Az idei nyáron rekordokat döntött a forróság, de nem csak a strandokon. A szervertermek és a hálózatok is izzottak a hekkerek támadásaitól hazánkban és külföldön egyaránt.
Az új divat: brute force támadás wordpress és joomla oldalak ellen.
Ha valaki most hátradől és legyint, hogy “engem ez nem érint,  én más cms-t használok” sajnos neki is rossz hírem van. A támadók nem nagyon válogatnak. Szőnyegbombázás elvét követik, azaz nem vizsgálják túlzottan, hogy érdemes-e az adott weboldalt joomla, vagy wordpress exploittal törni, bepróbálják az egyedi fejlesztéseket és más keretrendszereket is. A legtöbb esetben wp-login.php és /administrator/index.php címekre küldenek POST requesteket, függetlenül attól, hogy létezik-e az adott domain tárhelyén ilyen fájl, vagy nem. Aztán ha létezik akkor vagy sikerül az adott user/password kombinációval törni, vagy nem. Az eredményesség a probálkozások mennyiségétől függ. Percenként 500-1000 kérelemmel bombázzák a szervert és ez azért érezteti hatását. A szerver lassul, az sql kapcsolatok száma eléri a max connection limitet, a logfájlokba ömlik a rengeteg request bejegyzése, a szerver loadja felszökik. Az elmúlt időszakban nekünk is feladták a leckét az ilyen jellegű támadások ezért muszáj volt megoldást találunk rá.

Megoldás a támadások csillapítására, blokkolására
A megoldás a tűzfalunk felokosítása aktívan, folyamatosan, a forgalom függvényében. A tűzfalunk így aktívan védi a tárhelyeket.  A szervereinken a webszerver szoftverek naplófájljait elemzi egy úgynevezett IDS (Intrusion Detection System) és a folyamatosan alakított szabályainknak megfelelően “horgászik” a logokból. Amint illeszkedik logbejegyzés valamelyik szűrő szabályunkra a bejegyzésben található ip címet a szerver tűzfalában tiltásra rakja. Fontos tudni, hogy minden szabály, amit írunk tartalmaz egy alapszabályt: Az adott szabályra illeszkedő találat ip címe nem lehet magyar illetőségű (a támadások többnyire nemzetközi zombihálózatokról jönnek). Ehhez viszont az ip címnek rendelkeznie kell reverse névvel. Ha az ip cím reverse neve nincs beállítva, akkor szintén tiltásra kerülhet.
Az aktív tűzfal megoldásunk az elmúlt hónapokban rengeteg támadástól védte meg a nálunk lévő weboldalakat és védi ebben a pillanatban is.
A támadások DDoS alapúak, azaz több ip címről elosztottan érkeznek, ezért nem elég egy ip címet tiltani, hogy megállítsuk a támadást, hanem minden ip címet automatikusan tiltanunk kell, amelyről támadó jellegű GET/POST kérelem érkezik. A védelmi szoftverünk beindítása után legyek módjára kezdtek el kipotyogni a logból a támadó szándékú kliensek ip címei.

Tehát a lényeg, hogy mindenki biztonságban tudhatja nálunk a weboldalát. Felvettük a kesztyűt a hekkerek ellen és tonnaszám tiltjuk ki a támadó jellegű ip címeket.
A védelmünk nagyon hatékonyan és sebészi pontossággal működik.

Aktív Tűzfal a Control Centerben
Mostantól figyelemmel kísérhető az adott domainnév szerverén tiltott ip címek listája.
Ha véletlenül a saját ip címet tiltotta le a rendszer, akkor a control centerben feloldható és bármikor ellenőrizhető a tiltás/engedélyezés állapota.

Ha bármilyen kérdés merül fel ezzel a témával kapcsolatban, akkor akár itt a kommentekben is szívesen válaszolunk rá.