Xena - Advanced File Locking

Glavni izbornik

Brzi linkovi

Pitanja:

Odgovori:

Što je Xena?

Xena File Locking je napredni sustav zaštite datoteka i direktorija od neželjenih izmjena (npr. injectanje
malware koda u skripte i .html/.htm stranice, mijenjanje .htaccess datoteke od strane hackera, itd.).

Zašto nam uopće treba Xena?

Kao što znate većina današnjih web stranica koristi neki od CMS sustava (npr. Joomla, Wordpress i drugi). Dok s jedne strane pružaju veliku pomoć pri izradi stranica i štede nam ogromne količine vremena, s druge strane korištenje CMS sustava vodi do sigurnosnih problema jer je kod CMS-a javno dostupan svima, te kada se nađe sigurnosna rupa, ista se lako može naći na internetu. Iako je vlasnik web stranica dužan držati sustav "up-to-date" sa novim sigurnijim verzijama, u praksi je to doista teško postiči, tipična jednostavnija web stranica ima CMS + template + bar nekoliko modula, i dok sam CMS dobiva redovito security update isto se nažalost nemože reći za template i module koji u pravilu otklanjaju samo velike propuste (ako i njih). Stvar se još pogoršava sa tim sto mnogi korisnici ne drže čak ni sam CMS "up-to-date", jer smatraju da su platili izradu web stranica i da je ta priča gotova, a webmaster koji je radio stranice se time više ne bavi jer je i za njega priča gotova. Pružatelji usluge webhostinga često moraju informirati vlasnike web stranica da su im stranice provaljene i da moraju hitno nešto poduzeti, u iznimnim slučajevima i blokiraju stranice. To stvara negativnu atmosferu između vlasnika web stranica (klijent) i pružatelja usluge webhostinga, jer će klijent u 99% slučajeva reći nešto tipa "Mi nismo ništa dirali, jučer je sve radilo, mora biti nešto sa vaše strane!".

Ukoliko se bavite izradom web stranica za klijente, bitno je napomenuti da web site ima osim cijene hostinga i cijenu održavanja CMS-a, kako bi klijent bio na vrijeme upućen i ne bi bilo poslije ni njemu ni vama iznenađenja.

Posebna priča su i prastari CMS-ovi tipa Mambo i Joomla 1.0.x/1.5.X, što s njima? Troškove/trud nadogradnje na "up-to-date" verziju nitko nije spreman snositi, uz xenu "život" tih CMS-ova se znatno produžuje, dok se ne nađe volja i sredstva da se stranica prebaci na novi CMS.

U čemu je razlika između nove i stare xene?

Stara xena je bio pokušaj da se taj problem riješi, no iako je pomogla u dosta slučajeva (zaustavila oko 60% provala) nije do kraja zadovoljavajuće rješenje. S tehničke strane xena1 je zaključavala postojeće datoteke "ranjivog" tipa (.php, .html, itd.) na cijelom siteu. No nije spriječavala da netko iskoristi sigurnosnu rupu iz CMS/modul/template kompleta da kreira novu datoteku tipa npr. cache.php u kojoj je onda malware. Ukratko xena1 štiti datoteke koje su postojale u trenutku uključenja xene na site-u. Xena2 radi na kompletno drugi način, nešto je kompleksnija, konfigurabilna je i DALEKO moćnija nego xena1. Osim toga kad je ispravno konfigurirana štiti čak i od provala preko FTP-a gdje je bot/hacker uspio ukrasti login i password za ftp, te preko ftp-a uploada virus/malware.

Kako radi Xena2?

Xena2 štiti sve fileove i sve direktorije (uključujući i root) na domenu. Stranice koje imaju uključenu xenu2 bez iznimki bi trebale biti praktički neprobojne. Uzmimo nekoliko primjera (istestirali smo svaki da se uvjerimo u efikasnost):

Primjer 1:

web site izradjen u Joomla 1.5.26 (zadnja stabilna verzija) + neki template XXXX + komponente A + komponenta B
Statički je (ne dodaju se novi sadržaji, komponente ne zahtjevaju tmp/cache direktorije).

Konfiguracija Xena2 - dovoljno je kliknuti uključi xenu u controlpanelu i to je to :)

Rezultat: niti jedna datoteka se ne može mijenjati niti dodati na cijelom siteu

Primjer 2:

web site izradjen u Joomla 1.5.26 (zadnja stabilna verzija) + neki template XXXX + komponente A + komponenta B
Statički je (ne dodaju se novi sadržaji, komponente zahtjevaju pisanje u /tmp i /cache direktorije i to
komponenta A koristi /tmp da zapisuje thumbnailove od slika u .jpg formatu, komponenta B koristi /cache da zapiše
session podatke u datoteke tipa .session i /tmp za podatke .dat).

Konfiguracija Xena2:

1. odaberemo /tmp iz dropdown menija, pod extenzije unesemo .jpg .dat, pod iznimke index.html (jer joomla već tamo ima svoj index.html)
2. odaberemo /cache iz dropdown menija, pod extenzije unesemo .session, a pod index.html (jer joomla već tamo ima svoj index.html)
3. kliknemo uključi xenu u controlpanelu

Rezultat: niti jedna datoteka se ne može mijenjati niti dodati na cijelom siteu osim direktorija /tmp u kojem je zaštićen index.html, no mogu se dodavati novi fileovi, no bilo koji file koji nije tipa .jpg ili .dat će rezultirati odabranom akcijom (warn - upozorenje, quarantine - maknuti će ga iz tog direktorija u karantenu), direktorij /cache u kojem je zaštićen index.html, no mogu se dodavati novi fileovi, no bilo koji file koji nije tipa .session će rezultirati odabranom akcijom. Xena će poslati mail kada nađe nedozvoljenu datoteku sa raportom što je učinjeno.

Ovo zvuči predobro da bi bilo istinito?

Na ovom projektu je aktivno radio, više od 4 mjeseca, tim od tri programera i sistem administratora, problem koji želimo riještiti je ogorman i zahtjeva ozbiljan pristup. Vjerujemo da će ovo biti rješenje koje će zadovoljiti 99% klijenata i korisnicima uštediti hrpu truda i muke.

Za razliku od xena1 koja je pasivna zaštita, xena2 je aktivna zaštita koja za svoj rad traži mnogo IO operacija i time donosi neusporedivo veće opterećenje na sam server, kako bi kvaliteta usluga koju pružamo našim klijentima ostala na visokom nivou xena2 je premium usluga i dodatno se naplaćuje.

Što će biti sa xena1 zaštitom? Ona ostaje i dalje aktivna, no nakon 31.12.2013. više neće biti dostupna.

OK ... zainteresirani smo, kako možemo pomoći?

Koristite xenu2! Sve probleme i potencijalne bugove, te moguća pitanja molimo da pošaljete na This e-mail address is being protected from spambots. You need JavaScript enabled to view it .