Múlt héten kaptam egy megkeresést. A hölgy arra panaszkodott, hogy az oldalát veszélyesnek minősítette a Google, leálltak az AdWords hirdetései is. A tárhelyszolgáltató többféle víruskeresővel is átnézte az oldalt, de nem talált semmit, ezért kéri a segítségemet. A dolgot kicsit nehezítette, hogy az oldalhoz nem volt FTP hozzáférés, így más úthoz kellett folyamodni.
Mivel a wp-admin-hoz volt hozzáférés, egy egyszerűsített WebShield verziót telepítettünk az oldalra, hogy távolról át lehessen vizsgálni a fájlokat. Reméltem, hogy csak a terminológia rossz, és nem Windowsos víruskeresővel nézte át a tárhelyszolgáltató a PHP fájlokat. Mivel a WebShield nem talált semmit, ezt a gondolatot elhesegettem. A Google viszont nem rak csak új jókedvéből tiltólistára senkit. Két opciót láttam:
- Az oldal valóban fertőzött volt, de a tárhelyszolgáltató letakarította, és nem szólt róla
- A szerver csinál valami olyan csúnya dolgot, ami miatt az összes domain név, ami erre a szerverre mutat tiltólistás lesz.
Egyik sem túl jó opció.
A Windows nyomában
Elkezdtem kicsit tüzetesebben átnézni a weboldal fájljait. Ami feltűnt, hogy találtam az index.php mellett egy web.config nevű fájlt. A web.config-ról tudni lehet, hogy a Microsoft IIS webszerver esetén ebben a fájlban lehet szabályokat megadni, hogy mi legyen elérhető, mi legyen, lejelszavazva, stb. Tehát kiderült, hogy ez a tárhely bizony egy Windows szerver, amin IIS szolgálja ki a webes kéréseket.
Hogy finoman mondjam, a Windows + IIS páros nem tekinthető iparági standardnak a tárhelybizniszben. Csak a példa kedvéért: a legtöbb webes rendszer, így a WordPress is a .htaccess nevű fájlba írja a szabályokat – ez kell ahhoz például, hogy szép URL-ek legyenek az oldalon, vagy hogy egy alkönyvtár fájljait ne lehessen listázni. Mivel a .htaccess fájlt az Apache nevű webszerver (jelenleg a teljes weben 50% részesedés, tárhelyszolgáltatók esetében szerintem közel a 100%-hoz) használja, ebből következik, hogy az IIS esetében ezek a fájlok hatástalanok. Vígan hozzá tudtam férni az oldalon olyan adatokhoz, amihez baromira nem kellett volna.
Mennyire lehet biztonságos?
Arra gondoltam, hogy ha valaki ebben az iparágban Windows + IIS kombinációt használ, azt valószínűleg azért teszi, mert a next-next-finish katt-katt-katt hozzáállással dolgozik. A Windows-t ismeri, ezt teszi fel. Gyanakodtam, hogy biztonság terén lesznek hiányosságok – és ebben az is megerősített, hogy látszólag nem foglalkozott senki azzal, hogy a .htaccess hatástalan.
Félelmem beigazolódott. Az IIS nem volt megfelelően beállítva, így hozzáférhető volt a többi weboldal is, amit ezen a szerveren hostolnak. Az ügyfelek nem voltak egymástól rendesen elkülönítve… Tovább megyek: a weboldalak összessége sem volt rendesen elkülönítve. Gyakorlatilag a teljes merevlemez tartalma a lábaim előtt hevert. Innentől kezdve viszonyal egyszerű megszerezni jelszó hasheket, registry bejegyzéseket, és szépen offline módon elkezdeni dolgozni azon, hogy bejusson az ember a szerverre.
Ezt már nyilván nem tettem meg, nem is lett volna értelme. A segítségkérő hölgynek elmondtam az aggályaimat, és a tárhelyszolgáltatót is értesítettem róla, hogy bizony fokozni kellene a biztonságot!
Hogy mi a tanulság?
A tanulság első körben az, hogy a fertőzés valószínűleg egy másik weboldalt érintett, és onnan fertőzött tovább a többi weboldalra. Sőt, lehet, hogy maga a szerver is már rég fertőzött, hiszen ahogy elmondtam, viszonylag kis erőfeszítéssel nagy eredményeket lehet elérni. És ha a szerver fertőzött, akkor könnyen tiltólistára kerülhet.
Amennyiben nem vagy szakmabeli, nem tudom hogyan lehetne jó tárhelyet választani. Hiába mondja el a tárhelyszolgáltató neked az alkalmazott technológiát, ha kínaiul van számodra. Gyakran engem is megkérdeznek, hogy kit ajánlok… Sok tárhelyszolgáltató van a piacon, így nincs rálátásom minden cégre. Azok közül, akit ismerek, a Profitárhelyet szoktam ajánlani. Egyrészt több ügyfelem is náluk van, és elégedettek a szolgáltatással, másrészt a Profitárhely volt az a cég, aki két három évvel ezelőtt Biztonsági auditot kért a szolgáltatására – tehát valóban fontos nekik a biztonság!