Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 39, views: 7.809 •
Bron: Madison Gurkha, submitter: EdwinG

Volgens een onderzoek van Madison Gurkha, een bedrijf gespecialiseerd in IT-beveiliging, bevinden er zich in Nederland tienduizenden webservers die niet goed beveiligd zijn tegen hackers. Dit concludeert het bedrijf na het scannen van 1,3 miljoen Nederlandse IP-adressen met de welbekende nmap-poortscanner. Op 25.191 systemen bleek een webserver op poort 80 te draaien die antwoord gaf op het verzoek om zijn versienummer prijs te geven, eventueel begeleid met extra informatie over hulpapplicaties zoals PHP of OpenSSL. Het bleek dat op tweederde van de ondervraagde servers niet de laatste versies van de gebruikte software draaide, iets wat er op kan wijzen dat er laks wordt omgegaan met het onderhoud van de systemen, waardoor er weer beveiligingsproblemen kunnen ontstaan. Hoewel het onderzoek redelijk oppervlakkig is - men heeft bijvoorbeeld niet gepoogd om te controleren in hoeverre de Microsoft IIS-servers voorzien waren van de laatste hotfixes - en in de conclusie ook erkend moet worden dat oude versies net zo min onveilig hoeven te zijn als nieuwe versies wel per definitie veilig zijn, komen er een aantal interessante statistieken uit het document naar voren.

Apache logo Apache bevolkt 18.858 servers en heeft dus een marktaandeel van 75,9%. Iets meer dan de helft daarvan geeft aan tot de 1.3.x-reeks te behoren, en iets minder dan tien procent valt onder 2.0.x. De overige 40 procent geeft geen versienummer prijs, zoals tegenwoordig de standaard configuratie is. Ongeveer een tiende van de Apache-servers is dermate verouderd dat ze waarschijnlijk kwetsbaar zijn voor een lek dat al in 2002 ondekt is. Ook van PHP, dat op ongeveer de helft van de Apache-servers draait, wordt in tien procent van de gevallen een versie gebruikt waarin een groot aantal bekende fouten zit. Het grootste zorgkindje is echter OpenSSL, aangezien bijna de helft van de servers nog een versie draait die kwetsbaar is voor een oude buffer overrun exploit, waarmee kwaadwillende figuren willekeurige code op een server uit kunnen voeren. Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.

Reacties (39)

Reactiefilter:-139036+125+213+35
Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.
Het staat er gewoon in.
ik zou me net geen zorgen maken om die ADSL kabel bakken
1. men draait er geen kritieke systemen op
2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server.
'"1. men draait er geen kritieke systemen op"
Het hoeft dan nog geen kritiek systeem te zijn, Ik betwijfel of een cracker/scriptkiddie die op zoek is naar een systeem om te misbruiken het iets kan schelen waar het voor gebruikt wordt.

"2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server."

Dat zal je toch tegen vallen... en ja ik heb zelf ook zo'n systeem staan.. staat nu uit ik moet hem nodig eens op nieuw installen..
Ik maak me er wel zorgen om, om de hele simpele reden dat die "servers" wel gebruikt kunnen worden voor zaken zoals een dDOS, als spam host of voor een ander doeleinde waarvan ik en de rest van de internettende bevolking veel last van heeft.

Dat mensen het blijkbaar nodig vinden om hun persoonlijke data etc. bijna op straat te leggen door gebruik te maken van verouderde of slecht geconfigureerde software moeten ze zelf weten, maar ik vind het wel irritant dat die "servers" gebruikt kunnen worden voor doeleinden waar ik veel last van kan hebben, zoals spam, virusmailtjes en dDOS'en.

Het is dus wel een heel groot probleem, hoe denk je dat de huidige dDOS'en zo succesvol zijn? Omdat er zoveel slecht beveiligde bakken aan het internet hangen die bijna allemaal een leuke snelheid hebben.
Opvallend dat we boven het wereldwijd gemiddelde uitsteken.
Gemiddeld draiat 67% van de webservers apache, in NL blijkbaar 76%...

Bron: http://news.netcraft.com/archives/web_server_survey.html

Ter info: Als je alleen wil vrijgeven dat je apache draait, even het volgende aanpassen/toevoegen aan je httpd.conf:
ServerTokens ProductOnly
Daar zou ik volgende regel aan willen toevoegen:
ServerSignature off
Zorgt ervoor dat automatisch gegenereerde pagina's door apache (bijv indien een niet-bestaande pagina wordt opgevraagd) niet meer voorzien worden van een voettekst met systeeminformatie.
Dat komt omdat Apache gratis is, en wij zijn Nederlanders :+
Gratis wil niet alles zeggen... Zie bijvoorbeeld het abstract voor een lezing op de NLUUG conferentie van Jos Visser:
http://www.nluug.nl/events/vj04/abstracts/ab.html?id=59

(De conferentie gaat over ``open source in bedrijf'' - zie http://www.nluug.nl/events/vj04/ )

Jos Visser zegt:
Nederlanders zijn dol op iets dat gratis is, totdat het echt gratis blijkt te zijn. Zo lijkt het tenminste te zijn in het geval van Open Source Software (OSS). Waar bedrijven en overheden in andere landen over elkaar heen buitelen om Linux en andere OSS in te zetten hobbelt Nederland er maar weer eens flink achteraan. En dat is ook niet raar, want Nederland is helemaal geen land voor open source software. Het concept van open source gaat namelijk in tegen allerlei genetisch overgedragen volkseigenschappen.
"Gratis wil niet alles zeggen"

Gratis wordt niet vertrouwd. Men wil graag dure supportcontracten zodat men ergens op kan terugvallen als er iets mis gaat. Lekker afschuiven, dat is ook typisch Nederlands.
Inderdaad erg oppervlakkig. De software versie zegt tegenwoordig nagenoeg niets meer over het wel of niet vulnerable zijn. Bijna alle distributies leveren patches tegen oude versies van bijvoorbeeld OpenSSL i.p.v. direct te upgraden en compatibiliteitsproblemen te riskeren. Zo zit bijvoorbeeld OpenSSL voor Redhat 7.3 (met de laatste updates van Fedora Legacy) nog op versie 0.9.6b. De laatste patch daarvoor dateert wel van 22 maart dit jaar! De laatste veilige versies is 0.9.6m, heel wat versies hoger.
Ik vind dit artikel wel wat overtrokken hoor. Ze doen net alsof het draaien van oude PHP versies per definitie onveilig is. Veel bedrijven hebben gewoon hun eigen server waar alleen door hun zelf gedevelopte software op draait, en het is al een tijd geleden dat er een fout in PHP zat die remote exploitable was zonder dat hier brakke code achter zit.

Daarnaast is het vrijgeven van versienummers ook niet per definitie onveilig. Ik heb even naar de headers gekeken die ik bij tweakers.net terug krijg: "Server: Apache/1.3.29 (Unix) PHP/4.3.4 mod_gzip/1.3.19.1a".
TIP: Update ALTIJD je software op webservers...

verdomme vorige week gehackt door een exploit in de linux kernel waarvan ik geen zin had om deze te updaten => weg 307 site's

(Gelukkkig dat er geen +1 Uitlachen is :P)
en nu interesseert mij dan wel ... welke exploit? :)

cheers..
grmbl.. waaronder de mijne, betaal ik daar nou 1 euro per maand voor? :( ;)
Je kan ook gewoon het versienummer veranderen in de source code. Mijn webserver heeft versienummer 1.0.0 :)
In versie 2.0.x staat die in de file ap_release.h

Hetzelfde truukje heb ik ook met OpenSSH uitgehaald. Daar staat het in de file version.h

Dan ben je meteen van alle scriptkiddies af en komen alleen nog meer de echte hackers.
Dan ben je meteen van alle scriptkiddies af en komen alleen nog meer de echte hackers.
Voor de scriptkiddies ben ik niet bang. Ben bang voor de echte hackers!

True, scriptkiddies verzieken vaak je systeem, "echte" hackers niet, maar mijn apparatuur is gewoon beveiligd tegen scriptkiddies. Ik heb liever uberhaupt geen zin in mensen die op mijn systemen rondneuzen, of ze nu wel of iets doen of niet.
De waarde van de uitkomsten van dit onderzoek is inderdaad behoorlijk dubieus. Neem bijvoorbeeld een distributie als Debian Linux/GNU die toch redelijk veel gebruikt wordt. De versiesnummers van Apache en PHP zouden inderdaad doen vermoeden dat deze vulnerable zijn. Dit is echter niet het geval. Alle security updates uit de nieuwere versies zijn keurig gebackport naar de versies die in de stable release gebruikt worden en verspreid als security updates.

Wat dat betreft moet er dus op z'n minst een aantal vraagtekens gezet worden bij de resultaten. Ze zijn in elk geval niet geschikt om direct conculies uit te trekken. Er zal echter ongetwijfeld een kern van waarheid inzitten dat er aan een groot aantal webservers met betrekking tot security wel wat mankeert; helaas.
* 786562 PCD
hehe, ook een voordracht van Madison Gurkha bijgewoond?
het zou niet moeten zijn onderzoek naar veiligheid van de webservers maar
Onderzoek naar de deskundigheidvan de systeembeheerder(s) en gebruikers.
DAT bepaalt in grote mate de veiligheid van je systeem.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014