Napadi na slovenske spletne strani

Slovenska skupina, ki se predstavlja za del hektivistične skupine Anonimnih, zadnji teden izvaja različne napade na slovenske strežnike. Iz vladnega spletnega strežnika so skopirali podatke o internih IP naslovih, imenih zaposlenih in podatke o nekaterih preklicenih certifikatih. Podatki ne omogočajo dostopa do sistema za izdajo certifikatov in ne omogočajo kraje certifikata.

Tokom današnjega dne (nedelja, 12. 2. 2012) pa se vrstijo razobličenja nekaterih slovenskih spletnih mest (zps.si, obcinaljutomer.si in probanka.info, ki se vse nahajajo pri istem ponudniku gostovanja). Do razobličenja (angl. defacement) spletne strani pride preko nepooblaščenega dostopa do strežnika. Tega omogoča ranljivost na strežniku, ali nezaščiten dodatni modul (plugin), ki je običajno namenjen odlaganju slikovnega materijala.

Nekaj po 20h pa so bili izvedeni tudi napadi na spletna mesta političnih strank.

Priporočila

Ponudnikom gostovanja v primeru razobličenja ali vdora v strežniški sistem svetujemo shranjevanje dnevniških datotek. Te omogočijo identifikacijo varnostne pomanjkljivosti, na podlagi katere je prišlo do vdora ali nepooblaščenega nameščanja spletne strani. Začasen ukrep je lahko tudi omejitev pravic na datotečnem sistemu, tako da je za mape in datoteke spletnega strežnika dovoljeno samo branje, ne pa tudi pisanje. Za pomoč pri preiskovanju vdora se obrnite na SI-CERT (cert@cert.si).

Internetnim ponudnikom svetujemo spremljanje prometa v primeru napadov.  Na usmerjevalnikih naj se beležijo podatki o izvornih naslovih, ki sodelujejo v napadih. Za nadaljnje informacije in pomoč naj se ponudniki obrnejo na SI-CERT (cert(at)cert.si).

Vsem tarčam dosedanjih napadov (in tistim, ki jih skrbi možnost podobnega napada) svetujemo, da čim prej kontaktirajo svojega ponudnika gostovanja in se pozanimajo o možnih zaščitnih ukrepih. Pred tem se lahko po nasvet obrnete na SI-CERT (cert(at)cert.si) ali po telefonu (01) 479 88 22.

Vir: