Meeste website beveiliging echt om bij te janken!.

Aan de niet professionele webmasters en website eigenaars,

Bij het scannen van websites op beveiligingsrisico’s and malware hier in de “virus en wormen sector” van ons avast webforum,
kom ik nog heel veel sites tegen waar het aanvallers wel heel erg makkelijk gemaakt wordt.

De meeste website servers geven nog steeds header info vrij over server & website software bijzonderheden,
die het wel erg gemakkelijk maakt voor een aanvaller om een exploit bij op te zoeken om de zaak te compromitteren en de boel te besmetten.

En op dit gebied gebeurt er ook veel te weinig.
Bij het toezicht houden bij IT examens bij een Hoger Instituut voor Communicatie en IT bleek beveiliging niet eens in het curriculum te zitten.
“Het jaar daarvoor was er wel iets aan gedaan maar niet met het juiste leerboek”, vertelde een student mij desgevraagd,
Hij runt inmiddels zijn eigen hostingbedrijfje. Echt een droevige situatie, mensen.

Als je de weg opgaat met een voertuig moet je een rijbewijs tonen, als je een website de lucht in tilt,
hoef je zelfs helemaal niets elementaals van website beveiliging te weten.
Je kunt vrijelijk al je bezoekers van je site besmetten met de meest smerige malcode.

We zijn nog ver van huis wat dat betreft.
En we kennen de houding van de meesten websitehouders, die is zoals het goed Hollandse spreekwoord zegt:
“Als het kalf verdronken is, dempt men de put”.
Men komt pas echt in aktie als de site op een blacklist staat en is geblokt en men het verlies aan bezoekers hard in de beurs gaat voelen.

Je wordt er niet echt vrolijk van, maar zo is het nu eenmaal. Goed dat avast! er is.

polonus

Misschien is het een goed idee om hier een voorbeeldje van een websiteveiligheidsscan te geven.

We kunnen twee metascanners combineren en hebben dan het meeste wel gecontroleerd.
http://scanurl.net/?u= & http://www.urlvoid.com/
Klik bij de laatstgenoemde scanner wel even door, zodat u echt de meest recente resultaten te pakken hebt.

Wat moeten we weten voor de scan start: de URL van de site of een meer complexe verdachte uri daar en het IP adres uiteraard.
We starten altijd met een https://www.virustotal.com scan, daar vangen we al heel veel mee.

Daarop kunnen we verder met een site domein Quttera scan,
die veel veiligheidsproblemen die tot echte bedreigingen zouden kunnen leiden zal aangeven.
Maar een echt beeld krijgen we natuurklijk alleen maar via een complexe scan met meerdere aparte website scanners.

De meest aanbevolen scan is de gratis website scan van Sucuri.
Zijn er outdated software problemen en malware, dan worden die daar aangegeven.

Een voorscan met een URL checker van DrWeb, Bitdefender TrafficLight, WOT, webutation en Netcraft kan ook al veel aan het licht brengen.

Kijk ook altijd apart even naar SSL Certificaat problemen en check het DNS voor fouten en misconfiguraties.
Gebruik hiervoor http://app.webinspector.com/ bijvoorbeeld.

Bij asp.sites is asafaweb een fijne scan. Veel sites kampen nog steeds met algemene server configuratiefouten
en geven te veel header informatie door aan de globale gemeenschap en aanvallers, alsmede andere onveiligheden.
De aanvaller/malcreant hoeft in dit geval alleen maar de bijbehorende exploit(s) op te zoeken om de zaak aan te vallen en besmetten.

De volgende Oostenrijkse scanner geeft ook veel gegevens: http://www.websicherheit.at/en/security-tools/web-security-test-scan-results/

De eerste keus header en response scanner die ook Snort en Suricata IDS waarschuwingen vermeldt is de Noorse: http://urlquery.net
Sommigen kunnen niet meer zonder die scanner.

Scanners die ook een indicatie kunnen geven uit de tweede garnituur zijn: http://maldb.com/ & http://evuln.com/tools/malware-scanner/
Ze zijn meestal wel betrouwbaar wat de scanresultaten betreft.

Maar er is nog meer, zoals http://jsunpack.jeek.org/? Deze scanner is alleen voor gebruik door beveiligingsexperts in een browser met NoScript en RequestPolicy als actieve extensies en gedraaid binnen een zandbak of lopend binnen een virtuele omgeving.

Houdt er altijd rekening mee om scan resultaten zoveel mogelijk te anonimiseren en alleen te presenteren in de vorm van een aangehecht plaatje,
waar men bepaalde gegevens in kan “uitgommen”. Geef nooit directe links naar verdachte sites of bestanden of code, altijd links in gebroken vorm,
zoals d.m.v. hxtp of wxw.
We willen ongeinformeerde gebruikers immers niet via een ondoordachte klik op een link besmetten!

Scan nooit verdachte en malcode links direct maar altijd via de zogeheten koude reconnaisance methode, dus via derde partij scanning.
Ga nooit direct naar een verdachte of besmette site. Niet doen. Een file-infector besmetting is echt geen pretje en kan je je hele computer OS kosten.

Besef ook dat directe scan resultaten nooit tegen de website mogen worden gebruikt
en dat voor directe scans/pentesting etc. op verzoek altijd vooraf schriftelijke toestemming van de eigenaar van de website vereist is.

Speciale scans moeten ook in een speciale educatieve omgeving en lab settings plaatsvinden,
anders vormt u een gevaar voor uwzelf en uw Internet omgeving.

Bent u de eigenaar van de site bezoek vooral ook deze scanner: http://aw-snap.info/file-viewer/ een absolute aanrader.

Het beste is natuurlijk uw scan te laten beoordelen op het forum hier.
We helpen u graag hierbij en we hebben tevens ook een aantal gekwalificeerde malware opruimers op het forum,
die u graag helpen als u op een besmette site gestoten bent en vermoedt dat u slachtoffer bent geworden van een besmetting,

Veel plezier met scannen,

polonus

Even een paar aanbevelingen voor de doe-het-zelf webmaster/web-admin.
Met dank voor de input van onze webforum vriend propheticus.

Zorg bij het gebruik van bestaande gangbare website software, zoals

  • Joomla!
  • WordPress
  • Drupal
  • Hippo CMS
    dat de software altijd van de laatste updates en van de laatste pleisters (patches) is voorzien.
    Dit is zeer belangrijk in het voorkomen van besmettingen van de kern-software.

Wees ook voorzichtig bij het gebruik van allerlei freeware plug-ins en thema’s.
Daar zit nog weleens wat brakke rommel tussen of versies die nog kwetsbaarheden kunnen bevatten.

De kernel-software van de meeste standaard CMS-en is best veilig te noemen,
daar zit het probleem dus niet. Maar hou de boel zo recent, als het maar zijn kan!

Bij WordPress is deze Quttera plug-in fijn om te gebruiken: http://wordpress.org/plugins/quttera-web-malware-scanner/

Meldt u aan bij een bekend CMS-forum en stel u op de hoogte van de meest elementaire website beveiligingsmaatregelen.

De Sucuri site beschikt ook nog over een handige PHP scanner/decoder: http://ddecode.com/phpdecoder/

Algemene hints, verstuur geen passwords via mail bij het aanmaken van accounts.
Doe aan spampreventie en kijk uit met bepaalde upload functies.
Het is altijd goed input en output voor de site strikt in de gaten te (laten) houden - validatie is uiterst belangrijk!.
Vinger aan de pols, altijd!

Het is misschien niet zo’n goed idee om uw site te laten hosten met 700 tot 1000 andere sites op een en hetzelfde IP adres.
Wordt er vanaf andere sites op het IP adres malware gelanceerd, kan u dat ook meetrekken in een IP blok of een URL:Mal blokkering opleveren.

Kijk of de server waarop de site loopt geen overbodige informatie ten gunste van aanvallers verspreid.
Een goede server-admin hoort te weten hoe hij de boel deskundig dicht kan timmeren, ik doel hier op voor excessieve header info, cookie header info,
error boodschappen, clickjacking kwetsbaarheden enz. enz. Zoek anders een ander bedrijf dat serieus werk maakt van beveiliging.

Help zo allen mee aan een zo veilig mogelijke Interweb-omgeving voor de bezoekers van uw webstek.
Men zal u er dankbaar om zijn.
Veilig online met avast!

polonus