Met het grote aantal websites dat er op onze servers staan, hebben we bij Byte helaas regelmatig te maken met gehackte websites. Common denominator is eigenlijk altijd dat de hacks plaatsvinden via FTP met een onderschept FTP-wachtwoord. Byte heeft onlangs een systeem ingevoerd om te voorkomen dat geïnfecteerde files worden geüploaded.

Grote stap op het gebied van beveiliging

Dit is een belangrijke stap vooruit in onze strijd tegen hackers en een unieke aanpak in hostingland. Een luide hoera dus voor Gertjan, onze Neil Armstrong op het gebied van FTP beveiliging en grondlegger van deze belangrijke wijziging!!

Hoe werkt deze FTP beveiliging?

In het kort komt het er op neer dat de files die een FTP client wil uploaden op bepaalde virusdefinities worden gescand. Als er zo’n verdachte definitie wordt herkend in een file, wordt deze geblokkeerd en dus niet op de server geplaatst. Op die manier wordt voorkomen dat het geïnfecteerde bestand schade kan aanrichten. Dit proces hebben we in onderstaande afbeelding gevisualiseerd. Daaronder leggen we het proces in enkele stappen uit.

FTP-Virusscan

schematische weergave FTP virus scan

Scannen op virusdefinities

Alle files die een FTP client wil uploaden worden op bepaalde virusdefinities gescand. Hiervoor maken we gebruik van virusdefinities van ClamAV (de anti-virussoftware die we onder andere ook gebruiken op onze mailservers). Daarnaast kunnen we zelf ook virusdefinities maken voor nieuwe hacks die nog niet worden tegen gehouden op basis van de bestaande definities.

Blokkeren geïnfecteerde files

FTP clients die een geïnfecteerde file uploaden, krijgen de melding dat de upload mislukt is, met de melding: “Virus Detected and Removed: <virusnaam>. Geblokkeerde bestanden worden gelogd.

Virusdefinities maken en waken voor false positives

Helaas passen hackers hun tactieken en trucjes aan. Om nieuwe hacks te kunnen tegenhouden is het dus nodig daar goede definities voor te maken. De identificatie die we in zo’n definitie meegeven, moet uniek zijn. Deze kunnen we dan later goed gebruiken om vast te stellen waarom een file geweigerd werd. Hierbij wordt uiteraard goed opgelet dat files niet zomaar onterecht worden geblokkeerd.

Voorkom zelf dat je FTP account wordt misbruikt

Dat Byte nu voorkomt dat een groot deel van de geïnfecteerde files wordt geüploaded, betekent niet dat onze klanten zelf niks meer hoeven te doen. Voorkomen is immers nog altijd beter dan genezen! Zorg dus dat hackers überhaupt geen kans meer maken om evil trucjes uit te halen met je accounts en website. Hieronder staan enkele linkjes naar pagina’s vol met tips en instructies hoe je zelf de beveiliging van je accounts en website kunt verhogen:

 

Scan je eigen Magento shop op veiligheidslekken