[COMO] PROTEGER SU HOSTING Y WEB DE HACKERS

http://soltronica.com/blog/blog-alojamiento-web/-como-proteger-su-hosting-y-web-de-hackers-.html

A parte de lo comentado tener actualizado siempre las últimas versiónes de los cms que usemos más los plugins, aplicar una correcta securización, instalar un WAF en el servidor como mod_security para prevenir SQL Injections, XSS scripting etc. Utilizar SFTP en vez de FTP puesto que viaja en llano. Ocultar la versión de los scripts para evitar dar pistas.

A y lo más importante contratar en hosting de un precio medio/alto ayudara a evitar más hackeos puesto que no habra niñatos alojando sitios inseguros.

 

Hola, el título del tema deberia ser
Como proteger su hosting y web de Script kiddie o Crackers

De nada sirve todo eso si la empresa que te provee el servicio tiene vulnerabilidades en su plataforma de hosting.

 

Estoy de acuerdo con CircuitoX, igual lo de comprar host medio altos de precio no sirve de nada, he visto hosts de 40 euros al mes( compartidos ) que en tienen muy mala seguridad.

Con tener todo actualizado es suficiente, mas no se puede hacer en un compartido, todo depende de la empresa y de la seguridad que tengan.

 

En un hosting compartido de tres cientos dominios no puedes estar controlando si todos los usuarios tienen actualizado sus CMS. Es imposible.Incluso siendo machacón y educando a los clientes, al final, se olvidan y no actualizan. O actualizan muy de vez en cuando (a no ser que sean usuarios convencidos)
Ademas de las recomendaciones citadas es interesante limitas algunas funcionalidades de php que son potencialmente peligrosas, sobre todo a los sitios comprometidos alguna vez.

 

Hola, sobre un cms desactualizado , uno debería ofrecer la actualización automática por defecto y es el usuario donde elige actualizar si o no.

en el caso de joomla empresas como http://www.siteground.com/ ofrecen esa opción por medio de un plugin insertado en cpanel.

También se me ocurre tener una aplicación que corra en el server y te de un listado de los cms instalados y ver que versiones están desactualizadas y si lo esta mandar una notificación vía email al dueño, todo automatizado.

Sobre el control de usuarios se puede realizar de varias formas , por ejemplo mediante un análisis de archivos por medio de RKHunter, CHKRootkit, Unhide, y por ultimo se puede hacer una sincronización en tiempo real los archivos del servidor hacia la pc y es hay donde puedo usar más herramientas para ver a fondo lo que hacen los usuarios todo automáticamente. (rsync)

Es algo personal pero en el tema de la informatica decir que es imposible es imposible decir eso.

 

Se puede aplicar una política en el contrato que sea si detectamos que tu cms está desactualizado podría suponer la cancelación del contrato sin previo aviso. Yo he visto eso en algún proveedor ahora no recuerdo.

 

Circuito, tienes razón, no es imposible. Lo que dices está muy bien. ¿tú lo haces? Yo cuando hacía labores de administración de sistemas era un obseso con esos temas y me hacia scripts para informarme de muchos parámetros: ficheros "raros" con permisos 777, uploads raros al /tmp, crons que vigilaban nombres de ficheros de exploits conocidos, ... un arsenal de scripts. Lo que nunca hice fue lo que comentas un listado de cms para ver las versiones actualizadas con notificaciones automáticas al cliente (y al administrador). Puedes hacerlo para algunos cms tipo los más usuales (wp, joomla..) pero en realidad hay decenas o centenares de aplicaciones nuevas que salen y viejas. Por eso decía que es difícil mantener un estado informativo actualizado en compartidos. Pero está muy bien uno de wp, por ejemplo. Si quieres compartir el script, bienvenido Había un foro no oficial de un proveedor muy conocido de hosting (Alabanza) hace como 15 años que era genial. Los dueños de los hosts compartíamos infinidad de scripts para hacer todo tipo de labores. Es uno de los mejores foros que he visto. Como eramos todos clientes de Alabanza, había un sentido de comunidad fuerte, aunque todos nos dedicáramos al web hosting. Desafortunadamente ese foro desapareció y la gente también. Había algunos scripts que los ponían a al venta por cantidades modestas, 50, 100, 150 dólares. Los que sois administradores profesionales, quizás no sea mala idea, si os interesa. Seguro que había más de uno que lo miraríamos.

 

Hola digitalvalley, Sobre esto.

También se me ocurre tener una aplicación que corra en el server y te de un listado de los cms instalados y ver que versiones están desactualizadas y si lo esta mandar una notificación vía email al dueño, todo automatizado.

se me ocurrio buscar algo referente y encontre esto:

http://kb.iweb.com/entries/29801848-Verifying-CMS-versions-on-multiple-websites

Lo he probado en 50 joomlas (cpanel ) y funciona , me detecta las versiones de joomla 1.5 y 2.5 no lo probe en la version 3

tambien existe para wodpress y drupal en cpanel y plesk

Despues de detectar la versión habria que realizar la notificación y parar eso existe un tema relacionado en:

http://www.tecmint.com/get-root-ssh-login-email-alerts-in-linux/

A seguir trabajando , saludos para tí y todos los miembros de este foro.

 

Umm esta bastante bien, hasta se me a venido a la cabeza la idea de hacer algunas modificaciones, al menos para cpanel es muy sencillo y tal vez cuando tenga tiempo la desarrolle.

Un code similar a ese pero que el mismo mande un email a los usuarios notificando que tiene cms des actualizados a su email de cpanel, escaneo cpanel y notificación automática a ver si la próxima semana puedo comenzar a hacerlo

 

Skamasle muchos de la comunidad te lo vamos agradecer.

 

Pues si alguien quiere ayudar en el desarrollo que contacte conmigo.

No tengo mucho tiempo, así que voy agregando una linea de código de vez en cuando, hoy tuve un rato y ya esta la alpha 0.1

Por ahora solo he trabajado en el sistema de detección, por ahora detecta versiones obsoletas de joomla, a diferencia de lo que hace iweb que muestra las versiones, este solo te dice si la versión es obsoleta o no y luego manda el email, aunque aún no manda nada, pero ya escanea.

Por ahora funciona en cpanel solo.

 

Sabes, siquiera, lo que es un Cracker..?

 

¡¡¡No lo se!!! por eso lo he puesto.

Un Hacker o Cracker pueden tener los mismos conocimientos lo que les diferencia es la ética.

Puede ser Bueno o Malo

 

Si nos basamos en la ética que mencionas, los hackers también rompen sistemas, roban datos y causan destrozos si así lo quieren y siguen siendo hackers. Los crackers son llamados así, principalmente, por desmantelar programas, "crackearlos", para, en términos simples, no tener que pagar por una licencia...

No hay hackers buenos ni malos, son simples personas con intereses propios.

 

Sin Comentarios.

 

Obvio...

 

No deberia pero estoy un poco imspirado.

mi opinión no es importante tampoco la tuya pero aquí va.

El verdadero Hacker es aquel que tiene amor por el conocimiento, no le importa el dinero menos el interés propio, saben que pueden sacar dinero de un banco pero no hacen porque tienen principios.

 

Se a desviado ya un poco el tema, un hacker es el que sabe y ahí el asunto, por que le dices hacker a linus trovalds o a bill gates, no por que sepan colarse en algún sistema si no por que son unos expertos, así digamos que se le puede decir hacker a un experto, guru y luego hacker.

Un hacker no necesariamente se tiene que colar en los sistemas y tampoco tiene que saber hacerlo.

Pero vamos cada quien usa sus términos y tiene sus definiciones para estas cosas, lo mismo un cracker puede ser un hacker, solo que le dicen cracker por que anda vulnerando cosas, pirateando etc.

El asunto es que tienes que ser muy bueno para que te digan hacker, ya sea en el tema de seguridad en programación etc etc o haber hecho algo muy grande, como linux, como windows etc.

Pero en este tema cada uno tiene sus opiniones y su propia manera de ver a un hacker.

 

OFFTOPIC >> Yo ni hacker, ni cracker, pero si me pongo en las inmediaciones del congreso con el portatil y haciendo ver como que escribo en esta web, seguro que alguien uniformado me hace alguna pregunta http://goo.gl/7qBLRn

Volviendo al tema, tenemos un muy buen script de los chicos de Configserver, los creadores de CSF, que bajo mi punto de vista, es imprescindible en entornos de hosting compartido, es el CXS (Configserver eXploit Scanner), no te cambia la actitud de los clientes, pero almenos reduce el impacto interceptando en tiempo real los intentos de uso de las vulnerabilidades de estos scripts.

Además, desde la versión 3, también informa de las versiones antiguas de los scripts más populares instalados.

Os dejo la página al producto por si no lo conoceis: http://www.configserver.com/cp/cxs.html

 

Lo malo de CXS es que te detecta falsos positivos y los pone en cuarentena y no hay quien los saque de ahí, así te jode la web :/ pasa poco pero pasa, por lo demás esta bien el escaneo en tiempo real, pyxsoft también lo tiene incluido.


Para no tener software desactualizado lo mejor es que los clientes usen softaculous, avisa de updates y si no mal recuerdo actualiza el mismo.