Certainement le meilleur programme de sécurité au monde !
Comment se passent 90 % des attaques visant à défacer un site, voler des données, installer un programme de spam, installer un serveur IRC ou prendre le contrôle d'un serveur ? De cette façon:
Avec un simple navigateur web, le pirate passe en URL des demandes aux scripts installés. Par exemple, si un script PHP a besoin d'utiliser un fichier contenant certains paramètres, le pirate peut changer l'URL sur son navigateur pour que le script aille uploader un programme installé chez un hébergeur gratuit ou sur un serveur contrôlé par le pirate.
Beaucoup de scripts sont sécurisés et n'acceptent pas ce genre de manoeuvres. Malheureusement, il y a des milliers de scripts PHP que les gens installent et qui n'ont aucune protection. N'importe qui peut leur faire avaler n'importe quoi.
Exemple: un client a un guest book. Quand le visiteur poste dedans, un email est envoyé au visiteur avec la confirmation et la copie de son message. Le guest book passe directement en URL deux variables PHP:
email: qui contient l'email du visiteur
texte: qui contient le texte de son poste
Le script est si peu sécurisé que n'importe qui peut entrer en URL une adresse email et texte qui sera envoyé! C'est ainsi qu'on se retrouve des fois avec des milliers de spams sortis du serveur en quelque heures.
Comment travaille ce module ?
100% des URLs sont analysés avant même qu'ils arrivent à Apache. Les URLs innocents passent, les URLs douteux sont refusés et le pirate reçoit un message "Internal Server Error". L'analyse se fait selon une base de données qui contient:
- Les exploits connus (comme ceux phpBB par exemple)
- Les exploits inconnus en analysant certains schémas récurrents
Au total, il vous garantit une protection contre:
- Tous les uploads indésirables
- Les vulnérabilités phpMyAdmin
- Les injections mySQL (refus des ' dans les URL)
- Les injections CSS (Refus du HTML dans le URL - HTML codé ou pas)
- Vulnérabilités PhpBB non mis à jour
- Vulnérabilité d'upload dans Postnuke
- Vulnérabilité Squirrel mail et Horde
- Vulnérabilité Phorum
- Vulnérabilités Drupal
- Injection SQL dans Wordpress
- Attaques Front Page
- Prévient les injection SQL dans les cookies
- Injections PHP directes ou par fichier à distance
- Attaques par vers depuis des systèmes infectés
- Attaques par faux fichiers gif ou autres fichiers graphiques corrompus
- Kits et outils de piratage connus
- Les recherches Google orientées vers les failles (ex: recherche d'un phpBB ancienne version)
- Certains web spiders
- Les scanners de vulnérabilités (ex: Nitko)
- Les collecteurs d'emails (ex: WebBandit, WEBMOLE, WebEMailExtractor... etc)
- Les spiders qui consomment de la bande passante (ex: CopyRightCheck)
- Les faux spiders google
- Accès aux compilateurs depuis l'extérieur (danger maximal)
- Accès à l'exécuteur Perl depuis l'extérieur
- Accès illicite aux fichiers .htpasswd
- Accès illicite aux fichiers de configuration du serveur
- Accès illicite aux fichiers de configuration des sites installés
- Accès à la page de statut apache
- Accès à l'IP 127.0.0.1 du serveur
- Attaques d'autres sites hébergés à partir d'un site compromis
- Navigation illicite dans les répertoires
- Exécution de JavaScripts cachés
- Attaques XML
Et plein d'autres attaques connues ou inconnues à ce jour et qui sont identifiées par leur signature. En général, quelques heures après l'installation, on est déjà impressionné de voir le contenu des logs. Les différentes alertes sont loguées avec l'IP d'origine. Vous pouvez investiguer cette IP et, en cas de doute, ou d'attaques répétées, la rajouter au firewall.
Important: ce programme protège des attaques même si les sites de vos clients sont vulnérables ou pas à jour. Donc même un exploit connu et possible ne peut pas être utilisé.
A savoir:
- Fausses alertes: existent, mais elles restent rares
- Compatibilité: tous les sites modernes fonctionnent sans problèmes avec ce système mis en place. Certains sites très anciens ou scripts mal programmés peuvent cesser de fonctionner. Vous devez soit les changer ou les mettre à jour, soit renoncer à la sécurité.
Exemple: un ancien site a besoin de passer du code HTML dans l'URL directement. Si vous interdisez cela, le site ne fonctionnera plus correctement, mais votre serveur est protégé. Si vous autorisez cela, ce site fonctionnera, mais votre serveur fera la joie des pirates et des spammeurs qui ont besoin d'injecter du HTML dans les URL directement. C'est donc une question de choix.
- Charge du serveur: ce programme est lourd, il faut compter environ 30% d'augmentation de charge. Cependant, il vaut largement la peine. Parce que sans ce programme, vous risquez d'avoir des charges dues à des attaques et des abus de toute sorte.
Le service comprend:
- Installation du programme d'analyse et de prévention des attaques
- Installation de règles de filtrage selon la charge de votre serveur
- Configation complémentaire de PHP
Prix de ce service:
- Serveur fourni par EdelweissHosting: 20 Euros
- Serveur non fourni par EdelweissHosting: 25 Euros
