Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties, 7.821 views •
Bron: Madison Gurkha, submitter: EdwinG

Volgens een onderzoek van Madison Gurkha, een bedrijf gespecialiseerd in IT-beveiliging, bevinden er zich in Nederland tienduizenden webservers die niet goed beveiligd zijn tegen hackers. Dit concludeert het bedrijf na het scannen van 1,3 miljoen Nederlandse IP-adressen met de welbekende nmap-poortscanner. Op 25.191 systemen bleek een webserver op poort 80 te draaien die antwoord gaf op het verzoek om zijn versienummer prijs te geven, eventueel begeleid met extra informatie over hulpapplicaties zoals PHP of OpenSSL. Het bleek dat op tweederde van de ondervraagde servers niet de laatste versies van de gebruikte software draaide, iets wat er op kan wijzen dat er laks wordt omgegaan met het onderhoud van de systemen, waardoor er weer beveiligingsproblemen kunnen ontstaan. Hoewel het onderzoek redelijk oppervlakkig is - men heeft bijvoorbeeld niet gepoogd om te controleren in hoeverre de Microsoft IIS-servers voorzien waren van de laatste hotfixes - en in de conclusie ook erkend moet worden dat oude versies net zo min onveilig hoeven te zijn als nieuwe versies wel per definitie veilig zijn, komen er een aantal interessante statistieken uit het document naar voren.

Apache logo Apache bevolkt 18.858 servers en heeft dus een marktaandeel van 75,9%. Iets meer dan de helft daarvan geeft aan tot de 1.3.x-reeks te behoren, en iets minder dan tien procent valt onder 2.0.x. De overige 40 procent geeft geen versienummer prijs, zoals tegenwoordig de standaard configuratie is. Ongeveer een tiende van de Apache-servers is dermate verouderd dat ze waarschijnlijk kwetsbaar zijn voor een lek dat al in 2002 ondekt is. Ook van PHP, dat op ongeveer de helft van de Apache-servers draait, wordt in tien procent van de gevallen een versie gebruikt waarin een groot aantal bekende fouten zit. Het grootste zorgkindje is echter OpenSSL, aangezien bijna de helft van de servers nog een versie draait die kwetsbaar is voor een oude buffer overrun exploit, waarmee kwaadwillende figuren willekeurige code op een server uit kunnen voeren. Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.

Reacties (39)

Reactiefilter:-139036+125+213+35
Moderatie-faq Wijzig weergave
Onderdeel van het hardenen van een webserver is het veranderen van de header die de webserver terug geeft. Zo laat ik bv IIS altijd een versie van apache teruggeven als header informatie. Dit soort onderzoeken geven volgens mij alleen maar een inzicht in de beveiliging van de vele "thuis" servers.
<quote>
laat ik bv IIS altijd een versie van apache teruggeven als header informatie
</quote>

ja ik ken dat mijn buurman heeft ook zo een knipperlichtje in zijn auto, dan lijkt t net alsof hij een autoalarm heeft
Zo laat ik bv IIS altijd een versie van apache teruggeven als header informatie.
Is dat in het kader van ontmoediging ? :+

Zo van: ik heb dan welliswaar een onveilige webserver geinstalleerd, maar het ziet er in ieder geval wel veilig uit :P


* 786562 Flipz
dan moet je het onderzoek toch eens goed lezen, iis is hier niet het probleem!
Security through obscurity, en daar trappen alleen de script-kiddies in :)

Een tijdje geleden was er voor IIS zo'n prettige exploit waarbij een executable werd opgevraagd via een speciale url.
Ik heb toen ook heel wat van de aanvallen voorbij zien komen in de logs van apache servers die zichzelf ook als apache server aankondigden.
Inderdaad erg oppervlakkig. De software versie zegt tegenwoordig nagenoeg niets meer over het wel of niet vulnerable zijn. Bijna alle distributies leveren patches tegen oude versies van bijvoorbeeld OpenSSL i.p.v. direct te upgraden en compatibiliteitsproblemen te riskeren. Zo zit bijvoorbeeld OpenSSL voor Redhat 7.3 (met de laatste updates van Fedora Legacy) nog op versie 0.9.6b. De laatste patch daarvoor dateert wel van 22 maart dit jaar! De laatste veilige versies is 0.9.6m, heel wat versies hoger.
De waarde van de uitkomsten van dit onderzoek is inderdaad behoorlijk dubieus. Neem bijvoorbeeld een distributie als Debian Linux/GNU die toch redelijk veel gebruikt wordt. De versiesnummers van Apache en PHP zouden inderdaad doen vermoeden dat deze vulnerable zijn. Dit is echter niet het geval. Alle security updates uit de nieuwere versies zijn keurig gebackport naar de versies die in de stable release gebruikt worden en verspreid als security updates.

Wat dat betreft moet er dus op z'n minst een aantal vraagtekens gezet worden bij de resultaten. Ze zijn in elk geval niet geschikt om direct conculies uit te trekken. Er zal echter ongetwijfeld een kern van waarheid inzitten dat er aan een groot aantal webservers met betrekking tot security wel wat mankeert; helaas.
Opvallend dat we boven het wereldwijd gemiddelde uitsteken.
Gemiddeld draiat 67% van de webservers apache, in NL blijkbaar 76%...

Bron: http://news.netcraft.com/archives/web_server_survey.html

Ter info: Als je alleen wil vrijgeven dat je apache draait, even het volgende aanpassen/toevoegen aan je httpd.conf:
ServerTokens ProductOnly
Daar zou ik volgende regel aan willen toevoegen:
ServerSignature off
Zorgt ervoor dat automatisch gegenereerde pagina's door apache (bijv indien een niet-bestaande pagina wordt opgevraagd) niet meer voorzien worden van een voettekst met systeeminformatie.
Dat komt omdat Apache gratis is, en wij zijn Nederlanders :+
Gratis wil niet alles zeggen... Zie bijvoorbeeld het abstract voor een lezing op de NLUUG conferentie van Jos Visser:
http://www.nluug.nl/events/vj04/abstracts/ab.html?id=59

(De conferentie gaat over ``open source in bedrijf'' - zie http://www.nluug.nl/events/vj04/ )

Jos Visser zegt:
Nederlanders zijn dol op iets dat gratis is, totdat het echt gratis blijkt te zijn. Zo lijkt het tenminste te zijn in het geval van Open Source Software (OSS). Waar bedrijven en overheden in andere landen over elkaar heen buitelen om Linux en andere OSS in te zetten hobbelt Nederland er maar weer eens flink achteraan. En dat is ook niet raar, want Nederland is helemaal geen land voor open source software. Het concept van open source gaat namelijk in tegen allerlei genetisch overgedragen volkseigenschappen.
"Gratis wil niet alles zeggen"

Gratis wordt niet vertrouwd. Men wil graag dure supportcontracten zodat men ergens op kan terugvallen als er iets mis gaat. Lekker afschuiven, dat is ook typisch Nederlands.
Ik vind dit artikel wel wat overtrokken hoor. Ze doen net alsof het draaien van oude PHP versies per definitie onveilig is. Veel bedrijven hebben gewoon hun eigen server waar alleen door hun zelf gedevelopte software op draait, en het is al een tijd geleden dat er een fout in PHP zat die remote exploitable was zonder dat hier brakke code achter zit.

Daarnaast is het vrijgeven van versienummers ook niet per definitie onveilig. Ik heb even naar de headers gekeken die ik bij tweakers.net terug krijg: "Server: Apache/1.3.29 (Unix) PHP/4.3.4 mod_gzip/1.3.19.1a".
Inderdaad een weinig zeggend onderzoek; hoogstens een redelijke indicatie van het markt-aandeel van verschillende OSes en server software.

Ze hadden beter bv. Nessus kunnen gebruiken in 'harmless' mode ... die lijkt me stukken nauwkeuriger dan alleen wat headers uitlezen. Zie bv. seclists.org/lists/nmap-hackers/2003/Jan-Mar/0004.html om NMAP te misleiden ...

Een boel providers faken of blokkeren de 'product-headers' om scriptkiddies te misleiden, of juist helemaal geen info prijs te geven. Terwijl een echte netwerk/exploit scanner veel geavanceerdere technieken heeft om versies (en exploits/bugs/etc) te detecteren zonder direct schade aan te richten, al zullen sommige IDSes (Intrusion Detection Systems) dan wel flipmode gaan :Y)

Maarja, een echte security audit mag juridisch eigenlijk niet zonder schriftelijke toestemming van de proefpersonen :z
TIP: Update ALTIJD je software op webservers...

verdomme vorige week gehackt door een exploit in de linux kernel waarvan ik geen zin had om deze te updaten => weg 307 site's

(Gelukkkig dat er geen +1 Uitlachen is :P)
en nu interesseert mij dan wel ... welke exploit? :)

cheers..
grmbl.. waaronder de mijne, betaal ik daar nou 1 euro per maand voor? :( ;)
Beetje oppervlakkige test, alleen nmap en aanvullend een apache check zegt natuurlijk weinig. Sterker nog vrij logisch allemaal, alleen sukkels upgraden alles totaal clueless. Zoals door anderen al aangegeven je kunt ook de huidige versie tegen een exploit patchen. Sterker nog zo willen de meeste professionals het hebben. Beproefd en compatible dat zijn de termen, niet latest & greatest!

Doe dan een wat bredere nmap, bij zoveel % draait verouderde webserver software + verdachte of onnodige services. Kijk daar heb je wat aan....dit klinkt als een bedrijfje dat aandacht wil maar noietverdient :?
Ben ik met je eens!
Als je dan een beetje representatieve data wil hebben, zet dat op z'n minst nessus aan de slag. :)
Maarja, dan is ie alleen wel ff langer bezig.
Ik heb dat hier gedaan bij een klant waar ik nu werk.
Men DACHT altijd dat ze alles goed geregeld hadden hier intern.... Maarja....
Kwam toch een rapportage van 1232 pagina's uit nessus rollen. :)
Wel ff in safe-mode gedaan, zit dus nog wel wat "false-positive" resultatten tussen maar dat zijn we nu aan het uitzoeken.
Offtopic, gebruik liever sara daarvoor saint toen de gratis versie nog bruikbaar was. Nessus rapporteerd alles wat ook maar een probleem zou kunnen zijn. Sara (en saint) alleen wat echt een probleem is, dus alleen poort + exploitable versie van een service geeft een melding. Nadeel is natuutlijk dat het risico dat je iets over het hoofd ziet wat groter is, maar zeker met saint is die kans vrij klein want die wordt goed bijgewerkt.
Ik vind het verstoppen van versienummers veel verdachter dan ze gewoon tonen (vereist wel dat je server up to date is)
Ok, maar als je geen versienummer hebt kan het een tijdje duren voor je de juiste exploit gevonden hebt die te gebruiken is ;)
ik zou me net geen zorgen maken om die ADSL kabel bakken
1. men draait er geen kritieke systemen op
2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server.
Ik maak me er wel zorgen om, om de hele simpele reden dat die "servers" wel gebruikt kunnen worden voor zaken zoals een dDOS, als spam host of voor een ander doeleinde waarvan ik en de rest van de internettende bevolking veel last van heeft.

Dat mensen het blijkbaar nodig vinden om hun persoonlijke data etc. bijna op straat te leggen door gebruik te maken van verouderde of slecht geconfigureerde software moeten ze zelf weten, maar ik vind het wel irritant dat die "servers" gebruikt kunnen worden voor doeleinden waar ik veel last van kan hebben, zoals spam, virusmailtjes en dDOS'en.

Het is dus wel een heel groot probleem, hoe denk je dat de huidige dDOS'en zo succesvol zijn? Omdat er zoveel slecht beveiligde bakken aan het internet hangen die bijna allemaal een leuke snelheid hebben.
'"1. men draait er geen kritieke systemen op"
Het hoeft dan nog geen kritiek systeem te zijn, Ik betwijfel of een cracker/scriptkiddie die op zoek is naar een systeem om te misbruiken het iets kan schelen waar het voor gebruikt wordt.

"2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server."

Dat zal je toch tegen vallen... en ja ik heb zelf ook zo'n systeem staan.. staat nu uit ik moet hem nodig eens op nieuw installen..
Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.
Het staat er gewoon in.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True