proteccion de pagina web mod_harbour

mod_harbour es un módulo para Apache que permite correr tus PRGs directamente en la web!!!

proteccion de pagina web mod_harbour

Postby wilsongamboa » Thu Sep 16, 2021 1:10 pm

Estimado compañeros buenos dias
- tengo dos sitios uno http y otro https
- el http es para pruebas y el https para producción

Nos cayo el Ransomware a pesar que los dos servidores estaban detrás del firewall Sophos
La gente de Sophos afirma que estos sitios son inseguros por eso ( por culpa de los sitios inseguros ) entro el Ransomware
en la ignorancia nuestra en estos temas acudo a ustedes que me recomiendan para mejorar las seguridades o protecciones de estos dos sitios web ?
algún software para tener respaldados los servidores ( a pesar que eso lo saca la gente de sistemas pero tenían un respaldo de hace 15 dias y solo del sitio https )


sitio https
web server apache instalado con xampp ( ultima version disponible 64 bits ) puerto en el que opera web server 8443
windows 2019 server
ip publica
certificado comprado ( no es caro pero es un certificado)
Se tiene en proceso de pruebas un programa de logística de camiones que use mod_harbour + tWeb + mercury del consultor Charly

sitio http
web server apache instalado con xampp ( ultima versión disponible 64 bits ) puerto en el que opera web server 80
windows 2019 server
ip publica diferente a la anterior
el programa anterior esta en este server también

muchas gracias por sus comentarios
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador

Re: proteccion de pagina web mod_harbour

Postby Otto » Thu Sep 16, 2021 5:18 pm

Hello Wilson,
Lo que todavía está instalado en este servidor web.

La mayoría de las veces, el RANSOMWARE se envía a través de un archivo adjunto de correo electrónico.
¿Está seguro de que el software de cifrado llegó a través de su servidor APACHE?

¿Está todo su disco duro cifrado o solo el directorio htdocs?


Best regards,
Otto



viewtopic.php?f=3&t=37383&p=223340&hilit=backup&sid=76cebc693d1f5c861e9b4471e8917d9f#p223340


viewtopic.php?f=3&t=37326&p=222974&hilit=ransomware&sid=76cebc693d1f5c861e9b4471e8917d9f#p222974

viewtopic.php?f=3&t=35900&p=213884&hilit=ransomware&sid=76cebc693d1f5c861e9b4471e8917d9f#p213884
********************************************************************
mod harbour - Vamos a la conquista de la Web
modharbour.org
https://www.facebook.com/groups/modharbour.club
********************************************************************
User avatar
Otto
 
Posts: 6364
Joined: Fri Oct 07, 2005 7:07 pm

Re: proteccion de pagina web mod_harbour

Postby wilsongamboa » Thu Sep 16, 2021 5:24 pm

Otto gracias por su preocupación
es lo que dicen los Sres del firewall que es un hardware mas un software que vendieron y según yo no protegió
es mas acaban de bajarme las paginas ( bajaron los servidores ) hasta que yo haga algo que permita que sean fiables las paginas
saludos
Wilson
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador

Re: proteccion de pagina web mod_harbour

Postby Otto » Thu Sep 16, 2021 5:45 pm

¿Es ese su servidor interno?
********************************************************************
mod harbour - Vamos a la conquista de la Web
modharbour.org
https://www.facebook.com/groups/modharbour.club
********************************************************************
User avatar
Otto
 
Posts: 6364
Joined: Fri Oct 07, 2005 7:07 pm

Re: proteccion de pagina web mod_harbour

Postby wilsongamboa » Thu Sep 16, 2021 7:30 pm

Dear Otto two servers are on the customer infraestructure not mine, I'm only make an software writen in mod_harbour and need to operate on that enviroment the people of the firewall claims I'm the guilty because this two servers were attack with ransomware
Now the customer banned this two servers until we install protections
The questions are
How we protect this two servers ?
many thanks for your help
wilson
excuseme my english
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador

Re: proteccion de pagina web mod_harbour

Postby Otto » Thu Sep 16, 2021 8:30 pm

Hello Wilson,
Personalmente, no creo que el ataque se haya producido a través del protocolo http.

¿Pudiste realizar un seguimiento de qué archivos / directorios se cifraron primero?

El correo electrónico no deseado con un archivo adjunto malicioso es el método más común para introducir ransomware en la máquina de la víctima.

¿Hay software de correo electrónico en estos dispositivos?

Sería muy importante para todos nosotros saber qué sucedió exactamente.
Para que podamos tomar precauciones.
Pienso en desinstalar PHP en mis servidores.
Por el momento, Mod Harbour no es muy conocido, por lo que el riesgo de un ataque es mínimo.

------------------------------------


Personally, I don't think the attack was via the http protocol.

Were you able to keep track of which files / directories were encrypted first?

Spam email with a malicious attachment is the most common method to get ransomware onto a victim's machine.

Is there email software on these servers?

It would be very important for all of us to know what exactly happened.
So that we can take precautions.
I think of uninstalling PHP on my servers.
Mod harbour at the moment is not widely known, so the risk of an attack is minimal.

Best regards,
Otto
********************************************************************
mod harbour - Vamos a la conquista de la Web
modharbour.org
https://www.facebook.com/groups/modharbour.club
********************************************************************
User avatar
Otto
 
Posts: 6364
Joined: Fri Oct 07, 2005 7:07 pm

Re: proteccion de pagina web mod_harbour

Postby wilsongamboa » Thu Sep 16, 2021 8:58 pm

Estimado Otto
Ellos tienes Office 365 como email y les vendieron con la seguridad que nunca les va a atacar el ransomware ( al menos eso dijeron ellos y le stienen convencidos a todos en la empresa )
No se puede hacer ningún rastreo porque los servidores fueron formateados el uno y el otro restaurado desde respaldos
El problema es que los han bajado a esos servidores y yo no se que ponerles para que los acepten y poder subirlos de nuevo
saludos
Wilson
pd: estoy seguro que el sophos no detecto y paso por el y ahora me culpan a mi eso pienso por eso pregunto si alguien sabe del tema
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador

Re: proteccion de pagina web mod_harbour

Postby Otto » Fri Sep 17, 2021 6:15 am

Dear Wilson,
Take a look at a YouTube video of how a RANSOMWARE attack takes place.

With the antivirus software we use, we can basically block newly installed applications.
That already thwarted a great many attacks.
We use Panda watchguard antivirus software.

It is a pity that you can no longer examine the system yourself.
I always look first to see which bat, com, exe files have been installed in the last 24 hours. Then I compare the modification dates of the encrypted files. Often this is how I find out where the attack came from.
RDP with simple passwords is also dangerous.
Mapped drives can also be encrypted from another PC.

Best regards,
Otto
********************************************************************
mod harbour - Vamos a la conquista de la Web
modharbour.org
https://www.facebook.com/groups/modharbour.club
********************************************************************
User avatar
Otto
 
Posts: 6364
Joined: Fri Oct 07, 2005 7:07 pm

Re: proteccion de pagina web mod_harbour

Postby Carles » Fri Sep 17, 2021 10:52 am

Wilson,

Tu tienes montado un servidor con apache y el mod, cierto ? O ademas es un servidor coorporativo, con carpetas compartidas, servidor de correo, otros servidores,...

Primero, el mod no es el culpable del ransom. Ademas como sabes que es un ransomware? Por cierto, el objetivo del ransom no es formatear un ordenador, sino pedir un rescate por tus datos.

El ransomware normalmente viene anexado en fichero via mail. La gente los abre y se ejecuta el programa malicioso, el malware. Para evitar esto como debes proceder: un buen antivirus. En este caso, lo detectaria al abrir y lo neutralizaria.

Pero ademas, a esta accion en el server debes tu o el responsable del servidor tener un buen respaldo de copias y esto es vital la regla 1. Justamente ayer hablaba con Antonio de la regla 3+2+1 para respaldos, pero bueno cada uno tiene su estrategia, pero si es cierto una cosa. Toda empresa debe de tener sus backups en orden.

Pueden haber casos en que entren en tu máquina aprovechando firewall mal configurado o vulnerabilidades del sistema operativo, por eso tambien es siempre importante tener actualizado tu SO. En resumen, todo un mundo el ambito de sistemas.

Que tengas un http o https solo te garantiza uan encriptacion de datos de un punto a otro y se encarga dicho protocolo. En este sentido si tienes un http solo debes saber que si que pueden con técnicas de sniffer chequear paquetes de datos y ver contenido, entre otras posibilidades. Son tecnicas complicadas pero estan disponibles para los hackers. Por eso si es importante tener un cifrado. En resument cuando haces tu login/psw a un banco o a tu applicacion, si "sniffas" por ejemplo por la wifi esta transmision podrias llegar a pillar estos datos. Pero por aqui no te van a colar un ransom.

Me extraña que te culpen a ti, quizas por que ven que en este ambito de sistemas desconoces el tema, pero tampoco se en que se basan, lo desconozco.
Salutacions, saludos, regards

"...programar es fácil, hacer programas es difícil..."

UT Page -> https://carles9000.github.io/
Forum UT -> https://discord.gg/bq8a9yGMWh
Skype -> https://join.skype.com/cnzQg3Kr1dnk
User avatar
Carles
 
Posts: 1143
Joined: Fri Feb 10, 2006 2:34 pm
Location: Barcelona

Re: proteccion de pagina web mod_harbour

Postby wilsongamboa » Fri Sep 17, 2021 12:04 pm

Charly buenos dias
gracias por tus explicaciones
Pues va a ver que descubri lo siguiente
- Esos servidores no tenian instalados antivirus
- al parecer si entro por el sophos OJO con este firewall te lo venden diciendo que te protege ransomware y si pasa por alli el ransomware ( que creo es el caso ) empiezan a buscar culpables ( no me parece bien depender de esta gente )
- ya me dejaron de culpar ( al menos ya no he escuchado mas esos comentarios )
- van a subir el primer servidor y veo que recién le instala antivirus ( negligencia )
- en fin que todo esto es un mundo y tarde o temprano tendré que en mi nube poner protecciones

saludos y gracias por sus ideas
regards
Wilson
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador

Re: proteccion de pagina web mod_harbour

Postby Antonio Linares » Fri Sep 17, 2021 2:25 pm

Wilson,

Muchas gracias por compartir tu información tan valiosa para todos nosotros
regards, saludos

Antonio Linares
www.fivetechsoft.com
User avatar
Antonio Linares
Site Admin
 
Posts: 42203
Joined: Thu Oct 06, 2005 5:47 pm
Location: Spain

Re: proteccion de pagina web mod_harbour

Postby wilsongamboa » Fri Sep 17, 2021 4:49 pm

Gracias a ti Master mira lo que estas creando con el mod ja ja ja
RESUMEN
- vamos a cambiar el puerto 80 por otro al apache
- por fin !! van a poner un antivirus
del server con https aun no lo topamos porque están sin tiempo los de sistemas
ya iré comentando
saludos
Wilson
Wilson 'W' Gamboa A
Wilson.josenet@gmail.com
User avatar
wilsongamboa
 
Posts: 600
Joined: Wed Oct 19, 2005 6:41 pm
Location: Quito - Ecuador


Return to mod_harbour

Who is online

Users browsing this forum: Maurizio and 1 guest