Explorações de servidores comuns e como proteger contra eles

Se você está gerenciando um servidor - seja através da hospedagem na web, executando um aplicativo ou lidando com algo nos bastidores - a segurança deve estar sempre no seu radar.Os servidores são um alvo comum para ataques cibernéticos e não é preciso muito para uma pequena fraqueza para se transformar em um grande problema.

As boas notícias?As façanhas mais comuns têm correções bem conhecidas.Nesta postagem, dividiremos alguns dos ataques de servidor mais frequentes e passaremos por maneiras diretas de proteger sua configuração.Se você está apenas começando ou procurando apertar as coisas, essas dicas podem ajudá -lo a ficar à frente.

1. Injeção de SQL (SQLI)

A injeção de SQL ocorre quando um invasor insere código malicioso em campos ou URLs para manipular seu banco de dados.Isso pode permitir acesso não autorizado a dados ou até exclusão de tabelas inteiras.

Para impedir o SQLI:

Use consultas parametrizadas ou declarações preparadas
Esses métodos deixam claro quais partes do seu código são instruções e quais são a entrada do usuário, para que os invasores não possam se esgueirar em comandos maliciosos.A maioria das linguagens de programação suporta isso - como usar?espaços reservados em mysqli ou: valor em PDO.

Validar e higienizar toda a entrada do usuário
Nunca assuma que os usuários (ou bots) inserirão dados limpos.Sempre verifique se o que é enviado corresponde ao que você espera - como apenas permitir números em um campo de identificação ou tirar caracteres inesperados de uma caixa de texto.

Limite as permissões de usuário do banco de dados
Não dê mais acesso ao seu aplicativo da web do que precisa.Por exemplo, se o seu aplicativo lê apenas dados, não lhe dê permissão para excluir ou editar nada.Dessa forma, mesmo que um atacante entre, eles estão limitados em que danos podem causar.

Se você está executando um CMS como o WordPress, seguindo as melhores práticas para Segurança do WordPress e endurecimento Pode ajudá -lo a se proteger contra vulnerabilidades comuns de injeção de SQL.

2.

O XSS envolve injetar javascript malicioso em páginas visualizadas por outras pessoas.Se executado, ele pode roubar cookies de login, pressionar as teclas ou redirecionar usuários para sites maliciosos.

Para mitigar o XSS:

Higienizar e validar a entrada antes de exibi -lo
Certifique -se de que todos os usuários de texto enviem (como comentários ou consultas de pesquisa) esteja limpo antes de ser mostrado no seu site.Isso significa remover ou converter caracteres especiais como <e>, para que eles não possam ser tratados como código.

Use a codificação de saída
Ao exibir conteúdo dinâmico, codifique -o para que os navegadores o trate como texto, não como código.Por exemplo, & lt; script & gt;aparecerá como texto simples, em vez de tentar correr.

Aplicar uma Política de Segurança de Conteúdo (CSP)
Um CSP é um conjunto de regras que você diz ao navegador a seguir - por exemplo, apenas carregando scripts de fontes confiáveis.Mesmo que o código malicioso deslize, um CSP forte poderá impedir que ele funcione.

Se o seu servidor usa LitesPeed, LitesPeed WebServer Recursos opções de segurança embutidas que podem ajudar a reduzir o risco de ataques XSS e melhorar o desempenho geral do servidor.

3. Execução de código remoto (RCE)

O RCE é uma ameaça severa em que os atacantes executam seus próprios comandos em seu servidor.Se for bem -sucedido, eles podem controlar seu sistema ou implantar malware.

Para reduzir o risco de RCE:

Mantenha todos os softwares e plugins atualizados
As atualizações de segurança são lançadas para corrigir problemas conhecidos.O atraso dessas atualizações oferece aos atacantes uma janela para explorar vulnerabilidades que já possuem correções públicas.

Evite usar funções que executem os comandos do sistema
Se o seu código usar funções como EXEC () ou System (), seja mais cauteloso.Use -os apenas se absolutamente necessário e nunca com entrada não confiável.

Use um firewall de aplicativo da web (WAF)
Um WAF filtra e monitora o tráfego recebido.Ele pode detectar padrões suspeitos - como tentativas de passar o código através dos campos de formulário - e bloqueá -los antes que eles atinjam seu servidor.

Para usuários de cpanel/whm, permitindo proteções como ModSecurity em Whm Adiciona uma camada extra de defesa contra explorações de execução de código remoto.

4. Travessal de diretório

A Traversal do diretório permite que os invasores acessem arquivos restritos, manipulando os caminhos dos arquivos, geralmente usando padrões como ../ para subir os diretórios.

Para proteger seu servidor contra o Directory Traversal:

Higienizar a entrada do caminho do arquivo
Nunca permita que a entrada do usuário controla diretamente os caminhos do arquivo.Limpe qualquer coisa que os usuários enviem e retiram personagens como ../ que podem ser usados ​​para se mover em torno de diretórios.

Use uma lista de permissões de arquivos ou diretórios permitidos
Em vez de tentar bloquear a entrada ruim, defina uma lista exatamente de quais arquivos ou pastas usuários podem acessar.Qualquer outra coisa deve ser rejeitada automaticamente.

Defina as permissões de arquivo adequadas
Verifique se os arquivos sensíveis não são legíveis pelo público.Por exemplo, os arquivos de configuração não devem ter permissões de leitura para ninguém, exceto o administrador do servidor.

As permissões incorretas podem causar erros como 403s e deixá -lo exposto.Aqui está um Guia sobre a fixação de um 403 Erro proibidor, definindo corretamente as configurações de controle de acesso em seu servidor.

5. Ataques de força bruta

Os ataques de força bruta usam automação para experimentar várias combinações de nome de usuário/senha até que alguém funcione.Eles costumam atingir logins de painel SSH, FTP ou controle.

Como se proteger contra ataques de força bruta:

Use senhas fortes e exclusivas
Evite usar credenciais padrão ou senhas simples como "admin123".Use senhas longas com uma mistura de letras, números e símbolos - e não as reutilize entre os serviços.

Limite as tentativas de login
Configure seu sistema para bloquear temporariamente os endereços IP após várias tentativas de login com falha.Isso diminui os scripts automatizados e torna os ataques de força bruta menos eficazes.

Ativar autenticação de dois fatores (2FA)
Mesmo que alguém obtenha sua senha, não entrará sem a segunda etapa de verificação - como um código de um aplicativo ou mensagem de texto.

Use teclas SSH em vez de senhas
Para acesso ao servidor, mude do login baseado em senha para as teclas SSH.Eles são muito mais difíceis de quebrar e oferecem uma maneira mais segura de autenticar.

Um bom ponto de partida é Mudando sua porta SSH, que pode tornar os ataques automatizados menos eficazes.Além disso, usando Autenticação baseada em chave SSH fornece proteção mais robusta do que as senhas sozinhas.

6. Negação de serviço distribuída (DDoS)

Esses ataques inundam seu servidor com tráfego, fazendo com que ele desacelere ou trava.O DDoS é especialmente perigoso, pois vem de muitas fontes e é quase impossível rastrear a fonte.

Para reduzir sua exposição a ataques de DDOs:

Use uma rede de entrega de conteúdo (CDN)
A maioria das pessoas usa Redes de entrega de conteúdo Para entregar o conteúdo do site com mais eficiência em vários locais.O também pode dificultar a sobrecarga do servidor de origem e filtrar o tráfego prejudicial.

Configurar limitação da taxa
A limitação da taxa restringe a frequência com que alguém pode fazer solicitações em pouco tempo.Se um usuário ou IP estiver enviando demais, será bloqueado temporariamente.

Monitore o tráfego de espigões incomuns
Fique de olho nos seus padrões de tráfego.Um salto repentino nas visitas - especialmente para um único ponto final - pode ser um sinal de um ataque de DDoS.

Ocultar o IP do servidor de origem
Quando os atacantes conhecem o seu IP do servidor real, eles podem segmentar diretamente.Usando serviços que mascaram ou proxy, seu IP pode ajudar a absorver o golpe.

Você pode Proteja sua origem IP Usando serviços como o Cloudflare, que também traz outros benefícios do desempenho aprimorado da segurança e do site.

Para uma compreensão mais profunda dos ataques de DDOs, seus riscos e estratégias de mitigação, consulte nosso artigo: O que é um ataque de DDoS?Riscos, prevenção, mitigação.

7. Software desatualizado e vulnerabilidades sem patches

O uso de plugins desatualizados, painéis de controle ou versões do CMS deixa você aberto a explorações conhecidas.

Para reduzir o risco de software desatualizado:

Configure um cronograma de atualização regular
Não espere que as coisas quebrem.Mantenha seu sistema operacional, painel de controle, CMS, plugins e software de servidor em um ciclo de atualização regular - mesmo que isso signifique usar ferramentas automatizadas.

Remova aplicativos e serviços não utilizados
Cada ferramenta ou plug -in extra é um risco potencial.Se você não estiver usando, desinstale -o para reduzir sua superfície de ataque.

Inscreva -se nas listas de correspondência de atualização ou segurança
Os fornecedores de software geralmente anunciam problemas de segurança conforme descoberto.Ficar no loop ajuda a corrigir antes que os problemas sejam explorados.

Use ambientes de estadiamento para testar atualizações
Teste as principais atualizações sobre um clone do seu ambiente ao vivo primeiro, para que você possa identificar problemas sem arriscar o tempo de inatividade.

Scripts desatualizados não apenas criam riscos de segurança - eles também podem desacelerar seu site, afetando o desempenho e a confiabilidade.

A manutenção regular aumenta a confiabilidade do servidor, a segurança e o desempenho geral.Aprenda a estabelecer uma rotina de manutenção eficaz em nosso guia: Criando um plano de manutenção do servidor.

8. Permissões incorretas

As configurações excessivamente permissivas de arquivo ou diretório são uma vulnerabilidade silenciosa, mas séria.Eles podem permitir que os atacantes acessem ou modifiquem dados confidenciais.

Como evitar isso:

Aplique o princípio do menor privilégio
Dê aos usuários e serviços apenas o acesso de que precisam - mais.Se alguém precisar apenas visualizar um arquivo, não conceda a gravação ou execute acesso.

Permissões de arquivo e pastas regularmente de auditoria
Verifique periodicamente quais arquivos são acessíveis e quem pode acessá -los.Procure configurações excessivamente amplas, como 777 permissões que tornam os arquivos legíveis/graváveis ​​por qualquer pessoa.

Evite usar o acesso raiz, a menos que seja necessário
Executar comandos ou serviços como root pode ser perigoso.Se algo der errado, pode afetar todo o seu sistema.Atenha-se aos privilégios no nível do usuário, a menos que a raiz seja absolutamente necessária.

Use grupos para gerenciar o acesso
Em vez de definir permissões de usuário, organize os usuários em grupos com base em suas funções.Isso mantém as coisas mais limpas e mais fáceis de gerenciar com segurança.

O controle de acesso adequado é essencial para evitar erros como 403s.Revisitar suas configurações usando isso Guia sobre a correção 403 Erros proibidos Para evitar a exposição não intencional.

Empacotando

A segurança do servidor não é apenas sobre firewalls e senhas - trata -se de construir hábitos e sistemas que reduzem o risco ao longo do tempo.

Estando ciente dessas façanhas comuns e abordando -as com soluções práticas, você não está apenas protegendo os dados - você está mantendo os serviços confiáveis ​​e os clientes seguros.

Para uma visão geral abrangente das técnicas de endurecimento do servidor, confira nosso artigo: O que é endurecimento do servidor e por que importa.