Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Захист веб-серверів

Cтаття "Сучасні інтернет-атаки" надана Sophos Plc і SophosLabs.

Серпень 2007 р.

Існує багато методів, які хакери можуть використати під час атаки веб-серверів для зараження розміщених на них сайтів. До потенційних загроз відносяться:

  • Нестійкі комбінації імен і паролів користувачів.

  • Вразливі веб-програми.

  • Вразливі ОС.

  • Вразливе серверне ПЗ, СКБД, інструменти та бібліотеки.

Після виявлення вразливості хакер швидше за все спробує встановити на сервері яку-небудь віддалену консоль. Існує безліч таких програм; на мал. 14 показані знімки екранів найпоширеніших із них. Додаткова функціональність залежить від конкретного виду, але у більшості випадків є можливість завантаження додаткових файлів і виконання віддалених команд. У деяких екземплярах підтримується ряд функцій, спеціально розрахованих на зараження комп'ютера, — наприклад, автоматизація додавання скриптів і тегів iframe в усі сторінки в кореневому каталозі веб-сервера.

Мал. 14. Знімки поширених консолей, які використовуються для компрометації веб-серверів.

Використання єдиного ПЗ для підтримки роботи всіх веб-сайтів, розміщених на сервері, дозволяє хакерам заражати всі такі сайти одночасно. Зараження одного шаблону або бази даних потенційно призводить до компрометації всіх розміщених на сервері сторінок.

Очевидно, що на багатьох веб-серверах не використовується перевірка файлів під час звернення (як у масштабах усієї системи, так і в масштабах кореневого каталогу веб-сервера). Увімкнення такої перевірки допоможе захистити сервер від різних видів зараження та дозволить адміністратору вчасно дізнатися про зараження окремих сторінок. Якщо сайт невеликий, то такі прості заходи, як використання спеціальних скриптів для перевірки файлів у кореневому каталозі веб-сервера, також можуть допомогти адміністратору вчасно дізнатися про проблему. Веб-майстрам може стати в пригоді інструмент типу SpyBye [64], який призначений для перевірки змісту веб-сторінок, що відкриваються.

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!