Esta semana não foi uma semana boa para as empresas de host, inúmeros sites foram atacados por hackers via ataque Defacement, algumas estimativas parciais, estima-se que pouco mais de 100 mil sites foram prejudicados neste final de semana somente aqui no Brasil. Pela mensagem deixada na índex maliciosa e pelos rastros do ataque, a origem foi identificada no Marrocos.

O Que se entende por Defacement?

O Defacement (ou simplesmente deface) é um termo de origem inglesa para o ato de modificar ou danificar a superfície ou aparência de algum objeto e é empregado comumente na Segurança da informação para categorizar os ataques realizados por defacers e script kiddies para modificar a página de um site na Internet.

Geralmente os ataques tem cunho político, objetivando disseminar uma mensagem do autor do ataque para os freqüentadores do site alvo. Esses ataques podem também ter cunho pessoal, transformando-se em uma espécie de troféu para o autor — um prêmio pela sua capacidade de penetrar na segurança de um determinado sistema.

O ato pode ser analogamente comparado à pichação de muros e paredes. O autor do defacement geralmente é referenciado como defacer ou também pichador.

Grupos de Defacement são normalmente formados por crackers iniciantes entre 14 e 22 anos, em sua maioria tentando provar que tem capacidade e ser reconhecido pelos crackers.

O ataque no geral funciona assim: O hacker verifica o site que será atacado e se achar alguma brecha de segurança, como por exemplo, algum código HTML errado, algum formulário de contato mal configurado, pagina índex com erros na codificação, etc. O Hacker acha o erro e insere um código malicioso que faz a troca de índex. Outras vezes o hacker identifica o IP do servidor onde esta hospedado o site, cria um robô que faz a verificação dos sites com brechas e pelo mesmo robô e insere o código maligno.

A solução rápida ao problema e trocar a pagina índex criada pelo hacker pela pagina índex real do site. A solução real, para evitar novos ataques e inserir alguns códigos de segurança e fechando toda e ou qualquer brecha de codificação, etc. nos seus sites.

Alguns clientes da WebinHost também foram atacados via defacement, cabe ressaltar que os servidores da WebinHost cumpriram com seu papel e mantiveram todos os dados dos nossos clientes 100% seguros. Durante os ataques, não teve nenhum arquivo roubado, todos os sistemas foram resguardados sem perca nenhuma perca ou alteração de sistemas, etc. O kacker só atacou os sites que tinham brechas de segurança alterando a sua pagina índex.

Mesmo assim, para resguardar mais ainda os dados de nossos clientes decidimos adotar algumas medidas adicionais de segurança, entre elas:

1-      O acesso via FTP, WHM e CPanel, estará bloqueado para IPs fora do Brasil, isto não afetará em nada  os acesso aos sites via htpp://wwwseusite.com.br as pessoas fora do Brasil acessaram normalmente, so ano poderam entrar no no FTP/CPanel/WHM.

2-      Os Backups do servidor serão mais assíduos. Até ontem os backups dos sites eram diários, semanais e mensais, agora passaram a ser: diários, dia anterior, de 5 dias, uma semana e quinzenal.

O seja: se você cliente, precisar de um backup, teremos 5 opções, o diário gerado as 3 da manha todo dia, backup do dia anterior, backup de 5 dias anteriores, o semanal e o quinzenal. E alem disso, dois destes backups serão remotos, fora do servidor e hospedados fora da rede do servidor, desta maneira garantimos total segurança dos sites de clientes.

3-      Algumas configurações via PHP e Registros Globais, foram re-configurados a fim de oferecer mais segurança a nossos clientes.

No Geral, Como se prevenir desses ataques?

Existem sites que dão boas dicas de como se proteger. Citaremos alguns:

– Para se prevenir do ataque chamado de SQL injection, leia o artigo SQL Injection no PHP: O que é e como se proteger.

– Para se prevenir do XSS, leia Xss Desvendado! – na slideshare.net, o artigo possui boas dicas.

Tomando como base esse texto, podemos dizer que para se prevenir é preciso fazer 2 coisas:

1.            Filtro de palavras no código;

2.            Acompanhamento por IDS (Intrusion detection system) para evitar ataque de negação de serviço;

Algumas perguntas e dicas referentes a segurança do site:

1. Como escapar corretamente os formulários PHP ou mesmo ASP para que não se sofra um SQL injection?

R: Filtrando seu conteúdo.

2. Como lidar corretamente com permissões de arquivos para que uma página PHP não consiga reescrevê-los?

R: Utilizando o .htaccess do Apache, ele restringe o acesso a determinados arquivos e pode impedir hotlinking fora do seu site.

 3. Como configurar uma pasta para upload de documentos fora do link navegável para que ninguém consiga realizar um upload de um script e executá-lo?

R: Coloque a pasta acima do diretório /www/, para acessá-la você pode usar um PHP com a função fopen().

4– Senha de FTP deve conter caracteres especiais e se possível ser alterada de tempos em tempos, sempre que um PC usar o FTP se certificar de que este não esta infectado por algum spyware por exemplo, 90% de ataques a sites e invasões em si são com senhas de FTP roubadas desta maneira, exemplo de senha segura:  7g6s3evhfF%$

5– Evitar permissões desnecessárias em pastas, como por exemplo 777, arquivos também, geralmente formulários de upload tem grandes falhas com isto.

6– Sempre que tiver formulários de upload no site, como imagens e etc. fazer uma checagem do conteúdo MIME TYPE antes de efetuar o upload, segue o mesmo para formulários de email, são usados muito para envio de spam por brechas nos códigos, sempre verificar se o conteúdo dele é o esperado e não tem nenhum comando SQL ou outro.

7– Utilizar as ferramentas disponíveis no Cpanel, como por exemplo fazer o donwload de backups quando possível, pelo menos do MYSQL e sempre manter uma cópia do site, da estrutura de arquivos do site em um computador local e não apenas uma única cópia no servidor, por mais segurança que seja feita, backups e muitas coisas, estamos lidando com uma maquina que pode dar problemas e você estando preparado sempre terá mais segurança.

8– Arquivos do site devem sempre quando possível serem vistos e checados, pelo menos os diretórios e verificar se todo o conteúdo é realmente conhecido se não tem nenhum arquivo estranho ou fora do conhecimento do dono do site.