За последние десятилетия компьютеры прочно заняли ведущее место по обмену, хранению и распространению информации. В век информационных технологий, кроме обычных пользователей, существуют такие люди, которые умеют незаконно открывать и применять личную конфиденциальную информацию в своих интересах.
Взлом сервера – это явления достаточно распространённое. Для начала, разберёмся в значениях терминов:
Сервер – это аппаратное обеспечение, которое используется для выполнения на нём серверных программных задач.
Взлом – это действия, направленные на устранение защитного программного обеспечения.
Взлом сервера производится хакерами, специалистами–программистами, которые отлично владеют компьютерами и умеют использовать информацию в незаконных целях.
Основными целями взлома сервера могут быть:
- добыча важной информации;
- выведение сервера из строя, с целью нарушения полноценной работы всей системы;
- размещение на странице скрытых вирусов для заражения пользовательских устройств;
- снижение сайта-конкурента в результатах поисковой выдачи… и многое другое.
О способах взлома серверов мы говорить не будем – незаконно это, да и есть для обсуждения этого специализированные сайты.
Представим, просто, что это произошло. Что дальше делает злоумышленник?
- Закрепляется в системе и стирает следы своего проникновения. Для этого выясняется окружение, заливаются дополнительные бэкдоры и шеллы, модифицируются правила файрволла, чистятся лог-файлы, изменяется планировщик задач, чтобы максимально закрепить инструменты удалённого доступа в системе.
- Выкачивается/модифицируется/уничтожается хранящаяся там информация. Если взламывается какой-то корпоративный сервер, то это может быть основной целью злоумышленников.
- Если на сервере висит служба веб-сервера, вероятна модификация скриптов php или js (ну или на чём там сейчас веб-сайты в моде?), с целью инфицирования пользовательских машин вредоносными программами.
- Сервер может использоваться для рассылки спама – всё ещё весьма серьёзная угроза, влияющая на репутацию сайтов (доменов). В конце-концов, IP-адрес сервера и/или доменное имя попадают в чёрные списки антиспам сервисов и рейтингу взломанной фирмы наносится сокрушительный удар.
- Сервер может использоваться в качестве бота для распределённых атак на другие узлы. Надо сказать, что DDOS-атаки сейчас стали достаточно популярны. Ну как ещё лучше насолить конкуренту, если не парализовать его сайт. Особенно остро эта угроза может встать перед владельцами интернет-магазинов.
Как это выглядит? На крупный портал организуется атака (перенасыщение каналов связи, вызывающая невозможность войти на на сайт легитимным пользователям). Легальные пользователи не могут войти на сайт, идут дальше (уходят к конкурентам). Бизнес терпит большие убытки. Страдает деловая репутация. Новые клиенты не появляются, старые – уходят туда, “где спокойнее”. Цель достигнута.
Полезная, кстати, информация – отчёт Лаборатории Касперского о тенденциях DDOS в наше время. Рекомендую ознакомиться на досуге (внимание, английский язык, но всё понятно).
Теперь о том, как защититься. Будем действовать соизмеримо масштабам. Если имеется крупный бизнес, то стоит обратиться в специализированные фирмы защиты. У нас – начало, поэтому и начинать будем пока самостоятельно.
- Защита доступа на сервер – отрубим все неиспользуемые сервисы прямо на файрволле (оставив только 80 и 443 порт (да, получение сертификата – ещё один шаг к безопасности);
- Использование непростых паролей к имеющимся сервисам доступа.
- Использование утилит блокировщиков доступа при определённом количестве нарушении аутентификаций (типа fail2ban).
- Совсем не лишним будет настройка tripwire (и умение им пользоваться), чтобы своевременно замечать все изменения критичных файлов. Так сможем отслеживать изменения настроек сервера (планировщик, файлы и скрипты веб-сервера, которые не должны изменяться).
- Настройка лимитов на определённые действия (ssh аутентификации, лимиты на http).
- Использование арендованных серверов (mixtelecom.ru) или целых Content Distribution Network (CDN).
Comments: