https://sellio.store/pl/page/71/     https://fashionetta.org/pl/page/71/     https://home-partner.org/pl/page/71/     https://car-paradise.org/pl/page/71/     https://car-accessories.net/pl/page/71/     https://modeo-shop.com/pl/page/71/     https://wibratory.net/pl/page/71/     https://etui-empire.com/pl/page/71/     https://e-papierosy.org/pl/page/71/     https://ero-land.org/pl/page/71/     https://lampy-sklep.com/pl/page/71/     https://desteo.org/pl/page/71/     https://shopara.org/pl/page/71/     https://shopme-online.org/pl/page/71/     https://shopinio.org/pl/page/71/     https://shopopolis.org/pl/page/71/     https://shoporama.org/pl/page/71/     https://desuto.org/pl/page/71/     https://shopsy-online.org/pl/page/71/     https://e-shopsy.org/pl/page/71/     https://vandershop.net/pl/page/71/    https://trip-zone.info/    https://fashion-trends.info/en/

catalog-info.com

Kolejna witryna oparta na WordPressie

Bez kategorii

Bezpieczeństwo Monarx i 3 typy powłoki sieciowej

Bezpieczeństwo Monarx i 3 typy powłoki sieciowej

Monarx Security to usługa ochrony przed złośliwym oprogramowaniem PHP, która pomaga dostawcom usług hostingowych zabezpieczyć strony internetowe i aplikacje klientów, szczególnie przed atakami typu web shell. Klienci InMotion Hosting mogą bezpłatnie monitorować aktywność Monarx z poziomu interfejsu cPanel.

Ale co właściwie robi usługa bezpieczeństwa Monarx? I czym są powłoki sieciowe?

Usługa Monarx Security jest obecnie dostępna tylko dla planów hostingu współdzielonego.

Co to jest Monarx Security?

Monarx jest unikalnym rodzajem zapory sieciowej nowej generacji (NGFW). Skupia się on bardziej na zachowaniu kodu PHP, a nie tylko na jego wyglądzie czy sygnaturze, które mogą być zamaskowane (np. wirusy polimorficzne). Zmniejsza to prawdopodobieństwo, że pliki zostaną fałszywie oznaczone jako złośliwe, co może prowadzić do problemów na czystych stronach internetowych, a także skraca czas potrzebny na wykrycie luk zero-day.

Poniżej przedstawiamy działanie tego procesu.

  1. Agent Monarx jest zainstalowany na naszych współdzielonych serwerach hostingowych. Agent składa się z dwóch modułów. Protect śledzi i blokuje wykonywanie ładunków powłoki sieciowej. Hunter przeprowadza cotygodniowe pełne skanowanie i skanowanie w czasie rzeczywistym w poszukiwaniu zagrożonych binariów źródłowych i powłok sieciowych.
  2. Agent Monarx pobiera reguły bezpieczeństwa związane z aplikacjami internetowymi i systemami zarządzania treścią (CMS).
  3. Wszelkie pliki oznaczone przez agenta Monarx jako złośliwe są automatycznie przetwarzane zgodnie z regułami bezpieczeństwa i wysyłane do chmury Monarx Cloud w celu dalszej analizy, odciążając zasoby serwera.
  4. Zablokowane jest wykonywanie powłok internetowych/backdoorów opartych na PHP, co zostało nazwane techniką „post exploit payload prevention”.
  5. Nasi administratorzy systemów mogą korzystać z interfejsu API Monarx w celu lepszego zarządzania informacjami o bezpieczeństwie i zdarzeniami (SIEM) na wszystkich kontach hostingu współdzielonego, aby lepiej wykrywać wstrzykiwanie kodu i podobne ataki.

Jak widać, to oprogramowanie jako usługa (SaaS) wykonuje w tle wiele czynności, które nie są typowe dla innych zapór aplikacji internetowych (WAF). Najlepsze jest to, że aktywność Monarxa można sprawdzić w cPanelu, ale nie trzeba niczego konfigurować. Wystarczy, że będziesz wiedział, że on tam jest.

Co to jest powłoka sieciowa?

Powłoka sieciowa to po prostu złośliwe oprogramowanie służące do uzyskiwania zdalnego dostępu do systemu bez autoryzacji.

Powłoki sieciowe

stanowią poważne zagrożenie, ponieważ są trudne do wykrycia, a jednocześnie umożliwiają hakerom uzyskanie dostępu administratora i robienie, co im

się żywnie podoba:

  • Ataki polegające na niszczeniu stron internetowych
  • Ataki typu DDoS (Distributed Denial of Service)
  • Eskalacja uprawnień w celu uzyskania dostępu do zastrzeżonych usług
  • Wszystko inne, co może zrobić autoryzowany użytkownik root

Istnieją trzy rodzaje powłok sieciowych.

Bind shell: system ofiary zostaje zainfekowany, aby nasłuchiwał na określonym porcie (standardowy backdoor).

Powłoka odwrotna (connect-back shell): system jest infekowany w celu aktywnego poszukiwania połączenia z lokalną maszyną cyberprzestępcy lub systemem dowodzenia i kontroli (C2).

Podwójna powłoka wsteczna: powłoka rezerwowa, w której maszyna docelowa używa oddzielnych portów dla wejścia i wyjścia.

Typowe kroki, jakie podejmuje atakujący, aby to osiągnąć

:

  1. Wykorzystanie luki w celu przesłania powłoki sieciowej (payload) na komputer docelowy.
  2. Przeniesienie powłoki WWW do bardziej dostępnego, publicznego katalogu.
  3. Uzyskanie dostępu do powłoki sieciowej w celu załadowania lub zmodyfikowania plików.

Podsumowując, zapobieganie wykonywaniu powłoki sieciowej zmniejsza prawdopodobieństwo zmanipulowania witryny w celu wydobywania kryptowalut, rozsyłania spamu i innych złośliwych celów.

<h

2>Jak uzyskać dostęp do wtyczki Monarx cPanel

Monitorowanie zdarzeń bezpieczeństwa Monarx nie wymaga żadnych skomplikowanych czynności

:

  1. Zaloguj się do panelu cPanel.
  2. W zakładce „Bezpieczeństwo” wybierz „Monarx Security”.
  3. Po prostu odśwież (F5) stronę, jeśli zobaczysz następujący komunikat: „Monarx nadal próbuje zasilić Twoje konto. Proszę odświeżyć stronę. Jeśli problem nadal występuje, sprawdź później”.

Na pulpicie nawigacyjnym Monarx pojawi się informacja: „jesteś chroniony” i „Twoja witryna jest wolna od złośliwego oprogramowania!”. (jeśli nie, skontaktuj się z Pomocą techniczną na żywo). Po prawej stronie znajduje się lista typów złośliwego oprogramowania, które Monarx zwalcza automatycznie

:

  • Dostęp uploader’a do Twojego serwera
  • Powłoki sieciowe, które umożliwiają tworzenie zaawansowanych, uporczywych zagrożeń (APT)
  • witryny phishingowe i cybersquattingowe wstrzykiwane na Twój serwer
  • Aplikacje typu Mailer służące do podszywania się pod konta e-mail użytkowników
  • Skrypty adware osadzone w Twojej witrynie
  • Inne złośliwe oprogramowanie, które może zainfekować użytkowników odwiedzających Twoją witrynę

Wybierz zakładkę „Szczegóły”, aby wyświetlić pliki na serwerze cPanel oznaczone jako podejrzane.

  • Data i godzina wykrycia
  • Ścieżka bezwzględna pliku
  • Klasyfikacja (złośliwy lub zagrożony/zainfekowany)
  • Status pliku (poddany kwarantannie, zablokowany przed wykonaniem, oczyszczony ze złośliwego oprogramowania lub zapisany w dzienniku w celu podjęcia dalszych działań)
  • Typ

W tej chwili dostępna jest jedna interaktywna funkcja dla użytkowników końcowych. Jeśli w którymś momencie stwierdzisz, że zagrożony plik został nieprawidłowo oznaczony przez Monarx jako czysty, możesz przesłać plik do dalszej weryfikacji. Po prostu zaloguj się do terminala cPanel lub SSH i wykonaj następujące polecenie (zastępując „filename” rzeczywistym plikiem):

monarx-sample-upload filename W

celu uzyskania dalszej pomocy skontaktuj się z Pomocą techniczną na żywo.

Oprogramowanie Monarx przechwytuje dalsze informacje związane z wykrytym złośliwym oprogramowaniem, aby móc je wykorzystać w przyszłości, w tym:

  • Suma kontrolna pliku SHA-256 lub silniejsza
  • Adres IP i kraj pochodzenia
  • Dotknięte aplikacje internetowe (np. wtyczki i motywy CMS)

Sekcja „Pomoc” zawiera dodatkowe informacje na temat interfejsu cPanel Monarx i ogólnie na temat złośliwego oprogramowania.

cPanel Security

Monarx nie jest pakietem bezpieczeństwa typu „defense-in-depth

„.

Nadal powinieneś mieć tradycyjną zaporę sieciową, WAF dla swoich aplikacji internetowych i oprogramowanie antywirusowe (AV).

Nasze plany hostingu współdzielonego nadal zawierają program Patchman do śledzenia zmian w WordPressie, Drupalu i Joomla. Większość popularnych systemów CMS ma wtyczki bezpieczeństwa, które można zainstalować za darmo.

Jeśli przejdziesz na serwer VPS lub dedykowany, będziesz musiał sam zadbać o swoje bezpieczeństwo.

  • Upewnij się, że skaner AV (ClamAV lub ImunifyAV) jest zainstalowany i ustawiony na automatyczne skanowanie co najmniej raz w tygodniu.
  • Wzmocnić tradycyjną zaporę ogniową. Zalecamy ConfigServer Security & Firewall (CSF) lub Firewalld.
  • Chroń swój serwer za pomocą zapory opartej na sygnaturach, takiej jak ModSecurity lub Fail2ban.

Daj nam znać, jeśli masz jakieś pytania dotyczące bezpieczeństwa Monarx lub ataków web shell.

Powiązane


Czytaj dalej: https://www.inmotionhosting.com/blog/monarx-security/

Udostępnij

O autorze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.