Soovi majutada ühe virtuaalserveri alla mitu veebi avaldatakse üsna tihti. Ning tegelikult on see “väikese nipiga” ka tehtav. Lihtsamaks tegemisest on seni hoidutud turvalisuse ja vähemal määral ka jõudluse säästmise tõttu.

Plugina haavatavus

Toome välja ühe hea (või kuidas võtta – ehk hoopis halva) näite Ultimate Member plugina haavatavusest. Sündmuste ahel oli üldistatult järgmine.

Alamdomeenil asuv veeb (failid kataloogis[alamveeb-1]) kasutas Ultimate Member pluginat, mille turvaaugu kaudu võttis ründaja veebi üle ning see hakkas külastajaid edasi suunama.

Järgnevatel päevadel on näha erinevate failide muutmist. Tegemist võib olla nii sama ründaja koodiuuendustega kui konkureerivate ründajatega.

11 päeva pärast oli jõutud nakatava koodiga versioonini, mis oskab laiemalt ringi vaadata ning varustas pahavaraga põhidomeeni ja 3 alamdomeeni, kokku 541 faili (PHP ja JavaScript, lisaks said pihta ka sobiva nimega CSSid).
Selles ajaloos on [alamveeb-1] Ultimate Members pluginaga veebileht, htdocs/ asub põhiveeb ja esimene “roosa rida” asub sootuks väljaspool veebiserverite juurkatalooge.

Olgu lisatud, et punane rida ehk [alamveeb-3] on Joomla! ehk selline JavaScript’ide nakatamine töötab väga hästi sisuhaldusrakendusest hoolimata. Sellest, mida neis failides muudeti, saab lugeda postitusest Kolme päevaga turvapaigast rünneteni: Ultimate Member.

Miks nii läks?

Virtuaalserver on tehnilises mõttes üks Linux’i kasutajakonto, millel on oma kodukataloog ja selle all veeb või veebid. Kasutajal on mõistagi õigus kõiki oma faile lugeda ja kirjutada, näiteks FTPga sisse logides. Ka veebiserver käitab PHP-koodi sellesama kasutaja õigustes ehk sisuliselt “näeb” ja saab muuta kõike seda, mida kasutaja ise.

Vahest on olukorda lihtsam mõista Windowsi kasutaja kodukataloogi näitel:

Loomulikult näeb WordPress ka kõiki muid faile, mille kasutaja on serverisse laadinud. Paljude veebimajutus-teenuse pakkujate puhul asuvad samas kasutaja kodukataloogis ka kõigi e-posti-kontode postkastid ning sissetungija saab hõlpsalt kirju lugeda, sh leida sinna saadetud teiste teenuste paroole. Zone’is on e-post täiesti eraldi serverites, seda nii turvalisuse kui käideldavuse huvides.

Sellist kõrval-veebide ülevõtmist nimetatakse külgliikumiseks (ingl lateral movement) ja see on mistahes ründe puhul standardtegevus: said küüned kuhugi taha? Vaata veidi ringi, tõenäoliselt on omanik midagi vedelema jätnud ning sul õnnestub sellest ühest süsteemist järgmisse edasi liikuda. Virtuaalserverist mitme veebi leidmine annab kindlasti põhjust vaimustunult “Bingo!” hõigata.

Kuidas vältida?

Valides Virtuaalserverit on kliendil mõttes hind, kettaruum ja muud numbrilised parameetrid. Tegelikult tuleks mõelda, et ostetakse eraldatust – tükikest serverist, kuhu teised ligi ei pääse ja mis tagab ka selle, et õnnestunud ründe puhul piirduvad probleemid selle ühe veebiga.

Näiteks kasutatud juhtumi puhul sai suurema osa veebidest õnneks varukoopiast taastada, aga [alamveeb-1] nakatumisest oli möödas juba rohkem kui 14 päeva ning see tuli puhastada käsitsi.

Kuna ründemeetod oli tuttav, läks seegi üsna libedalt, pikemalt “mädanenud” veebi puhul (millest on sageli üle käinud mitu ründajat) võib hind olla minimaalselt 2, aga tõenäoliselt 4–8 tundi – ja seda ühe (alam)veebi kohta.

Alamveeb on OK näiteks test- või arendus-versiooni jaoks – eeldusel, et see on kenasti parooliga kaitstud ning poolik või uuendamata kood täiendavaks turvaprobleemiks ei osutu.

Paraku tuleb sageli ette, sama konto all on avalik veebisait (uuendamata), veebi vana versioon (“igaks juhuks”), intranet, kliendihaldus, mingi kontakte koguv kampaanialahendus jms. Ehk siis konfidentsiaalne äriinfo ning isikuandmed – ning hetkel, kui veeb on “maha häkitud”, võib isikuandmete kaitse üldmäärusest (GDPR) lähtuvalt tekkida vajadus teavitada intsidendist Andmekaitseinspektsiooni. Ja ka kliente.

Üks väike märkus veel. Virtuaalserverite puhul on lisaks kettamahule seatud piirid ka samaaegsete päringute arvule, kui mõni kontol olevatest veebidest osutub aeglaseks ning otsimootorid seda hoogsalt indekseerima asuvad, kannatavad tema pärast ka teised.

Ah et kuidas saab ühes Zone’i Virtuaalserveris mitut veebi pidada? Teha tuleb alamdomeen ning tellida sellele vajaliku domeeni jaoks alias. Aga seejuures tuleb eelnevalt kidnlasti hoolega riske hinnata.