Polski hosting - jest raczej fatalnie

Serwer WWW to...

W kroku drugim sprawdzamy nagłówki zwracane przez serwer WWW - podobnie funkcjonuje znany serwishttp://Netcraft.com - i przyglądamy im się. Prawda jest taka, że teoretycznie żadna to filozofia, bo nagłówki łatwo zmienić. Wygląda jednak na to, że niewielu administratorów rzeczywiście to robi: wobec potrzeby nieustannego niańczenia użytkowników i łatania serwera trudno jest ciągle pamiętać o tak marginalnym zagadnieniu. Tym niemniej wszelkie zaprezentowane w tabeli wyniki należy potraktować z pewną nieufnością...

Polskie serwery - część 4/6

Polskie serwery - część 4/6

Do zbierania wyników posłużyłem się skryptem własnej produkcji. Odpytywał on kolejne z listy i zapisywał wyniki do bazy danych.

Jak to robi Netcraft?

Do badania serwerów WWW Netcraft prawdopodobnie analizuje nie tylko zwracane nagłówki, ale również podpiera się nmapem lub innym narzędziem umożliwiającym identyfikację systemu operacyjnego. Efekt jest interesujący, czasem jednak wyniki bywają dość zabawne. Jeśli bowiem schowamy serwer IIS-owy (Windows) za firewallem stojącym na Linuksie, Netcraft powie nam, że IIS jest uruchomiony w Linuksie takim to a takim.

Dlatego nie zawsze warto ufać podawanym przez serwis danym.

Choć nagłówki łatwo sprawdzić również w przeglądarce (np. w Firefoksie czy Linksie), skrypt dał mi wygodę automatycznego parsowania wyników. To naprawdę dużo, kiedy testuje się prawie dziewięćdziesiąt różnych serwerów w odstępach czasu.

Jak łatwo zauważyć, dominuje software starszy niż rok. Wygląda na to, że właściciele lubią kusić licho!

Puk, puk, to ja, admin

Odstatni test dotyczył sprawdzianu SSH - powłoka SSH (Secure SHell) udostępnia możliwość szyfrowanego połączenia z serwerem, na przykład w celu wykonania prac administracyjnych. Włamywaczowi może udać się przechwycić dane wysyłane przez SSH, a mimo tego nie zdobędzie istotnych danych, np. hasła czy nazw kont na serwerze.

Polskie serwery - część 5/6

Polskie serwery - część 5/6

Test był prosty: w konsoli wpisałem polecenie ssh nazwaserwera.pl (tylko systemy uniksowe i uniksopodobne) i przyglądałem się wynikom. Nie starałem się logować, nie podejmowałem ataku metodą brute force - wyłącznie obserwowałem.

Testujemy połączenia SSH

Testujemy połączenia SSH

Dobrze skonfigurowany serwer powinien odrzucić moje połączenie (nie jestem przecież upowazniony choćby do rozpoczynania sesji SSH). Nieco mniej dobrze skonfigurowany - wyświetli znak zachęty do logowania oraz baner informujący o obsługiwanej wersji protokołu. Pozwoli też na wielokrotne próby logowania (3 razy na podejście).

Fatalnie skonfigurowany serwer SSH - świadczący o adminie bardzo źle - nie tylko się przedstawi, ale i natychmiast poinformuje użytkownika o własnej konfiguracji.

Większość testowanych serwerów hostingowych była skonfigurowana na poziomie pomiędzy "nieco mniej dobrze" a "fatalnie".