U hebt het niet gemerkt, maar….

… vanmiddag is uw website op het webhostingplatform van Tuxis weer net iets veiliger geworden! We hebben het platform namelijk stiekem achter een nieuwe loadbalancer gezet.

In de afgelopen weken zijn we hard bezig geweest aan ons nieuwe webhostingplatform. Het oude is aan vervanging toe en dat is altijd een mooi moment om te kijken wat er nou eigenlijk anders kan. Dus een hoop testen, uitzoeken, nog eens testen en nadenken over hoe veilig het allemaal is.

In de oude situatie maken we gebruik van KeepAlived, wat het al die jaren naar tevredenheid heeft gedaan. Maar het is een tikkie ondoorzichtig. Dus zijn we gaan kijken naar HAProxy. Dat zag er veelbelovend uit en de eerste testen waren positief. Er was een trucje nodig om ervoor te zorgen dat de website niet in de gaten heeft dat hij achter een proxy zit, maar dat is prima geregeld zo.

Veiligheid

is een goeie reden om met HAProxy aan de slag te gaan. Wat Keepalived namelijk niet kan en HAProxy wel, is in het HTTP-request kijken en op basis daarvan besluiten nemen. Hiermee hebben we in elk geval standaard de volgende checks aan staan:

  • Je mag niet meer dan 6x in 20 seconden een POST doen naar /wp-login.php (WordPress)
  • Je mag niet meer dan 6x in 20 seconden een POST doen naar /xmlrpc.php (WordPress)
  • Je mag niet meer dan 6x in 20 seconden een POST doen naar /administrator/index.php (Joomla)

Doe je dat wel, dan gaat HAProxy je heel rustig antwoord geven. Je krijgt dan na een seconde of twee een antwoord, een HTTP Error 500. Daar heeft de bruteforcer dus niets aan, en de belasting op de servers en het risico voor uw site wordt kleiner.

Joomla lek
We hadden niet verwacht het zo snel nodig te hebben, maar in de afgelopen week kwam een nogal knullig lek in Joomla naar boven dat voor alle Joomla installaties werkt. Het kwam er op neer dat je tegen de site bent dat je niet browser “Internet Explorer” bent, maar "}__:2:Hier stop je wat PHP code die je dan uitvoert", de PHP code dan ook daadwerkelijk uitgevoerd wordt. Slecht nieuws dus, en direct aan de slag om alle Joomla installaties te upgraden.

Met HAProxy hebben we echter nog een tool om -zolang we aan het upgraden zijn- te zorgen dat de aanvallers geen kans maken. HAProxy zal alle verzoeken met een ‘verdachte’ user-agent (zo heet het veld waarmee de bezoeker aangeeft welke browser hij heeft) weigeren. Deze Joomla hack werkt voorlopig dus niet meer op het Tuxis Webhostingplatform!