Ristiretk veebilehti rüüstavate viiruste vastu

computer-virus-bugs-clip-art-thumb3167674Viiruste levik veebilehtede kaudu pole tänapäeval enam midagi erilist ning kindlasti on keskmine arvutikasutaja vähemalt poole kõrvaga sellest midagi kuulnud.

Meie blogis on see teema ka juba mitmeid kordi läbi käinud, kuid kordamine tuleb loodetavasti vaid kasuks.

Kuidas viirused veebilehtedele satuvad?

Kui veel aasta-kaks tagasi oli levinuim viis viiruse sokutamiseks veebilehele kavalalt läbi mõne samal lehel asuva turvaaugu, siis tänapäeval teevad viirused/robotid seda juba jultunult otse läbi veebilehe FTP konto:

  1. Laua- ja sülearvutites resideeruvad viirused oskavad tänapäeval enamlevinutest FTP programmidest paroole varastada ning need seejärel oma peremeestele toimetada.
  2. Too laeb veebilehe failid alla, lisab neile viirusekoodi ning laeb siis uuesti serverisse üles.
  3. Viiruse kood (mis on reeglina tavaline JavaScript) kasutab ära veebilehe külastajate brauseri või brauseri pluginate turvaauke ning üritab uusi külastajaid omakorda nakatada.

Lisaks võidakse kuulata pealt kasutajate internetiühendust, kes mobiilsena olles kasutavad pahaaimamatult võõraid avalikke WiFi võrke, rääkimata sellest, et oma koduseid WiFi ruutereid ei turvata võõraste eest piisavalt.

WiFi puhul ei osata tihti arvata, et nii krüpteerimata kui ka nõrgalt krüpteeritud (WEP, WPA1) võrku on asjatundjal võimalik pealtkuulata ning sealt kaudu e-posti, FTP jne. paroole varastada.

Võib ilmselt rahulikult öelda, et sensitiivseid andmeid kingitakse kurjamitele kandikul.

Viirus teeb veebiärile kahju

Viirust levitav veebiaadress võidakse Google poolt väga kiirelt märgistada kui ohtlik aadress. Google otsingutulemustes kuvatakse selliseid aadresse hoiatusega: This site may harm your computer ning otsijal ei soovitata seda lehte külastada.

Lisaks kontrollib selles nimekirjas olevaid aadresse ka populaarne brauser Firefox, mis teeb kõik endast oleneva, et külastaja sellisele aadressile ei satuks.

Sellest piisab, et vähendada ja kaotada veebilehe külastajad ehk potentsiaalsed kliendid.

Mida saab veebiteenuse pakkuja teha?

FTP kontode kaudu viiruste üleslaadimise vastu on teenusepakkujal keeruline midagi jäädavat ette võtta. Umbes aasta aega tagasi integreerisime Zones kõikidesse FTP serveritesse automaatse viirusetõrje ning viirustega faile veebiserverisse üleslaadida ei saa ja faile viirustega ülekirjutada ei saa. Samuti teostatakse viirusekontrolli kogu failisüsteemis kord nädalas ning viirusega failidele piiratakse ligipääs. Lisaks oleme viirusetõrje baasi käsitsi kümneid viirusesignatuure lisanud, mida üldises baasis pole.

Hoolimata kõigest sellest nakatatakse serverites siiski iga päev mitmeid kodulehti viirustega.

Miks? Aga seetõttu, et mõnda konkreetset brauseri turvaauku ära kasutavaid JavaScript-i viiruseid on võimalik lugematul hulgal erineval viisil kirjutada ja obfuskeerida, tehes neid tuvastavate signatuuride kirjutamise ja lisamise täiesti võimatuks missiooniks.

Praegu katsetame erinevaid kriteeriumeid, mille alusel FTP kasutajaid automaatselt liigitada kas pigem õigeteks kasutajateks või pahalasteks. Kuigi hetkel kogume alles statistikat ning lõplik süsteem pole veel paigas, oleme enda jaoks välja mõelnud mõned olulisemad tunnused, mille alusel hakkame FTP serveritesse sisenejatel ilmselt juba peatselt vahet tegema ning ligipääsu vastavalt lubama või keelama:

  1. FTPS – kõik meie FTP serverid toetavad krüpteeritud ühendust (NB! mitte ajada segi SFTP või FTP over SSH-ga) ning samamoodi toetavad seda enamlevinud FTP klientprogrammid. Seevastu pole silma jäänud, et automaatselt viiruseid üleslaadivad robotid seda kasutaks. Kui FTP kasutaja oma programmis selle seadistuse aktiveeriks, oleks see meie jaoks piisav tunnus sellest, et tegemist on autentse kasutajaga.
  2. Eesti IP – reeglina kurjamid Eesti IP-de pealt sees ei käi, kuigi üksikuid juhtumisi on olnud. Hetkel on Eesti IP pealt tulija piisav kinnitus selleks, et tegemist on autentse kasutajaga ning talle on ligipääs lubatud.
  3. Valgete IP-de nimekiri (ip whitelist) – plaanis on virtuaalserveri haldusliideses kasutajal võimaldada ära nimetada IP-d, millelt kliendi FTP kasutajad sisse tohivad tulla. See tagaks, et ükski võõras kunagi midagi halba FTP kaudu teha ei saa. Isegi siis kui ta teab kasutajatunnust ja salasõna.
  4. Valgete riikide nimekiri (country whitelist) – sarnaselt eelmisele punktile on plaanis lisada ka lubatud riikide nimetamise võimalus, mille IP-lt sisenedes lubatakse FTP kasutaja sisse.
  5. RBL – kuigi meie statistika järgi on FTP pahalaste IP-d harva mustades nimekirjades, võib sellest aegajalt siiski abi olla. Plaan on blokeerida ligipääs sellistel välismaistelt IP-delt, mis on näiteks Spamhaus exploits block list nimekirjas.

Antud reegleid kombineerides püüame leida mingi kuldse kesktee, et õiged kasutajad ei saaks väga häiritud aga viirused jääks ukse taha.

Mida saab tavakasutaja ise teha?

Kasutage viirusetõrjet ja hoidke seda värskena!

Iga päev tuvastatakse kümneid uusi viiruseid!

Tasuta viirusetõrje  Microsoft Security Essentials saab SIIT.

Kui soovid kiirelt ja lihtsalt oma arvuti enamlevinud viirustest puhtaks teha siis selleks on näiteks see TASUTA online scan.

Lisajuhiseid oma turvalisuse kaitsmiseks leiad siit.

Oleme avatud konstruktiivsetele ettepanekutele

Kellel on kokkupuuteid antud teemaga ning mõtteid, kuidas saaksime meie kui teenusepakkuja kontrolli veel tõhustada, siis alumine kommentaarium on aruteluks avatud.

Kommenteerige julgelt 🙂

Viirusetõrje nüüd ka veebiserverites

Alates 26.11.2008 töötab kõikides Zone poolt hallatavates veebiserverites viirusetõrje. 

Viirusetõrje töötab kahel moel: 

  • Iga kord, kui veebiserverisse üritatakse FTP protokolli kasutades saata faili, kontrollib viirusetõrje selle üle. Viiruse tuvastamisel faili üleslaadmine tõkestatakse. Viiruste kontroll toimub enne serveris oleva faili ülekirjutamist. Kui serverisse on üritatud saata viirusega faili, mille antiviirus on blokeerinud, siis ei ole võimalik sama FTP sessiooni raames enam ühtegi käsku sooritada . 
  • Kord nädalas kontrollitakse üle kõik veebiserverites asuvad failid. See võimaldab serverist leida neid ohtlikke faile, mida üleslaadimise hetkel viirusetõrje poolt ära ei tuntud ja ühtlasi heita pilk peale veebi kaudu serverisse tekitatud materjalidele . Korralise kontrolli käigus avastatud viirused ning nakatunud failid kaotavad oma õigused. Ohtlikele failidele määratakse failisüsteemis õigused 000, mis tähendab, et neid ei saa enam lugeda ega käivitada ja nendesse ei saa ühtlasi kirjutada. Küll saab neid aga kustutada. Kui tegemist pole PHP või HTML failiga, pannakse faili nime lõppu ka tuvastatud viiruse nimi. 

Continue reading “Viirusetõrje nüüd ka veebiserverites”