниш Тахир в своем посте «Я просмотрел атаки в своих журналах доступа. Вот что я нашел«, перечисляет целый ряд фактов, которые появились в результате анализа Журналы веб-сервера.

Между попытки атаки запускается чаще, есть несколько попыток доступа к каталогам (Обход каталога), находясь в поиске файлы, содержащие учетные данныев частности объекты .env, которые, как известно, часто содержат важную и конфиденциальную техническую информацию (включая любые ключи доступа).

Злоумышленники также часто сосредотачиваются на поиске файлов, связанных с Amazon Web Services (АВС) е репозиторий Git; они также ищут непреднамеренное раскрытие общих каталогов (подумайте о таких вещах, как /old или /temp).

Историки также остаются в курсе событий. аттачи Shellshock эксплуатация неразрешенных уязвимостей веб-серверов, поддерживающих выполнение CGI-скриптов с помощью уязвимой версии Bash. Злоумышленники пытаются выполнить произвольные команды на сервере, о чем свидетельствуют такие запросы:

echo Тип контента: текст/html; эхо; /bin/cat /etc/passwd

Множественные попытки атак нацелены на определенные сетевые устройства и версии прошивки, которые считаются «испорченными».

Некоторые заключительные замечания

В общем, лучше не ограничиваться методами веб-аутентификации различных приложений: рекомендуется активировать дополнительную защиту, основанную на управлении разрешениями на уровне файловой системы, обеспечиваемом каждой операционной системой и каждым сервером. Короче говоря, не доверяйте себе, разоблачаядоступ к серверная часть CMS (система управления контентом) или страницу входа в систему phpMyAdmin из общедоступной подпапки.

Интересен брандмауэр веб-приложений (WAF), который Облачное сияние предложение бесплатно для всех пользователей: это инструмент, который стоит между удаленными клиентами и веб-серверами и обеспечивает защиту от широкого спектра атак. Подумайте, например, о типах атак SQL-инъекция е межсайтовый скриптинг упоминалось ранее, к использованию неправильных конфигураций, к десяткам атаки, классифицированные OWASPв защита установок CMS распространено как WordPress, Joomla, Drupal, Magento и так далее.

Суть в том, что если вы каким-либо образом присутствуете в Интернете, важно тщательно защищать все используемые вами серверы, применяя базовые правила безопасности. Любой, кто управляет сервером любого типа, подключенным к Интернету, должен знать, что он будет постоянно подвергаться атакам. Л’экспозиция двери строго необходимо, тщательное управление разрешения и регулярное применение патчей безопасности, позволяют защитить «форт» более чем достойно.

Вступительное изображение предоставлено: iStock.com – Олемедиа