Üks logi lisaks: veebirakendusest saadetud kirjad

Üks levinumaid veebiservereid tabavaid ründeid on nende kasutamine spämmi saatmiseks.

Probleemi lahendamiseks on vaja leida seda võimaldav turva-auk ning see kinni panna. Selle käigus tekib paratamatult küsimusi, mis seni vajasid Zone klienditeendinduse tuge:

  • millist veebi komponenti spämmi saatmiseks ära kasutatakse? (kaitseta vorm, kliendi registreerimise funktsionaalsus, kurjategijate paigaldatud pahavara)
  • kas spämmi saatmine pärast veebis tehtud muudatusi lakkas?

Neile küsimustele saab nüüd vastuse Virtuaalserveri e-postilogist, mis on leitav MinuZone serverihaldusest teiste logide juurest. Nutika Privaatserveri puhul kirjade saatmise piirangud ja logi vaikimisi puuduvad.

Andmekaitse-alane märkus: tegemist on tavapärase e-posti serveri logiga, millest leiab käideldavuse ja turvalisuse tagamiseks vajaliku info saatja ja vastuvõtja kohta ning teema. Kirjade sisu ei logita ning logi kuvamine on piiratud 7 päevaga. Logi näevad veebiserveri omanik ja tema poolt lisatud delegeeringuga kasutajad, kellel on niikuinii ligipääs veebirakendusele, sh selle koodile, andmebaasile ja logidele.

Alustame positiivse näitega ehk nii võiks välja näha toimiva veebilehe logi (kasutatud paadiluba.ee loal):

Saadetud kirjadest esimesed kaks on seotud kursusele registreerumisega (kinnitus kliendile ja teavitus koolitajale) ning järgmised on WordPresside teavitused tarkvarauuenduse toimumise kohta.

Roheline Y  veerus passed tähendab, et veebiserver on vähemalt proovinud ka neid kohale toimetada ning php script viitab võimalusel koodijupile, mis kirja saatis. header_from (saatja), rcpt (tegelik adressaat, kuvab aadressi ka bcc: puhul) ja header_subject annavad enamasti aimu kirju saatvast komponendist – sest näites olev PHPmailer on osa WordPressist, mille kaudu võib kirju saata WP ise või mistahes plugin.

Vajadusel saab logi ka .json formaadis alla laadida – sealt leiab mõned lisaväljad ja pikkuse-piiranguta sisu.

Selline näeb aga välja logi juhul, kui serveri kontaktivormi kasutatakse ära e-postipommiks:

See veeb saadab e-posti viisil, mis ei võimalda konkreetset skripti tuvastada – küll aga saab nii saatja kui teema järgi aru millise veebivormiga on tegu. Sinisega on esile toodud aadress, millest juttu blogipostis E-posti pomm ehk kuidas soovimatud registreerumised reputatsiooni mõjutavad.

Punane N viitab sellele, et posti saatmine on blokeeritud ja veebiomanikku teavitatud – tõenäoliselt on tulnud teade kirja spämmiks märkimise kohta või saatmiste maht ületanud seatud piirmäära, nagu selle kurjategijate poolt ülevõetud veebi puhul juhtus (tegemist panga nimel saadetud õngitsuskirjaga):

Mustri märkamine võib olla raskem juhul, kui saadetakse eriliigilisi kirju või on probleemsed kirjad legitiimsete vahel:

Samal sekundil kasutaja registreerimine ja uue parooli tellimine on kindlasti kahtlane, aga kas ka sinna vahele jäävad kommentaarid? Selleks tuleb ilmselt tutvuda tagasiside sisuga, mille peaks leidma veebi kommentaariumist või halduri postkastist.

Kuidas sellise spämmiga võidelda?

Logidest tuvastatud spämmi-probleemi lahendamise viis sõltub põhjusest ja võimalustest:

  • kurjategijate poolt kompromiteeritud veeb vajab suuremat puhastust, et tuvastada ja eemaldada kõik paigaldatud tagauksed ning sissetungi võimaldanud turva-auk
  • kontaktivormide ja kasutaja registreerimise puhul tuleks kasutada nt reCAPTCHA robotilõksu, mille uuemad versioonid toimivad ilma kasutajat häiriva piltmõistatuse vms interaktsioonita – ent muudavad lehe aeglasemaks Google PageSpeed testis
  • uudiskirja registreerimiseks võib kasutada masspostiteenuse nt Mailchimp vormi – sellisel puhul rakendub nende spämmituvastus
  • kontaktivormide jms puhul võib lülitada välja kliendile kinnituskirja saatmise ning hoolitseda selle eest, et kõik tegelikud päringud saaksid kiiresti vastatud
  • e-poodide puhul võib olla abi sellest, kui kasutaja registreerumine on võimalik alles kassas (checkout) – enamik botte ei vaevu tooteid ostukorvi panema
  • osa bottidest kasutavad enda peitmiseks TOR-võrku, anonüümselt IP-aadressilt tulevatele päringutele võib lisada täiendavaid piiranguid

Puhastamist vajavad ka postilistid, kommentaarium ja kasutajabaas

Pärast spämmi saatmise võimaluse eemaldamist on vaja üle kontrollida ja puhastada ka kõik ründe sihiks olnud postilistid, kasutaja-baasid jne – sest hakates neile saatma uudiskirja või mõnda muud teadet on suur tõenäosus saada klassifitseeritud spämmiks. Suur hulk tarbetuid kasutajaid või kommentaare võib mõjuda ka veebirakenduse töökiirusele ning muuta aegavõtvamaks selle varundamise ja taaste.

Lihtsat ja universaalset lahendust puhastamiseks ei ole – tegemist on paljuski käsitööga:

  • kõige lihtsam võib olla tuvastada kahtlaste registreerumiste alguse aeg ning sellest alates lisandunu kustutada – tõsi, kaotades nii osa omal soovil liitunuid
  • kui on teada registreerumise IP-aadress, võib selle alusel tuvastada riigi ning eemaldada need, mis lisatud väljastpoolt sihtturge, kasutades mõne serverimajutusteenuse pakkuja võrku või anonüümset TOR-võrku
  • e-poe või foorumi puhul on võimalik selgitada välja kasutajate aktiivsus ning eemaldada need, kes reaalselt pole midagi ostnud või sisse loginud

Samal teemal:

Postituse tunnuspilt: Kevin Ku @ unsplash.com