Month: maj 2010

ModSecurity: Brandvägg för dina webbapplikationer

ModSecurityModSecurity är en brandvägg för webbapplikationer som kan övervaka, filtrera och förebygga attacker utförda mot webbapplikationer. Och eftersom fler och fler attacker riktar sig mot just webbapplikationer (över 70% av alla attacker enligt Breach, utvecklarna bakom ModSecurity), blir det bara mer och mer viktigt att man skyddar sig mot dessa.

En webbserver har oftast rikligt med möjligheter för att logga trafik i former som är användbara för till exempel marknadsföringsanalyser, lite i stil med Google Analytics. Vad de däremot oftast inte är bra på är att logga trafik som skickas och tas emot av din webbapplikation. De som utför attacker mot webbapplikationer vet detta och utnyttjar detta faktum.

Det är där ModSecurity kommer in i bilden. ModSecurity kan övervaka i realtid all form av HTTP-trafik, och kan baserat på bland annat en konstant uppdaterad regeldatabas som innehåller alla kända säkerhetshål motverka eller varna om misstänksam trafik.

Den analyserar även trafik för att se om den innehåller ovanligt beteende, kreditkortsnummer, användarkonton eller annat som inte bör finnas där och baserat på det antingen varnar om det eller helt enkelt stoppar trafiken innan den skickas iväg. Allt detta sker i realtid och utan att man ens märker av det!

Vi har därför installerat ModSecurity på samtliga Linux-webbservrar, så att dina webbapplikationer ska hålla en så hög säkerhet som möjligt. Det betyder inte bara att du slipper få din hemsida hackad, utan även att andra kunder som du delar server med kan sova gott om natten, tack vare att de inte behöver oroa sig över att det kan finnas någon annan på servern som har slarvat med sina säkerhetsuppdateringar.

I ett fåtal fall kan det dock krävas att man stänger av ModSecurity för sin webbapplikation. Vi har därför skrivit en guide för hur man gör detta, även om det är något vi inte rekommenderar såvida man inte har full koll på vad man gör.

Nya tilltag mot spam

Uppdatering: Efter populär förfrågan, så skjuter vi upp ändringen till Tisdagen den 25:e maj. Vi har även publicerat en uppdatering med förtydligande kring hur detta påverkar dig, längre ner i detta inlägg.

Vi har pillat och rotat lite i maskineriet, och kommer den 17:e maj den 25:e maj genomföra några ändringar som kommer minska mängden spam som skickas från våra mejlservrar. Det betyder att vi minskar risken för att hamna på så kallade ”blacklists”, och att belastningen på mejlservrarna går ner och ger våra kunder en trevligare upplevelse med mejl som snabbare kommer fram.

Den ändring som främst kommer minska mängden spam, är att vi kommer kontrollera ifall mejlavsändarens domän faktiskt ligger hos oss. För tidigare har man kunnat skicka genom vår SMTP (utgående mejlserver), så länge man autentiserade sig. Men tyvärr händer det med jämna mellanrum att kunder får till exempel virus som kapar kontouppgifterna och utnyttjar dessa till att skicka mejl från alla möjliga konstiga domännamn.

Så har ni några skript som skickar mejl via vår SMTP (det vill säga mailX.surftown.se / mail.din-doman.se istället för mailoutX/mailoutbX.surftown.se) och med en avsändande domän som inte ligger hos oss, så bör ni alltså ta hänsyn till detta. Använder du mail(), CDO eller liknande utan att uppge utgående mejlserver så är ni opåverkade, då dessa som standard använder mailout/mailoutb.

Detta inkluderar även WordPress, Joomla och andra webbapplikationer, även om vissa undantag kan förekomma. Lämna en kommentar med så detaljerad information som möjligt om du är osäker, så kontrollerar vi åt er om ni är påverkad av ändringen.

Denna ändringen kommer som sagt tas i bruk den 17:e maj den 25:e maj, och har ni några frågor gällande hur detta påverkar er så är ni varmt välkomna att lämna en kommentar nedan.

Uppdatering – 17:e maj:

Det var många som hörde av sig i helgen, och var oroliga över att till exempel deras skript som sänder mejl skulle sluta fungera. Vi insåg att vi inte varit tillräckligt tydliga med hur detta påverkar er, och vi ber om ursäkt för det. Nedan har vi tagit upp de vanligaste scenarion, och försökt förklara så tydligt och enkelt som möjligt kring hur denna ändring påverkar er.

Det är viktigt att poängtera att denna ändring endast påverkar ett väldigt litet fåtal av våra kunder, och då dem som har en lite speciell konfiguration. Det påverkar i största graden endast dig som har till exempel ett skript som loggar in på din mejlserver (mail.min-doman.se) och sedan försöker skicka ett mejl med en avsändande domän som inte är tillagd i din kontrollpanel, till exempel gmail.com eller hotmail.com.

Exempel: Du har lagt till ditt e-postkonto namn@min-doman.se i Outlook, och sedan konfigurerat att din avsändare ska vara namn@gmail.com. Detta kommer inte att fungera, då domänen gmail.com inte kan läggas till i din kontrollpanel (My Surftown -> Domäninställningar) eftersom du inte äger den. Har du bara lagt till ditt e-postkonto som vanligt så förblir du opåverkad.

Kommer mitt kontaktformulär på min hemsida sluta fungera?

Nej! Dina skript (oavsett om det är PHP, ASP eller Flash) påverkas inte av denna ändring. Detta beror på att dessa mejl sänds via en annan mejlserver. Detta inkluderar även kontaktformulär och liknande för WordPress, Joomla, Drupal och liknande även om vissa undantag kan förekomma.

Tekniskt förklarat: Använder du PHP’s mail(), ASP’s Jmail eller liknande så förblir du opåverkad, eftersom dessa skickas via mailoutX / mailoutbX.surftown.se och inte mailX.surftown.se/mail.min-doman.se.

Jag har en vidarebefordring till namn@gmail.com, är denna påverkad?

Nej! Ändringen påverkar endast mejl som skickas från oss med en domän som inte är tillagd i din kontrollpanel (My Surftown -> Domäninställningar). Eftersom gmail.com i detta fallet är mottagande domän, så förblir den opåverkad.

Kommer jag kunna fortsätta använda min skolas e-postadress som avsändare?

Nej! Eftersom din skolas domän inte är och inte kan läggas till i din kontrollpanel, så kommer du inte kunna fortsätta skicka mejl från din skolas e-postadress via våra mejlservrar. Du ska istället kontakta din skola, och använda deras utgående mejlserver. Då kommer dina mejl skickas iväg som vanligt och utan problem.

Lämna gärna en kommentar nedan om ni fortfarande är osäkra, så ser vi till att besvara era frågor så snabbt som möjligt!