Сайт под атаками Как обеспечить бесперебойную работу сайта при постоянных атаках хакеров и ботов Григорий Земсков, Компания “Ревизиум” FailOver Conference, 2015 Агрессивна ли веб-среда? Два мифа про атаки и взлом | 1 - “Кому я нужен”? | 2 - Любой взлом – заказ конкурентов Откуда берутся нецелевые атаки | 30-45 дней – сайт в поисковом индексе | Сайт попадает в хакерские выборки | Сайт начинают атаковать | Эксплуатация уязвимостей | Взлом Причины нецелевых атак | Быстрое обнаружение ботами | Автоматизация процесса | Экономическая выгода “Хактивизм” Канал распространения вирусов | Поиск доступных ресурсов Есть две новости | Хорошая: По статистике – 5-10% атак целевые | Плохая: Нецелевые атаки легко провести даже школьнику Как находят сайты для атак? | Google Hacking Database (Google d0rks) | Выбрали дорк | inurl: wp-content/wpback/tup_backups Нашли “жертву” Скачали базу сайта с паролями | Можно и в автоматическом режиме Инструменты хакера Пример нецелевой атаки Целевые атаки Пример целевой атаки Инструменты целевых атак | OWASP SQLiX, SQLMap, bsqlbf-v2, pentest-tools.com, xss- scanner.com и др | DirBuster, Webroot, CMS Bruteforcers for WP, Joomla, и т.д Стратегия и тактика при атаках Что делать? | Принять факт постоянного | | | | | сканирования Выполнить аудит безопасности (силами “безопасников” или самостоятельно) Регулярно обновлять CMS, скрипты, ПО Установить защиту (CMS + WAF) Подключить мониторинг Соблюдать “гигиену” Аудит безопасности своими силами Проверяем конфигурацию | | | | | | | | Актуальность установленного ПО Зарегистрированные аккаунты FTP/SSH Логирование активностей Резервное копирование Адрес панели управления Лишние сервисы и ПО Сервисы, доступные “снаружи” Инфраструктура сети Аудит сайта | Проведение black-box тестирования | Аудит исходного кода | Проверка файловой системы (лишние файлы, доступные бэкапы, дампы, info.php, и пр. DirBuster’ом и dirs3arch) | Проведение нагрузочного тестирования (Яндекс.Танк) | Выработка политики безопасности и процесс реагирования на инциденты Инструменты пентестера | | | | | | | Metasploit Framework Burp Suite Acunetix WVS OWASP ZAP XSpider Nessus Nikto, и др или развернуть Kali Linux Защита от атак и взлома Выбрать хостинг | | | | | | | | Uptime Репутация Тарифный план “с запасом” Защита от DDOS Наличие WAF Тестирование безопасности скриптов Вирусный сканер Резервное копирование "Гигиена” безопасности “Никому не доверять” Ограничить доступы к сайту Работать в проверенных сетях Проверить аккаунты и их привилегии Регулярно менять пароли Заменить FTP на SFTP Тотальное логирование + | | | | | | | Безопасность сервера | Регулярно обновлять компоненты ОС, | | | | | | ПО Отключить ненужные сервисы Настроить Firewall Изменить порты по-умолчанию Доступ SSH по ключам, нет SSH root’у Fail2ban, Logwatch Lynis, Tiger, auditd, aide Использование WAF WAF на уровне CMS (Битрикс) WAF через .htaccess или nginx.conf WAF сервера (mod_security) WAF сервисы (Sucuri CloudProxy, CloudFlare, Wallarm, Айри) | “Железный” WAF (Cisco, Baraccuda, Trustwave) | | | | Защита от брутфорса | | | | Плагины CMS Правила в .htaccess / nginx.conf Fail2ban WAF / Anti-DDOS Защита от DDOS | Программная реализация (куки) | “Железо” хостера | Сервисы (StormWall Pro, Айри, QRATOR) CMS / Server Hardening | Изолируем сайты друг от друга | Отключаем системные функции PHP | Ставим плагины и патчи (suhosin, mail patch) | Изменяем права на файлы и директории | Устанавливаем доп. аутентификацию на админ-панель Выводы и рекомендации Защита сайта | Большая часть атак - нецелевые | Они ориентированы на | | | | “среднестатистический” сайт От нецелевых атак достаточно просто защититься Упреждающие процедуры минимизируют риск Безопасность – неудобная вещь Безопасность сайта – про вероятность Спасибо за внимание! Григорий Земсков, Компания “Ревизиум” [email protected] http://revisium.com