Arhiva categoriei: securitate servere si webhosting

Informatii despre vulnerabilitatile de securitate ale platformelor populare de pe Internet: wordpress, joomla, oscommerce. Informatii despre vulnerabilitatile de securitate ale serverelor.

spam galaxydeal.ro si metode de combatere

Cei mai mulţi spammeri folosesc programe de colectare a emailurilor de pe internet. Aceste programe parcurg paginile de internet si colectează adresele afişate pe acele pagini, pe care le introduc intr-o bază de date. Mai mulţi „întreprinzători” au instalate asemenea programe şi pun la dispoziţia interesaţilor baza de date cu emailuri colectate de pe internet.

Conform legislaţiei româneşti actuale trimiterea de emailuri nesolicitate, cu conţinut comercial,  este pasibilă de amenzi foarte mari. Trebuie însă să o şi dovedeşti, lucru ceva mai greu, deoarece spammerii au dezvoltat nişte strategii care ocolesc legea.

Un asemenea spammer este şi GalaxyDeal.ro

Deţinătoarea domeniului este o firmă din Brăila, SC INTERGALAXY DEALS SRL.-D, cu codul unic de înregistrare 28192291, înfiinţată în 2011. Conform paginii Ministerului de Finanţe această firmă nu este plătitoare de TVA şi nu are angajați la data publicării acestui articol. Nu sunt prezente date fiscale pe 2011, ceea ce înseamnă că în acel an firma nu a avut activitate. Suntem curioşi să vedem datele fiscale pe 2012.

Spammerul este găzduit de Hostway.ro

Majoritatea furnizorilor de găzduire web români sunt serioşi şi au o politică antispam strictă. La fel şi Hostway (bănuim).

Spammerul a găsit însă o soluţie de ocolire, inclusiv a legilor româneşti: a închiriat mai multe VPS-uri (servere virtuale dedicate) de la un furnizor american, Hosting24.

Până în acest moment am numărat trei servere virtuale, de la următoarele adrese de IP: 212.1.213.2, 212.1.213.3 şi 212.1.212.4.

Aceste servere virtuale sunt folosite exclusiv pentru trimiterea de spamuri. Trimiterea acestor spamuri nu este supusă legislaţiei româneşti deoarece „crima” nu se face pe teritoriul României. Pe ele se află probabil instalat un program de campanii publicitare Email Marketer.

Avem o foarte puternică bănuială că copia folosită nu este licenţiată, de aceea am şi contactat compania care a creat software-ul, căreia i-am pus la dispoziţie adresele de IP pentru verificări.

Ce poate face un webmaster când este inundat de spamuri?

1) să îşi facă un cont pe spamcop.net şi să supună fiecare spam pe care îl primește listei, spre analiză. Noi am făcut asta pentru spamurile de la galaxydeal, dar se pare că pentru hosting24 mai important este numărul de clienți decât respectarea politicii antispam, deoarece nu au luat nicio măsură până in prezent.

2) daca are acces la configurațiile serverului sa folosească liste publice de adrese de IP cunoscute a fi trimis spamuri. Acestea sunt așa-numitele RBL, dintre care amintim pe cele mai cunoscute:

spamcop (bl.spamcop.net)

barracuda (b.barracudacentral.org)

spamhaus (zen.spamhaus.org)

sorbs (dnsbl.sorbs.net)

3) tot daca are acces la configuraţiile serverului, în afară de listele publice poate crea şi o listă personală care blochează adrese de IP care nu sunt pe listele publice. Noi am făcut acest lucru cu adresele de IP de pe care s-a constatat trimiterea spamurilor galaxydeal, respectiv:
212.1.213.2
212.1.213.3
212.1.213.4

4) tot pe server poate fi instalat un program antispam, din care cel mai popular este spamassassin, ca analizează fiecare mesaj în parte şi stabileşte o notă. În funcţie de nota obţinută, administratorul serverului poate alege să refuze un mesaj sau sa îi modifice titlul şi la acesta să adauge textul spam.

5) să instaleze un filtru pe server care in funcţie de diferite condiţii (de exemplu pildă nota obținuta de un mesaj la analiza cu spamassassin) să trimită anumite mesaje în căsuţa de spam.

protectie spam blog wordpress

Instalarea implicita wordpress permite postarea de comentarii la articolele publicate. O invitatie pentru roboti sa adauge linkuri pornografice nenumarate sau oferte de viagra pe blogul dvs. Asta va va penaliza automat in rezultatele cautarilor cu google.

Dacă doriţi să permiteţi comentariile, fie că vizitatorii sunt sau nu autentificaţi, aveţi nevoie de o protecţie împotriva spamului.

Recomandăm două module wordpress.

Prima recomandare este modulul captcha, mai ales dacă aveţi un blog în limba română. Pentru postarea unui comentariu vizitatorul este rugat completeze răspunsul la o socoteală simplă, în româneşte, de pildă cât + trei = 4. Modulul este compatibil până la ultima variantă de wordpress.

Eliminaţi astfel 99% din spam.

A doua recomandare, dacă nu vă mulţumeşte primul modul, este modulul recaptcha. Vizitatorul trebuie să completeze textul care se afişează într-o imagine. Oferă o protecţie foarte eficientă împotriva spamului, aş spune de 100%. Din punctul meu de vedere însă vizitatorul trebuie să fie într-adevăr motivat să completeze textul din recaptcha, care este de multe ori enervant de dificil. În plus nu am testat să văd dacă modulul este compatibil cu variantele mai recente ale platformei wordpress.

 

vulnerabilitate oscommerce injectie de cod

Din jurnalul de accesări ale paginilor de pe serverele Nettissimo:

GET /create_account.php?language=en&osCsid=0bd23d505b9e827959371b26e4cb8857&sa=U&ei=7775UJtT4-bhBISXgeAM&ved=0CP4BEBYwTDj0Aw&usg=AFQjCNHgnWOpMsJ1uYsHOxw2KVImpKO0RA/admin/banner_manager.php/login.php

sau:

GET /create_account.php?language=en&osCsid=0bd23d505b9e827959371b26e4cb8857&sa=U&ei=7775UJtT4-bhBISXgeAM&ved=0CP4BEBYwTDj0Aw&usg=AFQjCNHgnWOpMsJ1uYsHOxw2KVImpKO0RA/admin/file_manager.php/login.php

Site vizat: un site care rulează platforma de ecommerce oscommerce.

Browser-ul folosit de hacker pare real (Firefox), în spatele atacului stă un IP din Turcia (195.244.34.137) şi o persoană aparent umană, nu un robot spion.

Accesarea unor linkuri care conţin câmpurile file_manager si banner_manager ale unor platforme oscommerce permite hackerilor să inecteze cod malitios în site-urile atacate. Acest cod maliţios constă în general în scrierea de iframe-uri sau elemente de script pe paginile site-urilor atacate.

Când un client vizitează paginile sparte si încarcă elementele de script sau iframe-urile injectate pe acele pagini poate descărca un virus care i se instalează pe calculator.

Hackerul care a spart pagina poate urmări IP-urile de la care s-a efectuat instalarea virusului si poate exploata in continuare mai departe calculatorul virusat pentru scopurile sale.

Mai mult de 8 milioane de pagini ruland oscommerce fuseseră astfel atacate în iulie 2011, conform acestui articol de la armorize.

Varianta de oscommerce vizată: 2.3.1

Conform cu site-ul oscommerce de la data de 18/01/2013 ultima variantă disponibilă de oscommerce: 2.3.3.

Iarăşi nu pot decât să subliniez maxima importanţă a actualizărilor periodice ale platformelor populare folosite pe internet.

Aceste actualizări, din experienţa mea, nu sunt din păcate făcute decât relativ rar, ceea ce lasă site-urile respective vulnerabile la asemenea atacuri. Majoritatea proprietarilor de site-uri care rulează asemenea platforme populare apelează la un webmaster care „îşi face treaba” şi pe urmă gata, nimic nu se mai schimbă în timp la pagina respectivă.

Soluția rapidă este să fie rebotezat directorul admin din varianta respectivă de oscommerce în altceva – de pildă antihacker. Poate fi rebotezată aşa cum este descris in acest articol. Astfel hackerul nu va mai fi capabil să acceseze linkurile respective deoarece pur şi simplu nu le va cunoaşte.

Şi mai rapidă este protejarea prin parolă a accesului la directorul admin (în Cpanel funcţiunea password protect directories). Sau ambele pentru paranoici :)