የእርስዎ የድር አስተናጋጅ አቅራቢ ምን ያህል ተጋላጭ ነው?

የዘመነ ኖቬምበር 05 ቀን 2020 / ጽሑፍ በጄሪ ሎው

በድር ጣቢያዎች ላይ የጠለፋ ሙከራዎች እርስዎ ከሚያስቡት በላይ በጣም የተለመዱ ናቸው ፡፡

ብዙዎቻችን ባናያቸውም ፣ ዝም የማይል ጥቃቶች በመረቡ ላይ ሁል ጊዜም በየቦታው እየተካሄዱ ናቸው ፡፡ የጥቃቶች ጥሩ ክፍል በድር አስተናጋጅ መለያዎች ላይ ያነጣጠረ ነው።

የድር አስተናጋጅ ተጋላጭነቶች ሁለት ሰፋፊ ምድቦች አሉ። የመጀመሪያው አጠቃላይ ነው ፣ ሁለተኛው ደግሞ የበለጠ እቅድ-ነክ ነው ፡፡ ለምሳሌ ፣ ከድር ማስተናገጃ ዕቅዶች አይነቶች መካከል የተጋራ ማስተናገጃ አብዛኛውን ጊዜ በጣም ተጋላጭ ነው ተብሎ ይታሰባል ፡፡

የድር አስተናጋጅ ተጋላጭነቶች

አጠቃላይ የድር አስተናጋጅ ተጋላጭነቶች

1. የቦኔት-ግንባታ ሙከራዎች

ለመገንባት በሚያደርጉት ሙከራ ተንኮል አዘል ተዋንያን መላ የድር አገልጋዮችን ዒላማ እንደሚያደርጉ ታውቋል botnets. በእነዚህ ሙከራዎች ውስጥ የተለመዱ ዒላማዎች የድር አገልጋይ ማዕቀፎችን ያካተቱ እና በአጠቃላይ በይፋ የሚገኙ ብዝበዛዎችን ያካትታሉ ፡፡ 

እነዚህ የተራቀቁ እና የተጠናከሩ ጥረቶች ብዙውን ጊዜ እምብዛም የማይቋቋሙ የድር አስተናጋጅ አቅራቢዎችን ማሸነፍ ይችላሉ ፡፡ ደግነቱ ፣ አንዴ ከተገኘ ተጋላጭነቶች በተለምዶ በአብዛኛዎቹ የድር አስተናጋጆች በፍጥነት በፍጥነት ይጠበቃሉ።

2. የ DDoS ጥቃቶች

DDoS attacks stats
በ Q1 2020 እና Q1 እና Q4 2019 ውስጥ የ DDoS ጥቃቶች ጊዜ። በ Q1 2020 ውስጥ በ DDoS ጥቃቶች ብዛት እና ጥራት ላይ ከፍተኛ ጭማሪ ታይቷል። የጥቃቶች ቁጥር ከቀዳሚው የሪፖርት ጊዜ ጋር ሲነፃፀር በ 80% ደግሞ Q1 2019 ላይ በእጥፍ አድጓል ፡፡ ጥቃቶቹም በአማካኝ እና በከፍተኛው የጊዜ ርዝመት በግልፅ በመጨመራቸው ረዘም ላሉ ፡፡ምንጭ). 

የተሰራጨ የአገልግሎት መከልከል (DDoS) ተጋላጭነት አይደለም ፣ ግን ስሙ እንደሚያመለክተው የጥቃት ዓይነት ነው ፡፡ ተንኮል አዘል ተዋንያን አገልጋይን (ወይም የተለየ አገልግሎት) እጅግ በጣም ብዙ በሆነ የውሀ መጠን ለመጥለቅ ይሞክራሉ ፡፡

ለዚህ ያልተዘጋጁ የድር ማስተናገጃ አገልግሎቶች በእነዚህ ጥቃቶች ሽባ ሊሆኑ ይችላሉ ፡፡ ብዙ ሀብቶች ሲበሉ ፣ በአገልጋዩ ላይ ያሉ ድርጣቢያዎች ለጎብ visitorsዎች ለእውነተኛ ጥያቄዎች መልስ መስጠት አይችሉም ፡፡ 

ተጨማሪ ያንብቡ: ድር ጣቢያዎን ከ DDoS ጥቃቶች ለመጠበቅ የባለሙያ አማራጮች.

3. የድር አገልጋይ የተሳሳተ ውቅር

መሰረታዊ የድር ጣቢያ ባለቤቶች በተለይም በጋራ ማስተናገጃ ላይ ያሉ አገልጋዮቻቸው በትክክል መዋቀራቸውን ወይም አለመዋቀሩን ብዙውን ጊዜ ግንዛቤ የላቸውም ፡፡ በደንብ ካልተዋቀሩ አገልጋዮች ውስጥ ቁጥራቸው ቀላል የማይባል ጉዳዮች ሊነሱ ይችላሉ ፡፡ 

ለምሳሌ ፣ ያልተዛመዱ ወይም ጊዜ ያለፈባቸው መተግበሪያዎች አሂድ። በአፈፃፀም ወቅት ለሚነሱ ቴክኒካዊ ጉዳዮች የስህተት አያያዝ ዘዴዎች ቢኖሩም ጉድለቶች እስከሚበዙ ድረስ ሳይታዩ ሊቆዩ ይችላሉ ፡፡

በአገልጋዩ ውስጥ ትክክለኛ ያልሆነ ውቅር ፣ አገልጋዩ የመዳረሻ መብቶችን በትክክል እንዳያረጋግጥ ሊያደርገው ይችላል። የተከለከሉ ተግባሮችን ወይም ወደ ዩአርኤሉ አገናኞችን መደበቅ ብቻ በቂ አይደለም ፣ ጠላፊዎች ሊሆኑ የሚችሉትን መለኪያዎች ፣ ዓይነተኛ አካባቢዎችን መገመት እና ከዚያ የጭካኔ ኃይል መድረሻ ማድረግ ይችላሉ ፡፡

ለዚህ እንደ ምሳሌ አንድ አጥቂ የአስተዳዳሪውን አገልጋይ መዳረሻ ለማግኘት እንደ ያልተጠበቀ JPEG ትንሽ እና ቀላል የሆነን ነገር ሊጠቀም ይችላል ፡፡ በሲስተሙ ውስጥ ወደ አንድ ነገር የሚጠቁም ቀለል ያለ ግቤት ያሻሽላሉ እና ከዚያ ውስጥ ገብተዋል።

እንዲሁም ያንብቡ -

የተጋሩ ማስተናገጃ ተጋላጭነቶች

በጋራ ማስተናገጃ አካባቢ ሁሉም በአንድ ጀልባ ውስጥ ተቀምጧል ማለት ይቻላል ፡፡ እያንዳንዱ አገልጋይ በመቶዎች የሚቆጠሩ ተጠቃሚዎች ቢኖሩትም አንድ ነጠላ ጥቃት ለመናገር መላ መርከቡን ሊያሰምጥ ይችላል ፡፡

"አምስቱ (የድር አስተናጋጅ አገልግሎት ሰጭዎች) ቢያንስ አንድ የተጠቃሚ መለያ ጠለፋ የሚፈቅድ አንድ ከባድ ተጋላጭነት ነበራቸው" ፓውሎስ ይቤሎ፣ የታወቀ እና የተከበረ የሳንካ አዳኝ ነገረው TechCrunch, ይፋ ከመሆኑ በፊት ግኝቶቹን ያጋራበት.

ይቤሎ እንዳሳየው - ጥቃቱ በማንም በተዘበራረቀ ጥቃት ወይም በተንጣለለ ኬላዎች አይደለም ፡፡ ለአማካይ ጠላፊ አነስተኛ ጥረት የሚጠይቅ በጣቢያው አስተናጋጅ የፊት በር በኩል ብቻ ነው ፡፡

4. ሚዛን-አልባ አከባቢዎች

የተጋሩ ማስተናገጃ መለያዎች እንደ ሰፋ ያሉ የውሀ ገንዳዎች ናቸው። ምንም እንኳን እያንዳንዱ ሂሳብ የተወሰነ ሀብት ቢመደብም በአጠቃላይ ግን ሁሉም በአንድ አከባቢ ውስጥ ይኖራሉ ፡፡ ሁሉም ፋይሎች ፣ ይዘቶች እና መረጃዎች በእውነቱ በአንድ ቦታ ላይ ይቀመጣሉ ፣ በቃ በፋይል መዋቅር ተከፍለዋል።

በዚህ ምክንያት በጋራ ማስተናገጃ ዕቅዶች ላይ ያሉ ጣቢያዎች በመሰረታዊነት የተሳሰሩ ናቸው ፡፡ ጠላፊ ወደ ዋናው ማውጫ መድረሻ ማግኘት ከቻለ ሁሉም ጣቢያዎች ለአደጋ የተጋለጡ ሊሆኑ ይችላሉ ፡፡ ምንም እንኳን አንድ መለያ ቢጣስም ፣ ሀብቱን የሚያፈሱ ጥቃቶች ከፍተኛ ተጽዕኖ ያሳድራሉ ፡፡

5. የሶፍትዌር ተጋላጭነቶች

ምንም እንኳን ለሁሉም ዓይነቶች የአስተናጋጅ መለያዎች የሶፍትዌር ተጋላጭነቶች ቢኖሩም ፣ የተጋሩ አገልጋዮች በተለምዶ እጅግ የከፋ አደጋ ላይ ናቸው ፡፡ በአንድ አገልጋይ ብዛት ያላቸው መለያዎች በመኖራቸው ፣ በቦታው ውስጥ ከፍተኛ ቁጥር ያላቸው የተለያዩ መተግበሪያዎች ሊኖሩ ይችላሉ - ሁሉም መደበኛ ዝመናዎችን ይፈልጋሉ።

6. ተንኮል አዘል ዌር 

ከሶፍትዌር ተጋላጭነቶች ጋር በሚመሳሰል መልኩ ማልዌር በተጋራ አስተናጋጅ አገልጋይ ላይ ከፍተኛ ተጽዕኖ ሊኖረው ይችላል ፡፡ እነዚህ ተንኮል አዘል ፕሮግራሞች በብዙ መንገዶች ወደ የጋራ ማስተናገጃ መለያዎች መንገዳቸውን ሊያገኙ ይችላሉ ፡፡

ብዙ ዓይነቶች ቫይረሶች ፣ ትሮጃኖች ፣ ትሎች እና ስፓይዌሮች ስላሉ ሁሉም ነገር ይቻላል ፡፡ በጋራ ማስተናገጃ ባህሪ ምክንያት ፣ ጎረቤትዎ ካለዎት - እርስዎም ፣ በመጨረሻ ሊይዙት ይችላሉ ፡፡

ምክሮች-ድር አስተናጋጅ ከነፃ ተንኮል-አዘል ዌር ቅኝት ጋር - A2 ማስተናገጃHostingerKanda.

7. የተጋራ አይፒ

የተጋሩ ማስተናገጃ መለያዎች እንዲሁ የአይፒ አድራሻዎችን ያጋራሉ። በጋራ አስተናጋጅ መለያዎች ላይ ብዙ ጣቢያዎች በአንድ የአይፒ አድራሻ ተለይተው የሚታወቁ ናቸው ፡፡ ይህ ሊከሰቱ የሚችሉ ችግሮችን በሙሉ ያስተናግዳል ፡፡

ለምሳሌ ፣ ከድር ጣቢያዎቹ ውስጥ አንዱ መጥፎ (ለምሳሌ አይፈለጌ መልእክት መላክን ፣ ወዘተ) ማሳየት ካለበት አይፒውን የሚያጋሩ ሁሉም ጣቢያዎች በጥቁር መዝገብ ውስጥ ሊገቡ ይችላሉ ፡፡ በጥቁር መዝገብ ውስጥ የተካተተውን IP cna ን ማስወገድ በጣም ፈታኝ ነው። 

ተጨማሪ ያንብቡ: ደህንነቱ የተጠበቀ የድር አስተናጋጅ አቅራቢን ለመምረጥ ምክሮች.

የ VPS / የደመና አስተናጋጅ ተጋላጭነቶች

የ VPS ወይም የደመና ተፈጥሮ ማለት በአጠቃላይ የበለጠ ደህንነታቸው የተጠበቀ ነው ማለት ነው ርካሽ የተጋሩ አስተናጋጅ አገልጋዮች.

ሆኖም ፣ በጣም የተራቀቁ እርስ በርሳቸው የተገናኙ አገልጋዮችን የማግኘት ዕድል ማለት ለጠላፊዎች የሚከፈለው የደመወዝ ቀን እንዲሁ የበለጠ ትርፋማ ነው ማለት ነው ፡፡ እንደዚያ ፣ የበለጠ የላቁ የመጥለፍ ዘዴዎች ሊጠበቁ ይችላሉ ፡፡

8. የተሻገረ ጣቢያ ደህንነት አስመሳይ

ተብሎም ይታወቃል የድረገፅ ጥያቄ የሐሰት (CSRF)፣ ይህ ጉድለት በደንብ ባልተጠበቁ መሠረተ ልማቶች ላይ በመመርኮዝ ድርጣቢያዎችን በሚነካ መልኩ ይስተዋላል ፡፡ አንዳንድ ጊዜ ተጠቃሚዎች ምስክርነቶቻቸውን በተወሰኑ መድረኮች ላይ ይቆጥባሉ እናም ተጓዳኝ ድር ጣቢያ ጠንካራ መሠረተ ልማት ከሌለው ይህ አደገኛ ሊሆን ይችላል ፡፡ 

ይህ በመደበኛነት በሚደረሱባቸው የድር ማስተናገጃ መለያዎች ላይ ይህ የተለመደ ነው ፡፡ በእነዚህ ሁኔታዎች ውስጥ መድረሻው ተደጋጋሚ ስለሆነ ምስክርነቶች ብዙውን ጊዜ ይቀመጣሉ ፡፡ በሐሰተኛ መረጃ ተጠቃሚዎች በመጀመሪያ ያላሰቡትን ድርጊት እንዲፈጽሙ ይበረታታሉ ፡፡ 

እነዚህ ዘዴዎች ከቅርብ ጊዜያት ወዲህ ተዘርዝረዋል የሂሳብ አያያዝን ለመውሰድ እምቅ ድክመት Bluehost, Dreamhost, HostGator, FatCow እና iPage ን ጨምሮ በተለያዩ ታዋቂ ማስተናገጃ መድረኮች ውስጥ.

ይህንን ከግምት ያስገቡ ፡፡

የዚህ ዓይነቱ ምሳሌ እንደ መደበኛ የገንዘብ ማጭበርበር ሁኔታ ሊታይ ይችላል ፡፡

አጥቂዎች ትክክለኛ ዩአርኤልን የሚጎበኙ ለ CSRF ተጋላጭ የሆኑ ሰዎችን ዒላማ ማድረግ ይችላሉ ፡፡ በጣቢያው ላይ በራስ-ሰር የተከናወነ ጭምብል ያለው የቁረጥ ቅንጥብ ዒላማውን ባንክ በራስ-ሰር ገንዘብ እንዲያስተላልፍ ሊያዝ ይችላል።

የኮድ ቅንጥቡ የሚከተሉትን ያሉ ኮዶችን በመጠቀም ምናልባትም ከምስል በስተጀርባ ሊቀበር ይችላል-

*ማስታወሻ ይህ ምሳሌ ብቻ ስለሆነ ኮዱ አይሰራም ፡፡

9. SQL መርፌዎች

ለማንኛውም ድር ጣቢያ ወይም የመስመር ላይ መድረክ በጣም አስፈላጊው ንጥረ ነገር መረጃ ነው። እሱ ለትንበያ ፣ ለመተንተን እና ለተለያዩ ዓላማዎች ይውላል ፡፡ በሁለተኛ ደረጃ ፣ እንደ የብድር ካርድ ፒን ያሉ ምስጢራዊ የፋይናንስ መረጃዎች ወደ የተሳሳተ እጅ ከገቡ ግዙፍ ችግሮች ሊፈጠሩ ይችላሉ ፡፡

ወደ የውሂብ ጎታ አገልጋይ የተላከው እና በአስተማማኝ መሠረተ ልማት በኩል ማለፍ አለበት ፡፡ ጠላፊዎች ለመሞከር ይሞክራሉ የ SQL ስክሪፕቶችን ይላኩ እንደ የደንበኛ መረጃ ያሉ መረጃዎችን ማውጣት እንዲችሉ ለአገልጋዮች ፡፡ ይህ ማለት ሁሉንም ጥያቄዎች ወደ አገልጋዩ ከመድረሳቸው በፊት መቃኘት ያስፈልግዎታል ማለት ነው ፡፡

ደህንነቱ የተጠበቀ የማጣሪያ ስርዓት በቦታው ከሌለ አስፈላጊ የደንበኛ መረጃዎች ሊጠፉ ይችላሉ። ምንም እንኳን እንዲህ ዓይነቱ አተገባበር መዝገቦችን ለማውጣት የሚወስደውን ጊዜ እንደሚጨምር መታወቅ አለበት ፡፡ 

10. የኤክስኤስኤስ ጉድለቶች ብዝበዛ

ጠላፊዎች ብዙውን ጊዜ በከፍተኛ ደረጃ ብቃት ያላቸው ናቸው እና የፊት መጨረሻ ስክሪፕቶችን ማዘጋጀት ችግር አይደለም ፡፡ ጃቫስክሪፕትን ወይም ሌሎች የፕሮግራም ቋንቋዎችን ኮድ ለማስገባት ሊያገለግል ይችላል ፡፡ በዚህ መልኩ የሚካሄዱ ጥቃቶች በተለምዶ የተጠቃሚ ምስክርነቶችን ያጠቃሉ ፡፡ 

ጎጂ ኤክስኤስኤስ ላይ የተመሰረቱ ስክሪፕቶች ምስጢራዊ መረጃን ማግኘት ወይም ጠላፊው ወደ ዒላማቸው አገናኞች ጎብኝዎችን ማዞር ይችላል ፡፡ በአንዳንድ ሁኔታዎች ኩባንያዎች እንዲሁ የማጭበርበር የንግድ ሥራዎችን ለማከናወን እንደዚህ ያሉ ቴክኒኮችን ሊጠቀሙ ይችላሉ ፡፡

11. ደህንነቱ ያልተጠበቀ ምስጠራ

ክሪፕቶግራፊ ስልተ ቀመሮች ብዙውን ጊዜ የዘፈቀደ ቁጥር ማመንጫዎችን ይጠቀማሉ ግን አገልጋዮች በአብዛኛው የሚጠቀሙት ያለ ብዙ የተጠቃሚ ግንኙነት ነው ፡፡ ይህ ዝቅተኛ የዘፈቀደ የመፍጠር እድልን ያስከትላል ፡፡ ውጤቱ በቀላሉ የሚገመቱ ቁጥሮች ሊሆን ይችላል - ለማመስጠር የደካማነት ነጥብ።

12. ምናባዊ ማሽን ማምለጥ

ብዙ ቨርቹዋል ማሽኖች በአካላዊ አገልጋዮች ውስጥ በሃይፐርቫይዘሮች አናት ላይ ይሰራሉ ​​፡፡ አጥቂ ሊበዘብዝ ይችላል የሃይፐርቫይዘር ተጋላጭነት በርቀት ፡፡ ምንም እንኳን እምብዛም ባይሆንም በእነዚህ ሁኔታዎች አጥቂው እንዲሁ ሌሎች ምናባዊ ማሽኖችን ማግኘት ይችላል ፡፡

13. የአቅርቦት ሰንሰለት ድክመት

የሀብት ክፍፍል ዋና ጥቅም ቢሆንም የደመና ማስተናገጃ፣ እሱ ደግሞ የደካሞች ነጥብ ሊሆን ይችላል። “እርስዎ እንደ ደካማ አገናኝዎ ብቻ ጠንካራ ነዎት” የሚለውን ቃል ከሰሙ ያ በደመናው ላይ በትክክል ተፈጻሚ ይሆናል።

የተራቀቀ ጥቃት እና በዋነኝነት በደመና አገልግሎት አቅራቢዎች ላይ ያርፋል። ይህ ለደመናው የተወሰነ አይደለም እናም በማንኛውም ቦታ ሊገኝ ይችላል። ከቀጥታ ዝመና አገልጋዮች የሚወርዱ በተንኮል-አዘል ተግባራት ሊታከሉ ይችላሉ። ስለዚህ ፣ ይህንን ሶፍትዌር ያወረዱትን ብዙ ተጠቃሚዎች ያስቡ ፡፡ መሣሪያዎቻቸው በዚህ ተንኮል አዘል ፕሮግራም ይያዛሉ ፡፡

14. ደህንነታቸው ያልተጠበቁ ኤ.ፒ.አይ.ዎች

የመተግበሪያ የተጠቃሚ በይነገጾች (ኤ.ፒ.አይ.ዎች) የደመና ማስላት ሂደቶችን ለማቀላጠፍ ለማገዝ ያገለግላሉ። በትክክል ካልተጠበቁ የደመናዎችን ሀብቶች ለመበዝበዝ ጠላፊዎች ክፍት ሰርጥ መተው ይችላሉ ፡፡

በጣም ተወዳጅ በሆኑ እንደገና ጥቅም ላይ በሚውሉ አካላት ደህንነታቸው ያልተጠበቀ ኤ.ፒ.አይ.ዎችን ከመጠቀም በበቂ ሁኔታ ለመጠበቅ አስቸጋሪ ሊሆን ይችላል ፡፡ ጣልቃ ለመግባት ጠላፊ በቀላሉ መሰረታዊ የመድረሻ ሙከራዎችን ደጋግሞ መሞከር ይችላል - የሚያስፈልጋቸው አንድ የተከፈተ በር መፈለግ ብቻ ነው ፡፡

ተጨማሪ ለማወቅ: ምርጥ የ VPS ማስተናገጃ አቅራቢዎች / ምርጥ የደመና ማስተናገጃ አቅራቢዎች


የመጨረሻ ሐሳብ

Different types of Cyber-attacks on websites detected during the first half of 2020.
በ 2020 የመጀመሪያ አጋማሽ ላይ የተገኙ የተለያዩ የሳይበር ጥቃቶች ዓይነቶች (ምንጭ).

ብዙዎቻችን ስናስብ የድር ጣቢያ ደህንነት፣ ብዙውን ጊዜ የራሳችን ድርጣቢያዎችን ድክመቶች ከማሸነፍ አንፃር ነው። እንደ አለመታደል ሆኖ እርስዎ እንደሚመለከቱት እንዲሁ ከሌሎች ጥቃቶችም የመጠበቅ የድር አስተናጋጅ አቅራቢዎች እኩል ኃላፊነት ነው ፡፡

አንድ አገልግሎት ሰጭ እራሱን እንዲከላከል ለማሳመን ብዙ ማድረግ ባይቻልም ይህ ግንዛቤ የተሻሉ የድር አስተናጋጅ ምርጫዎችን እንዲያደርጉ ይረዳዎታል ፡፡ ለምሳሌ ፣ የድር አስተናጋጅ በደህንነት ላይ የሚሰጠውን ትኩረት በመመልከት የራሳቸውን አገልጋዮች ምን ያህል ደህንነታቸውን እንደሚጠብቁ የተሻለ ግንዛቤ ማግኘት ይችላሉ ፡፡

አንዳንድ የድር አስተናጋጆች በጣም አስቸጋሪ የሆኑ የጥበቃ ጥበቃዎችን ይተገብራሉ - ከተቻለ እነዚያን ለማስወገድ ይሞክሩ ፡፡ ሌሎች ከታዋቂ ሰዎች ጋር እስከ መሥራት ድረስ ሊሄዱ ይችላሉ cybersecurity በቤት ውስጥ የጥቃት መሳሪያዎች እና መፍትሄዎች ጠበቆች ወይም እንዲያውም ያዳብራሉ ፡፡

የድር ማስተናገጃ ዋጋ ለእርስዎ ከተመደቡት ሀብቶች ያልፋል - ስለሆነም አማራጮችዎን በጥበብ ያስተካክሉ ፡፡

ስለ ጄ ቤር ዝቅተኛ

የ WebHostingSeccretRevealed.net (WHSR) መሥራች - የ 100,000 ተጠቃሚዎች ተጠቃሚዎች የሚታመኑ እና በስራ ላይ የዋሉ የማስተናገጃ ግምገማ ናቸው. በድር ማስተናገጃ, ተባባሪ ግብይትና ሾው ውስጥ ከ 90 ቀናት በላይ ልምድ ያለው. ለ ProBlogger.net, Business.com, SocialMediaToday.com አስተዋጽኦ አበርካች እና ተጨማሪ.