Onderzoek naar veiligheid webservers in Nederland

Volgens een onderzoek van Madison Gurkha, een bedrijf gespecialiseerd in IT-beveiliging, bevinden er zich in Nederland tienduizenden webservers die niet goed beveiligd zijn tegen hackers. Dit concludeert het bedrijf na het scannen van 1,3 miljoen Nederlandse IP-adressen met de welbekende nmap-poortscanner. Op 25.191 systemen bleek een webserver op poort 80 te draaien die antwoord gaf op het verzoek om zijn versienummer prijs te geven, eventueel begeleid met extra informatie over hulpapplicaties zoals PHP of OpenSSL. Het bleek dat op tweederde van de ondervraagde servers niet de laatste versies van de gebruikte software draaide, iets wat er op kan wijzen dat er laks wordt omgegaan met het onderhoud van de systemen, waardoor er weer beveiligingsproblemen kunnen ontstaan. Hoewel het onderzoek redelijk oppervlakkig is - men heeft bijvoorbeeld niet gepoogd om te controleren in hoeverre de Microsoft IIS-servers voorzien waren van de laatste hotfixes - en in de conclusie ook erkend moet worden dat oude versies net zo min onveilig hoeven te zijn als nieuwe versies wel per definitie veilig zijn, komen er een aantal interessante statistieken uit het document naar voren.

Apache logo Apache bevolkt 18.858 servers en heeft dus een marktaandeel van 75,9%. Iets meer dan de helft daarvan geeft aan tot de 1.3.x-reeks te behoren, en iets minder dan tien procent valt onder 2.0.x. De overige 40 procent geeft geen versienummer prijs, zoals tegenwoordig de standaard configuratie is. Ongeveer een tiende van de Apache-servers is dermate verouderd dat ze waarschijnlijk kwetsbaar zijn voor een lek dat al in 2002 ondekt is. Ook van PHP, dat op ongeveer de helft van de Apache-servers draait, wordt in tien procent van de gevallen een versie gebruikt waarin een groot aantal bekende fouten zit. Het grootste zorgkindje is echter OpenSSL, aangezien bijna de helft van de servers nog een versie draait die kwetsbaar is voor een oude buffer overrun exploit, waarmee kwaadwillende figuren willekeurige code op een server uit kunnen voeren. Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.

Door Wouter Tinus

Feedback • 15-04-2004 20:58
39 • submitter: EdwinG

15-04-2004 • 20:58

39

Submitter: EdwinG

Bron: Madison Gurkha

Lees meer

PHP-update 5.3.7 bevat beveiligingsgat
PHP-update 5.3.7 bevat beveiligingsgat Nieuws van 23 augustus 2011
Lek in OpenSSL ondergraaft digitale ondertekening
Lek in OpenSSL ondergraaft digitale ondertekening Nieuws van 6 september 2006
'Beveiliging uit top-5 prioriteiten bedrijfsleven'
'Beveiliging uit top-5 prioriteiten bedrijfsleven' Nieuws van 5 augustus 2005
IIS-servers besmet met kwaadaardige JavaScript-code
IIS-servers besmet met kwaadaardige JavaScript-code Nieuws van 25 juni 2004
Microsoft lanceert TryIIS-campagne
Microsoft lanceert TryIIS-campagne Nieuws van 23 mei 2004
'Security het meest gebruikte woord op ICT-websites in april'
'Security het meest gebruikte woord op ICT-websites in april' Nieuws van 27 april 2004
Netwerk van Olympische Spelen wordt door hackers getest
Netwerk van Olympische Spelen wordt door hackers getest Nieuws van 19 april 2004
Netcraft webserver survey januari 2004
Netcraft webserver survey januari 2004 Nieuws van 1 januari 2004
Netcraft webserver survey september 2003
Netcraft webserver survey september 2003 Nieuws van 4 september 2003
Netcraft Webserver Survey april 2003
Netcraft Webserver Survey april 2003 Nieuws van 15 april 2003
Netcraft Webserver Survey januari 2003
Netcraft Webserver Survey januari 2003 Nieuws van 20 januari 2003
Apache 2.0 webserver slaat nauwelijks aan
Apache 2.0 webserver slaat nauwelijks aan Nieuws van 11 september 2002
Netcraft survey ziet marktaandeel Apache dalen
Netcraft survey ziet marktaandeel Apache dalen Nieuws van 4 april 2002
Fout in PHP kan onder andere Apache laten crashen
Fout in PHP kan onder andere Apache laten crashen Nieuws van 28 februari 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (39)

-Moderatie-faq
39
36
25
13
5
0
Wijzig sortering
Bor Coördinator Frontpage Admins / FP Powermod 15 april 2004 22:16
Onderdeel van het hardenen van een webserver is het veranderen van de header die de webserver terug geeft. Zo laat ik bv IIS altijd een versie van apache teruggeven als header informatie. Dit soort onderzoeken geven volgens mij alleen maar een inzicht in de beveiliging van de vele "thuis" servers.
Verwijderd @Bor16 april 2004 02:57
<quote>
laat ik bv IIS altijd een versie van apache teruggeven als header informatie
</quote>

ja ik ken dat mijn buurman heeft ook zo een knipperlichtje in zijn auto, dan lijkt t net alsof hij een autoalarm heeft
Verwijderd @Bor15 april 2004 22:48
Zo laat ik bv IIS altijd een versie van apache teruggeven als header informatie.
Is dat in het kader van ontmoediging ? :+

Zo van: ik heb dan welliswaar een onveilige webserver geinstalleerd, maar het ziet er in ieder geval wel veilig uit :P


* 786562 Flipz
SED @Verwijderd15 april 2004 22:52
dan moet je het onderzoek toch eens goed lezen, iis is hier niet het probleem!
Verwijderd @Bor16 april 2004 10:55
Security through obscurity, en daar trappen alleen de script-kiddies in :)

Een tijdje geleden was er voor IIS zo'n prettige exploit waarbij een executable werd opgevraagd via een speciale url.
Ik heb toen ook heel wat van de aanvallen voorbij zien komen in de logs van apache servers die zichzelf ook als apache server aankondigden.
riddles 15 april 2004 21:09
Inderdaad erg oppervlakkig. De software versie zegt tegenwoordig nagenoeg niets meer over het wel of niet vulnerable zijn. Bijna alle distributies leveren patches tegen oude versies van bijvoorbeeld OpenSSL i.p.v. direct te upgraden en compatibiliteitsproblemen te riskeren. Zo zit bijvoorbeeld OpenSSL voor Redhat 7.3 (met de laatste updates van Fedora Legacy) nog op versie 0.9.6b. De laatste patch daarvoor dateert wel van 22 maart dit jaar! De laatste veilige versies is 0.9.6m, heel wat versies hoger.
T-h-i-j-s 15 april 2004 21:36
De waarde van de uitkomsten van dit onderzoek is inderdaad behoorlijk dubieus. Neem bijvoorbeeld een distributie als Debian Linux/GNU die toch redelijk veel gebruikt wordt. De versiesnummers van Apache en PHP zouden inderdaad doen vermoeden dat deze vulnerable zijn. Dit is echter niet het geval. Alle security updates uit de nieuwere versies zijn keurig gebackport naar de versies die in de stable release gebruikt worden en verspreid als security updates.

Wat dat betreft moet er dus op z'n minst een aantal vraagtekens gezet worden bij de resultaten. Ze zijn in elk geval niet geschikt om direct conculies uit te trekken. Er zal echter ongetwijfeld een kern van waarheid inzitten dat er aan een groot aantal webservers met betrekking tot security wel wat mankeert; helaas.
DSmarty 15 april 2004 21:07
Opvallend dat we boven het wereldwijd gemiddelde uitsteken.
Gemiddeld draiat 67% van de webservers apache, in NL blijkbaar 76%...

Bron: http://news.netcraft.com/archives/web_server_survey.html

Ter info: Als je alleen wil vrijgeven dat je apache draait, even het volgende aanpassen/toevoegen aan je httpd.conf:
ServerTokens ProductOnly
Verwijderd @DSmarty15 april 2004 21:31
Daar zou ik volgende regel aan willen toevoegen:
ServerSignature off
Zorgt ervoor dat automatisch gegenereerde pagina's door apache (bijv indien een niet-bestaande pagina wordt opgevraagd) niet meer voorzien worden van een voettekst met systeeminformatie.
Verwijderd @DSmarty15 april 2004 21:31
Dat komt omdat Apache gratis is, en wij zijn Nederlanders :+
jcvw @Verwijderd15 april 2004 23:35
Gratis wil niet alles zeggen... Zie bijvoorbeeld het abstract voor een lezing op de NLUUG conferentie van Jos Visser:
http://www.nluug.nl/events/vj04/abstracts/ab.html?id=59

(De conferentie gaat over ``open source in bedrijf'' - zie http://www.nluug.nl/events/vj04/ )

Jos Visser zegt:
Nederlanders zijn dol op iets dat gratis is, totdat het echt gratis blijkt te zijn. Zo lijkt het tenminste te zijn in het geval van Open Source Software (OSS). Waar bedrijven en overheden in andere landen over elkaar heen buitelen om Linux en andere OSS in te zetten hobbelt Nederland er maar weer eens flink achteraan. En dat is ook niet raar, want Nederland is helemaal geen land voor open source software. Het concept van open source gaat namelijk in tegen allerlei genetisch overgedragen volkseigenschappen.
Verwijderd @jcvw16 april 2004 10:51
"Gratis wil niet alles zeggen"

Gratis wordt niet vertrouwd. Men wil graag dure supportcontracten zodat men ergens op kan terugvallen als er iets mis gaat. Lekker afschuiven, dat is ook typisch Nederlands.
Gilles 15 april 2004 21:15
Ik vind dit artikel wel wat overtrokken hoor. Ze doen net alsof het draaien van oude PHP versies per definitie onveilig is. Veel bedrijven hebben gewoon hun eigen server waar alleen door hun zelf gedevelopte software op draait, en het is al een tijd geleden dat er een fout in PHP zat die remote exploitable was zonder dat hier brakke code achter zit.

Daarnaast is het vrijgeven van versienummers ook niet per definitie onveilig. Ik heb even naar de headers gekeken die ik bij tweakers.net terug krijg: "Server: Apache/1.3.29 (Unix) PHP/4.3.4 mod_gzip/1.3.19.1a".
SKiLLa 15 april 2004 23:51
Inderdaad een weinig zeggend onderzoek; hoogstens een redelijke indicatie van het markt-aandeel van verschillende OSes en server software.

Ze hadden beter bv. Nessus kunnen gebruiken in 'harmless' mode ... die lijkt me stukken nauwkeuriger dan alleen wat headers uitlezen. Zie bv. seclists.org/lists/nmap-hackers/2003/Jan-Mar/0004.html om NMAP te misleiden ...

Een boel providers faken of blokkeren de 'product-headers' om scriptkiddies te misleiden, of juist helemaal geen info prijs te geven. Terwijl een echte netwerk/exploit scanner veel geavanceerdere technieken heeft om versies (en exploits/bugs/etc) te detecteren zonder direct schade aan te richten, al zullen sommige IDSes (Intrusion Detection Systems) dan wel flipmode gaan :Y)

Maarja, een echte security audit mag juridisch eigenlijk niet zonder schriftelijke toestemming van de proefpersonen :z
Verwijderd 15 april 2004 21:16
TIP: Update ALTIJD je software op webservers...

verdomme vorige week gehackt door een exploit in de linux kernel waarvan ik geen zin had om deze te updaten => weg 307 site's

(Gelukkkig dat er geen +1 Uitlachen is :P)
Verwijderd @Verwijderd15 april 2004 21:34
en nu interesseert mij dan wel ... welke exploit? :)

cheers..
kingfinn @Verwijderd15 april 2004 22:41
grmbl.. waaronder de mijne, betaal ik daar nou 1 euro per maand voor? :( ;)
jb044 15 april 2004 22:33
Beetje oppervlakkige test, alleen nmap en aanvullend een apache check zegt natuurlijk weinig. Sterker nog vrij logisch allemaal, alleen sukkels upgraden alles totaal clueless. Zoals door anderen al aangegeven je kunt ook de huidige versie tegen een exploit patchen. Sterker nog zo willen de meeste professionals het hebben. Beproefd en compatible dat zijn de termen, niet latest & greatest!

Doe dan een wat bredere nmap, bij zoveel % draait verouderde webserver software + verdachte of onnodige services. Kijk daar heb je wat aan....dit klinkt als een bedrijfje dat aandacht wil maar noietverdient :?
]Byte[ @jb04416 april 2004 11:02
Ben ik met je eens!
Als je dan een beetje representatieve data wil hebben, zet dat op z'n minst nessus aan de slag. :)
Maarja, dan is ie alleen wel ff langer bezig.
Ik heb dat hier gedaan bij een klant waar ik nu werk.
Men DACHT altijd dat ze alles goed geregeld hadden hier intern.... Maarja....
Kwam toch een rapportage van 1232 pagina's uit nessus rollen. :)
Wel ff in safe-mode gedaan, zit dus nog wel wat "false-positive" resultatten tussen maar dat zijn we nu aan het uitzoeken.
jb044 @]Byte[16 april 2004 18:45
Offtopic, gebruik liever sara daarvoor saint toen de gratis versie nog bruikbaar was. Nessus rapporteerd alles wat ook maar een probleem zou kunnen zijn. Sara (en saint) alleen wat echt een probleem is, dus alleen poort + exploitable versie van een service geeft een melding. Nadeel is natuutlijk dat het risico dat je iets over het hoofd ziet wat groter is, maar zeker met saint is die kans vrij klein want die wordt goed bijgewerkt.
Hans 16 april 2004 11:05
Ik vind het verstoppen van versienummers veel verdachter dan ze gewoon tonen (vereist wel dat je server up to date is)
Sir_Eleet @Hans18 april 2004 01:13
Ok, maar als je geen versienummer hebt kan het een tijdje duren voor je de juiste exploit gevonden hebt die te gebruiken is ;)
sweetdude @Verwijderd15 april 2004 21:27
ik zou me net geen zorgen maken om die ADSL kabel bakken
1. men draait er geen kritieke systemen op
2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server.
Beaves @sweetdude16 april 2004 10:11
Ik maak me er wel zorgen om, om de hele simpele reden dat die "servers" wel gebruikt kunnen worden voor zaken zoals een dDOS, als spam host of voor een ander doeleinde waarvan ik en de rest van de internettende bevolking veel last van heeft.

Dat mensen het blijkbaar nodig vinden om hun persoonlijke data etc. bijna op straat te leggen door gebruik te maken van verouderde of slecht geconfigureerde software moeten ze zelf weten, maar ik vind het wel irritant dat die "servers" gebruikt kunnen worden voor doeleinden waar ik veel last van kan hebben, zoals spam, virusmailtjes en dDOS'en.

Het is dus wel een heel groot probleem, hoe denk je dat de huidige dDOS'en zo succesvol zijn? Omdat er zoveel slecht beveiligde bakken aan het internet hangen die bijna allemaal een leuke snelheid hebben.
TWBMS @sweetdude15 april 2004 23:53
'"1. men draait er geen kritieke systemen op"
Het hoeft dan nog geen kritiek systeem te zijn, Ik betwijfel of een cracker/scriptkiddie die op zoek is naar een systeem om te misbruiken het iets kan schelen waar het voor gebruikt wordt.

"2. de meeste hebben vrij moderne versies draaien thuis en proberen eerder de laatste nieuwe beta's af zelf alfa releases uit. Dit doe je niet snel op een productie server."

Dat zal je toch tegen vallen... en ja ik heb zelf ook zo'n systeem staan.. staat nu uit ik moet hem nodig eens op nieuw installen..
random @Verwijderd15 april 2004 21:06
Zelfs wanneer er vanuit gegaan wordt dat een deel van de verzamelde informatie niet klopt, extrapoleert men dat er alleen al 40.000 systemen - zowel servers als ADSL/kabel-bakken - rondzwerven die gevoelig zijn voor dit lek.
Het staat er gewoon in.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq