We hebben een tijdje gewerkt aan een nieuwe feature die ik vandaag heb gereleased op het Service Panel. Graag laat ik deze nieuwe feature even op het blog zien. Maar eerst een beetje achtergrond 
Hackers
Een van de grote plagen op het internet zijn hackers. Veel mensen denken dat het nog wel meevalt met hacks. Of ze denken dat hun site zo klein of zo onbelangrijk is dat hackers vast niet geinteresseerd zijn. De waarheid is echter nogal anders. Juist op de kleine sites wordt veel gehacked. Het zijn vaak sites:
- die met standaard software zijn gemaakt (Joomla/Wordpress)
- waar het budget voor goed onderhoud en goede beveiliging ontbreekt
- waar de webmaster nog wel eens een maand op vakantie wil gaan, omdat er geen backup webmaster is
- die worden gemaakt door beginnende webmasters
Nou zal je denken: “Maar met standaard software zit je toch juist goed?”. Dat klopt ook, omdat je van de updates van de developers kunt genieten. Maar als je niet regelmatig update of in de accesslogs kijkt naar hacks, dan kun je nog wel eens van een koude kermis terugkomen. Juist de oude versies van Joomla/Wordpress, etc. worden veel misbruikt.
Een paar getallen die Gruus eerder al gebruikte voor zijn presentatie op de Joomladagen
- 116.754 aanvallen tegengehouden per week, anderhalf miljoen per jaar.
- Aanvallen komen van grosso modo 92000 verschillende IP’s per jaar.
- Een beperkt aantal IP’s zorgt voor de meeste aanvallen.
- Zo zijn de top tien IP’s van vanmiddag verantwoordelijk voor 54% van de aanvallen.
- 62% van de aanvallen is gericht op bugs in Joomla.
- Zelfs bugs uit 2006/2007 worden nog gebruikt.
- 69% van de aanvallen doen een “remote file inclusion”. Als die lukt hebben de hackers in 1 klap 100% controle over de hele website.
Nu heeft Byte al maatregelen genomen tegen het gros van de hackpogingen, bijvoorbeeld het default uitzetten van allow_url_include en allow_url_fopen, maar er zijn ook andere mogelijke hacks, bijvoorbeeld door het uploaden van bestanden via lekke file-upload programma’s.
Byte Adaptive Filtering
Nu de clou! Byte is een tijdje geleden begonnen met het monitoren van hack activiteiten. We doen dat door de verzoeken van clients te monitoren en die periodiek te beoordelen. Ook hebben we een aantal generieke kenmerken aan URL’s gehangen, waardoor we kunnen bepalen of er een hacker bezig is of niet.
Nu we dat een tijd gedaan hebben zijn we ook begonnen om hackers geautomatiseerd te blokkeren als verdachte activiteiten worden waargenomen. Dat werkt erg goed. Er zijn nogal wat IP’s tijdelijk geblokkeerd. Zie ook de kengetallen boven
Iedereen die gebanned wordt, komt niet meer op het Byte netwerk. Dat wil zeggen dat het IP voor het volgende is afgesloten:
- Alle websites
- FTP
- De shellserver
- Mailservers (POP, IMAP en SMTP)
- Service Panel
Eigenlijk alles dus
Een hacker die nog probeert bij Byte binnen te komen krijgt altijd de abusepagina te zien. Dus als je het volgende ziet dan ben je stout geweest
Service Panel
Op het Service Panel maken we voor de klant inzichtelijk welke hackpogingen er gedaan worden op zijn of haar sites. We hebben daar een aantal kekke grafieken van gemaakt. Neem als voorbeeld deze:
Ook geven we inzicht in welke aanvallen er populair zijn:
Op termijn willen we meer features toevoegen aan het Service Panel. Maar eerst maar eens kijken wat de reacties zijn.
Vragen
Ik snap dat er klanten zijn die vragen zullen hebben over deze functie. Mocht je met prangende vragen zitten, schroom dan niet om ze te stellen. Mail even naar support en we leggen het graag uit
Allard Hoeve
Teamleider Techniek
Pingback: News from the Byte HQ » 200.000 hackers gestopt