“Teeme ära” koristustalgud sinu (tehtud) veebis – kõik /uus, /vana, /arhiiv ja /newsletter välja!

Peeter Marvet
Jaga:

Antud blogipostitus on 102 kuud vana ning ei pruugi olla enam ajakohane.

Fakt: kui su veebi vana versioon on liigutatud alamkataloogi /vana, /old ja uuendamata/turvapaikamata – või kui paned tegemisel oleva ja veel mitte igast nurgast turvatud/uuendatud veebi kataloogi /uus, /new vms – võtavad kurinahad selle varem või hiljem üle.

Pigem varem – ühe turvaintsidendiga tegeledes leidsime näiteks, et uus veeb oli üles pandud /uus alamkataloogi (mõistagi!) mullu 15. septembril ning 25. liigutatud veebi juurkataloogi ehk võetud kasutusele. FTP-logist on näha, et üles laetud veeb oli puhas, liigutamise ajal on seal aga juba sees ühe Hiina reklaamivõrgustiku häkk. 10 päeva, “keegi ei tea, et meil on /uus”. Kes teab, äkki oli adminni parool “test”? Mõni plugin uuendamata? Igatahes leidis selle augu jaanuari lõpus üles järgmine rühmitus ning pani veebi raha teenima.

Talvel koristasin üht teist veebi ja leidsin sealt 6 erinevat WordPress’i, mis paigaldatud viimase 5 aasta jooksul. Ja jupikese ISISe häkist. @martinsookael jagas aga sellist pilti – logides kliendi veebiserverisse leidis ta sealt 8 erinevas kõdunemisfaasis WPd:

Paraku on olemas tööriistad nagu DirBuster (ja selle massrünneteks sobivad analoogid), mille sõnastikud sisaldavad levinud nimekujusid – test.php, phpmyadmin, new, old, dev jne – ning sageli on sellisel viisil avastatud koodi kaudu sisse murdmine lausa tüütult lihtne. Neid veebe krõbistavad nooremhäkkerid hommikukohvi kõrvale, lihtsalt näpuharjutuseks.

Sellest ka “Teeme ära!” üleskutse, mille esimest otsa saab teha ka üldse-mitte-tehniline inimene – tuleta meelde, kas veebiuuenduse ajal on kuhugi vana versioon alles jäetud? Kui meelde ei tule, proovi järgi asukohad stiilis domain.ee/uus, domain.ee/vana, vana.domain.ee … või äkki vedeleb kusagil domain.ee/blogi oma ainsa tervituspostitusega?

Siit edasi võiks FTPga veebiserverisse sisse logida ja vaadata, ega loomehoos arendaja ole mõnda veidi erinevat nimekuju kasutanud – vana-web, vana2, archive jne. Pane kirja, lase veebimeistril igaks juhuks üle vaadata (äkki ikka on millekski vajalik?), siis arhiveerida ja kustutada.

Kui selle käigus hakkab silma aasta 2012 kampaania-maandumisleht, kunagine ise kirjutatud uudiskirjalahendus alamkataloogis /newsletter vms – siis täpselt samasse nimekirja.

Päisepilt ongi ühe täiesti reaalse firma veebiserverist – igati lugupeetav ettevõte, inimesed käivad lipsuga tööl ja büroojuht pakub kohvi kõrvale šokolaadikompvekki. Nende vana uudiskirja-lahenduse kataloogis on süütuna näiv configure.php, mis lähemal vaatlusel võimaldab veebiserverisse uusi faile üles laadida. Ehk teha seda, mida iganes kurinahk teha plaanis.

Jõudu tööle!

Populaarsed postitused

Kliendi edulugu ehk kuidas Voog meie uuele VPS platvormile kolis

Tanel Männik
Käesoleva blogilooga heidame valgust ühele suvel aset leidnud ettevõtmisele, millega said kodumaise sisuhaldustarkvara Voo osad teenused virtuaalserveritest...

Kuidas Turbo nupp päästis E-smaspäeva

Katrin Sulg
Veebipood hammas32.ee jagas meiega oma positiivset kogemust Zone Turbo nupu kasutamisel, mis aitas neil E-smaspäeva kampaania ajal suurenenud koormusega...

Zone teenused teel rohelusse

Ardi Jürgens
Tänavu suvel alutasime oma taristu ülekolimist Baltikumi kaasaegseimasse ja turvalisimasse andmekeskusesse. Koostöö Greenergy Data Centers’iga kasvatab...
Paketiuuendus: automaatsed tõmmised ja pikem varukoopia säilimine

Paketiuuendus: automaatsed tõmmised ja varukoopia pikem säilimine

Ingmar Aasoja
Meil on hea meel teatada, et Zone veebimajutusteenuse Pro paketi kasutajatele on nüüd saadaval automaatsed igaöised Zone+ tõmmised ning varukoopia...