11-07-2023, 06:06 PM
(This post was last modified: 11-09-2023, 09:30 PM by 1van.
Edit Reason: Uklonjeni eksterni linkovi ka slikama.
)
Pravim thread jer mi je par klijenata skrenulo pažnju da izlazi na gugletu kada se pretražuju naše (stare) IP adrese, i kad se kuca Oblak.
Većina threadova u forumu Bezbednost privatnih resursa > Kompromitovani resursi je faktografski netačna.
Da krenem redom.
Kompromitovan server 46.4.229.225 (zajecarskopivo.com)
Kompromitovan server 94.127.7.144 (institut-palanka.co.rs)
Kompromitovan server 78.46.107.40 (izkrugavojvodina.org)
Kompromitovan server na kojem hostovan pink.rs
Pa onda i neki komentari ovde.
Kompromitovan ambient-mdk.rs
Kompromitovan nikservis.com
Komentar ovde
Hajmo da krenemo redom šta sve ne valja u threadovima.
Nepouzdanost AbuseIPDB servisa.
Zabadanje bilo koje random IP adrese na abuseipdb.com će u većini slučajeva dati random broj prijava koji je veći od nula.
Evo npr - ovo je naš wp2.oblak.host server
Confidence of abuse 10% - dve prijave u razmaku od mesec dana za svašta nešto - niđe veze sa stvarnim dešavanjem.
Server koji je 100% čist i 100% secure u svakom smislu.
Dakle - AbuseIPDB je u 90% slučajeva smećarski servis koji radi jako jako loš posao.
Bog zna da sam se nagledao hiljada lažnih reportova za ovih 12+ godina koliko se bavim web hostingom. Čak je i UCEPROTECT u većini slučajeva pouzdaniji od AIDBa.
Činjenica da se neka IP ili hostname nalazi na tom sajtu ne znači apsolutno ništa.
Navođenje random sajtova kao kompromitovanih
Za prva tri threada koje je otvorio VincaSec - navodi nazive sajtova kao uzročnike kompromitovanja + navodi da je sam server kompromitovan.
Međutim svaki server koji je naveo je shared web hosting server koji ima više od 10 sajtova, i bukvalno za svaki postoji nešto što se zove rDNS koji pokazuje pravi hostname servera.
Dakle - imamo tvrdnju bez dokaza da je hosting server kompromitovan, i imamo tvrdnju da je sajt na njemu kompromitovan. I to sa tačno nula dokaza. Zašto se to dopušta?
Iz nekog razloga google jako visoko rankira ovaj forum, pa za pretragu zajecarskopivo.com ovo iskače kao drugi rezultat.
Za ostale threadove koje je otvorio VincaSec - apsolutno ista priča.
Preporučio bih bukvalno svim članovima foruma da se informišu šta je shared web hosting, kako funkcioniše CloudLinux (koji koriste skoro pa svi lokalni provajderi). Kompromitovan WP ili Joomla nije isto što i kompromitovan server. Čak i hosting provajderi SHNJL klase u Srbiji imaju neki osnovni pojam o bezbednosti i čisto sumnjam da je nekom server komplet kompromitovan. Shared hosting serveri po pravilu imaju 100+ vhostova na njima i prava su riznica informacija, glavna meta za ransomware i ostale stvari koje vi većini članova foruma komplet prošle ispod radara.
Threadovi iz donje grupe
Biti hosting provajder znači hostovati ogroman broj sajtova gde većina sajtova ima komplet različite konfiguracije setup, verzije WPa itd. Nerealno je očekivati da takvi sajtovi u nekom momentu ne budu "kompromitovani". Većina lokalnih hosting provajdera vrdi ili CXS ili Imunify, koji u relativno kratkom roku počiste sve, ili kompletno blokiraju rad sajta.
Malo je suludo navoditi apsolutno svaki "resurs" kao kompromitovan bez nekog waiting perioda - jer se ovakve stvari rešavaju u jako brzom roku.
Pritom navode se urlovi u plaintextu pa serpovi ovo sve indexiraju - bez nekog preteranog razloga.
Svi ovde radite generalno OK stvar - pogotovu kada su državni serveri u pitanju - ali kad su u pitanju jelte privatne mašine - msm da morate da budete pre svega lakši na obaraču, a ako već niste. da koristite code tag za URLove - jer nekom ovi rezultati pretrage mogu da utiču na posao.
Većina threadova u forumu Bezbednost privatnih resursa > Kompromitovani resursi je faktografski netačna.
Da krenem redom.
Kompromitovan server 46.4.229.225 (zajecarskopivo.com)
Kompromitovan server 94.127.7.144 (institut-palanka.co.rs)
Kompromitovan server 78.46.107.40 (izkrugavojvodina.org)
Kompromitovan server na kojem hostovan pink.rs
Pa onda i neki komentari ovde.
Kompromitovan ambient-mdk.rs
Kompromitovan nikservis.com
Komentar ovde
Hajmo da krenemo redom šta sve ne valja u threadovima.
Nepouzdanost AbuseIPDB servisa.
Zabadanje bilo koje random IP adrese na abuseipdb.com će u većini slučajeva dati random broj prijava koji je veći od nula.
Evo npr - ovo je naš wp2.oblak.host server
Confidence of abuse 10% - dve prijave u razmaku od mesec dana za svašta nešto - niđe veze sa stvarnim dešavanjem.
Server koji je 100% čist i 100% secure u svakom smislu.
Dakle - AbuseIPDB je u 90% slučajeva smećarski servis koji radi jako jako loš posao.
Bog zna da sam se nagledao hiljada lažnih reportova za ovih 12+ godina koliko se bavim web hostingom. Čak je i UCEPROTECT u većini slučajeva pouzdaniji od AIDBa.
Činjenica da se neka IP ili hostname nalazi na tom sajtu ne znači apsolutno ništa.
Navođenje random sajtova kao kompromitovanih
Za prva tri threada koje je otvorio VincaSec - navodi nazive sajtova kao uzročnike kompromitovanja + navodi da je sam server kompromitovan.
Međutim svaki server koji je naveo je shared web hosting server koji ima više od 10 sajtova, i bukvalno za svaki postoji nešto što se zove rDNS koji pokazuje pravi hostname servera.
Dakle - imamo tvrdnju bez dokaza da je hosting server kompromitovan, i imamo tvrdnju da je sajt na njemu kompromitovan. I to sa tačno nula dokaza. Zašto se to dopušta?
Iz nekog razloga google jako visoko rankira ovaj forum, pa za pretragu zajecarskopivo.com ovo iskače kao drugi rezultat.
Za ostale threadove koje je otvorio VincaSec - apsolutno ista priča.
Preporučio bih bukvalno svim članovima foruma da se informišu šta je shared web hosting, kako funkcioniše CloudLinux (koji koriste skoro pa svi lokalni provajderi). Kompromitovan WP ili Joomla nije isto što i kompromitovan server. Čak i hosting provajderi SHNJL klase u Srbiji imaju neki osnovni pojam o bezbednosti i čisto sumnjam da je nekom server komplet kompromitovan. Shared hosting serveri po pravilu imaju 100+ vhostova na njima i prava su riznica informacija, glavna meta za ransomware i ostale stvari koje vi većini članova foruma komplet prošle ispod radara.
Threadovi iz donje grupe
Biti hosting provajder znači hostovati ogroman broj sajtova gde većina sajtova ima komplet različite konfiguracije setup, verzije WPa itd. Nerealno je očekivati da takvi sajtovi u nekom momentu ne budu "kompromitovani". Većina lokalnih hosting provajdera vrdi ili CXS ili Imunify, koji u relativno kratkom roku počiste sve, ili kompletno blokiraju rad sajta.
Malo je suludo navoditi apsolutno svaki "resurs" kao kompromitovan bez nekog waiting perioda - jer se ovakve stvari rešavaju u jako brzom roku.
Pritom navode se urlovi u plaintextu pa serpovi ovo sve indexiraju - bez nekog preteranog razloga.
Svi ovde radite generalno OK stvar - pogotovu kada su državni serveri u pitanju - ali kad su u pitanju jelte privatne mašine - msm da morate da budete pre svega lakši na obaraču, a ako već niste. da koristite code tag za URLove - jer nekom ovi rezultati pretrage mogu da utiču na posao.