Wirusy krążą po internecie. Na serwerach hostingowych w każdej chwili pojawiają się próby połączeń, z których pewna część nie jest legalnymi połączeniami do strony www, ale sprawdzeniem, czy konkretna strona www nie jest podatna na znane zagrożenia. Dziennie można liczyć takie próby w setkach tysięcy na każdym z serwerów. Wiele z tych prób jest blokowanych przez dostawców internetu, np. na firewallu, ale też przy pomocy różnych rozwiązań WAF (Web Application Firewall) w tym Mod_Security.
Części prób ataków nie da się jednak zablokować. Bo jak zablokować próbę zalogowania się do WordPress na poprawne hasło (choć wykradzione wcześniej z komputera użytkownika)? Nie da się. Podobnie jest w przypadku wykradzionych haseł do ftp, czy cPanel.
Dlatego ważne jest, żeby hosting posiadał wielostopniowe zabezpieczenie przez exploitami.
Na serwerach Smarthost.pl wszystkie pliki są chronione unikalnym systemem anty-exploitowy. System w czasie rzeczywistym nadzoruje modyfikację plików użytkowników i dba, aby nie zostały wgrane żadne pliki, zawierające szkodliwe oprogramowanie. System dba również o powiadamianie użytkowników o używanych przez nich nieaktualnych wersjach oprogramowania.
Ile wirusów wykryliśmy w 2022 roku ?
W roku 2022 nasz system wykrył i zablokował:
283 873 zainfekowanych plików
(skanowanie przeprowadzone było na 394 728 211 plików na naszych serwerach)
Dodatkowo wśród 394 728 211 plików na serwerach w roku 2022 nasz system wykrył:
1 419 575 nieaktualnych skryptów
Przedstawione statystki doskonale obrazują z iloma zainfekowanymi plikami oraz nieaktualnymi skryptami spotykają się klienci firm hostingowych na codzień. Pokazuje to jak duża skala jest tego problemu i ile aplikacji klientów zostało zabezpieczonych przez narzędzie na serwerach hostingowych w naszej firmie.
O wszystkich zainfekowanych plikach oraz nieaktualnych skryptach nasz system informował klientów poprzez wiadomość email, w której wskazane były dokładne lokalizacje zainfekowanych plików. Zainfekowane pliki zostały przeniesione do odrębnego i niedostępnego dla użytkownika katalogu kwarantanny.
Co daje blokowanie zainfekowanych plików ?
Blokowanie zainfekowanych skryptów to ratunek dla wielu aplikacji, brak reakcji w przypadku infekcji skutkuje często przejęciem całej strony internetowej, co może nieść za sobą poważne konsekwencje. Działanie systemu antyexploitowego w tle nie pozwala na wgranie większości zainfekowanych plików i automatycznie przenosi je do kwarantanny. Informacje wysyłane do klientów podczas przeniesienia niebezpiecznego pliku do kwarantanny pozwalają klientom na odpowiednio wczesną reakcje i zabezpieczenie strony.
W większości przypadków istnieje jeszcze możliwość przywrócenia niezainfekowanych plików strony z backupu i jej zabezpieczenia. Brak wiedzy na temat infekcji skutkowałby najczęściej poważnymi problemami z którymi pomóc mogliby już tylko specjaliści.
Widać również, jak duży wpływ na rożnego typu włamania mają nieaktualizowane aplikacje. Dzięki systemowi antyexploitowemu działającemu na serwerach, nasi klienci są na bieżącą informowani, które oprogramowanie należy zaktualizować. Dbanie o to aby aplikacje korzystały z najnowszych wersji komponentów poprawia bezpieczeństwo oprogramowania i chroni przed sporą częścią włamań.
W większości popularnych CMSów, takich jak WordPress lub PrestaShop aktualizacje są bardzo proste i nie wymagają wiedzy programistycznej oraz nie zajmują dużo czasu, a ich wykonanie niesie ze sobą bardzo wiele pozytywnych skutków w tym podniesienie bezpieczeństwa aplikacji.
Jakie dokładnie exploity wykrył skaner antyexploitowy?
Poniżej przedstawione zostały konkretne liczby znalezionych zainfekowanych plików oraz nieaktualnych wersji skryptów na kontach naszych klientów. Przeprowadziliśmy analizę analizę i grupowanie najpopularniejszych problemów ze stronami naszych Klientów.
Ataki na plik .htaccess
Najczęściej atakowanymi plikami, w których nasz skaner odnalazł zainfekowane fragmenty kodów były te powiązane z plikiem .htaacess. Było ich ponad 100 tysięcy (dokładnie 102 626). Doświadczenie pokazuje, że infekcje pliku .htaccess najczęściej związane są z dodaniem w tym pliku różnych niechcianych przekierowań na zewnętrzne strony www (w tym na strony spamerskie, zawierające wirusy, treści hazardowe lub pornograficzne).
Ataki na luki w skryptach php
Kolejnymi równie często atakowanymi plikami były skrypty PHP. Zainfekowanych skryptów PHP skaner na serwerach Smarthost odnalazł prawie 80 tysięcy (dokładnie 78 519). Po analizie zgłoszeń klientów, a także po posumowaniu działania naszego skanera, jednym z najczęściej atakowanych plików, co jest w zasadzie zrozumiałe, bo praktycznie każda strona go zawiera jest: index.php.
Skaner antyexploitowy na serwerach wykrył i zablokował również dużą ilość zainfekowanych plików powiązanych ze skryptami do wysyłki e-maili. Niezabezpieczone skrypty, były modyfikowane tak, żeby służyły do wysyłki spamu, ale były też wgrywane dodatkowe skrypty, które miały służyć do wysyłania spamu.
W czołówce najczęściej pojawiających się exploitów są również te związane z dostępem do shell – Najczęściej były to pliki, które pozwalały na uruchomienie zdalnego dostępu do powłoki linux na koncie hostingowym przez stronę www.
| Typ wykrytego exploita | Ilość wystąpień |
| Exploited .htaccess | 102626 |
| PHP Exploit | 78 519 |
| PHP COOKIE Exploit | 43537 |
| Shell Exploit | 8881 |
| PHP Obfuscation Exploit | 7988 |
| PHP Excess EVAL Exploit | 358 |
Wykrywanie i informowanie o nieaktualnych wersjach aplikacji
System antyexploitowy wykrywa również nieaktualne wersje skryptów. Wykonana została dokładna analiza wykrytych w 2022 roku na naszych serwerach nieaktualnych skryptów. Nieaktualnych skryptów było znacznie więcej niż opisanych powyżej exploitów.
Wersje skryptów uznawanych za aktualne zmieniały się czasem wielokrotnie w ciągu roku. Zatem zestawienie w ramach jednej z wersji zawiera skrypty, które mogły być aktualne, a następnie stały się nieaktualne za pewien czas, ze względu na zmianę wersji aktualnej.
Dokładne informacje wysłane do klientów miały zatem znaczenie w przypadku wystąpienia braku aktualności skryptu w konkretnym dniu, ze wskazaniem używanej, nieaktualnej wersji skryptu oraz wersji aktualnej.
Z analizy wyników skanera antyexploitowego wynika, że najczęściej nieaktualizowany był edytor JCE Joomla w wersji 2.9.22.
Równie częstym problemem były nieaktualne wersje WordPressa, których na naszych serwerach wykryto w 2022 roku prawie 25 tysięcy (dokładnie 24 800).
Skaner na serwerach Smarthost znalazł nawet wiele stron opartych o WordPressa wciąż w wersji 4.9.22, podczas gdy aktualną wersją był już WordPress z linii 6.x.
Równie często nieaktualizowana jest wtyczki dla WordPressa: Akismet Anti-Spam oraz Better Search Replace, której skaner wykrył ponad 28 tysięcy (28236).
W czołówce nieaktualizowanych skryptów znalazła się również wtyczka LiteSpeed Cache v4.5.0.1, PayPlans v4.2.10, Yoast Duplicate Post v4.1.2 oraz Classic Editor v1.5. 2035.
| Nazwa nieaktualnego skryptu | Ilość wystąpień |
| JCE v2.9.22 | 24184 |
| Classic Editor v1.6 | 10600 |
| WordPress v6.0.3 | 4498 |
| Classic Editor v1.5 | 5719 |
| WordPress v6.0.3 | 4498 |
| Akismet Anti-Spam v4.1.9 | 4083 |
| WordPress v5.9.3 | 3605 |
| WordPress v5.8.3 | 3314 |
| Better Search Replace | 2035 |
| PayPlans v4.2.10 | 2012 |
| LiteSpeed Cache v4.5.0.1 | 1981 |
Ochrona skryptów klientów – ważne zadanie dla hostingu
Wirusy mogą mieć teoretycznie wszyscy, którzy nie zabezpieczyli odpowiednio strony www albo nie aktualizują jej komponentów. Zabezpieczenie jest zwykle procesem, a nie jednorazową czynnością – stąd pojawia się coraz więcej firm, które oferują stałe wsparcie i dbanie o dobrą kondycję strony www. Nie są to firmy hostingowe, które z założenia zapewniają platformę dla działania stron www, ale firmy programistyczne.
Wiele firm hostingowych nie przejmuje się wirusami na stronach swoich klientów. Formalnie – firma hostingowa nie ma takiego obowiązku, bo za aplikację odpowiada klient. Wiele firm jednak dba o swoich klientów podstandardowo. Jedną z nich jest www.Smarthost.pl
Ciekawostka: zainfekowane pliki podczas migracji hostingu
Jako ciekawostkę warto wspomnieć o zdarzających się co pewien czas niepokojących przypadkach. W W ramach usługi hostingu, wykonujemy bezpłatne przeniesienie danych z obecnego serwera na nasz. Czasami okazuje się, że podczas kopiowania plików na nasze serwery, system antyexploitowy który na nich działa, wykrywa zawirusowane pliki – oznacza to, że one były od dawna na stronie klienta – tylko klient o tym nie wiedział. Może pojawić się w takim przypadku pytanie, czy i jakie dane były wykradzione? Czy nastąpił wyciek danych (co byłoby niezwykle ważne m.in. dla sklepów internetowych)?
System anty-exploitowy działa w trosce o bezpieczeństwo aplikacji naszych klientów i blokuje niepożądane działania.
Pod żadnym pozorem nie należy jednak ignorować powiadomień, które wysyła system działający na serwerach Smarthost.
Podjęcie wskazanych działań zapobiegnie przejęciu kontroli nad stroną internetową i sprawi, że dane będą odpowiednio chronione.
Mądre polskie przysłowie mówi: „lepiej zapobiegać niż leczyć”
wybierz hosting mądrze: www.smarthost.pl
- Tworzenie polecenia w harmonogramie zadań (CRON) - 6 grudnia, 2023
- Uwierzytelnianie Dwuskładnikowe (2FA) dla poczty - 19 września, 2023
- Podsumowanie działania systemu antyexploitowego w roku 2022 - 31 marca, 2023