Защита битрикс: стоплист


Что вы знаете о проактивной защите битрикс?

На самом деле это то, что нужно каждому сайту, но не каждый умеет её настраивать. По-настоящему безопасных систем не бывает, любая защита, как и защита битрикс обходится так или иначе. Однако можно взять во внимание наиболее частые случаи и заблокировать 95% атак на сайт.

Базовый функционал CMS, отвечающий за безопасность битрикс, включающий анализ обращений к сайту в совокупности с проактивным фильтром позволяет на некоторое время заблокировать злоумышленника.

Как же это работает? Несложный алгоритм в несколько этапов.

  • 1. На сайт отправляется GET или POST запрос от посетителя или робота.
  • 2. Запрос сравнивается по паттерну с базой событий разных типов.
В код вашего сайта уже внедрили вирус. Обычно это делается посредством кражи пароля FTP и последующей перезаписи исполняемых файлов
Передача SQL запроса в значениях переменных, которые позже могут подставляться в запрос в БД. Узнать подробнее о SQL инъекция.
Отражённые межсайтовые атаки. Обычно попытка исполнить javascript код на сайте.
Хранимые межсайтовые атаки. Ваш сайт уже ранее был взломан и на нём разместился вредоносный код, которые исполняется у каждого посетителя, которые зашёл к вам на сайт.
Уязвимость XSS аналогичного типа, с той разницей, что идёт попытка исполнить php код через ваш сайт.
Попытка перенаправить посетителей на ложный вредоносный сайт, используя транзитивно ваш сайт, как слабое звено. Далее обычно крадутся данные посетителей или используется траффик для привлечения.
  • 3. Если находится совпадение, то запрос отмечается как подозрительный и записывается в лог событий (или лог вторжений).
  • 4. Исполняемый запрос модифицируется в безопасное представление (в код добавляются нейтральные символы, например пробелы или кавычки).
  • 5. IP адрес, с которого пришёл подозрительный запрос заносится в стоп лист на какое-то время (которое задаётся в настройках проактивного фильтра)

Схема работы проактивного фильтра Битрикс IPS
Схема работы проактивного фильтра Битрикс IPS

Защита битрикс неплохо работает, как кажется на первый вгляд. Только вы ничего не контролируете и понятия не имеете что происходит с атаками на ваш сайт. DQuad стоплист делает эту систему более гибкой и настраиваемой.

В чём же недостатки защиты битрикс?

  • 1. Вы не определяете на какие события нужно среагировать. Разработчики битрикс IPS жёстко определили на какие события реагировать, а поведение роботов постоянно меняется и было бы хорошо иметь возможность самостоятельно (с помощью разработчика) добавить новый паттерн события, если вы видите, что роботы определённого типа достали ваш сайт. А такие события как USER_LOGIN или CAPTCHA_WORNG просто обязаны проходить фильтрацию. Это самый распространённый вид второжений на сайт, согласно нашей статистике.
  • как добавить тип события CAPTCHA_WRONG на сайт
  • 2. Когда происходит занесение в Стоп лист вы ничего не знаете о об этом, а могла произойти ошибка или исключение, и какой-то важный посетитель не сможет теперь достучаться до вашего сайта. Например робот яндекс.
  • 3. Если пользователь (или робот) пытается зарегистрироваться на сайте, то у него может это не получиться с первого раза. Кто из нас не регистрировался на сайтах?.. А если кому-то не удаётся зарегистрироваться на сайте 10 раз, то либо такой посетитель вам не нужен, вряд ли вы с ним сможете о чём-то договориться и получить выгоду, либо это робот, который пытается извлечь выгоды с вашего сайта владельцу робота. Поэтому важно контролироваться количество допустимых попыток на регистрацию или вводу той же капчи.
  • 4. Набор паттернов событий несовершенен и рано или поздно администратор сайта точно натыкается на один из таких паттернов и попадает в чёрный список Битрикс IPS. Так показывает многолетняя практика. Для предотвращения этой ситуации помимо чёрного списка IPS нужно обязательной вести и белый IP лист. Например добавить в белый список офисный IP.
  • 5. Блокировка пользователей происходит по IP, но кто сказал, что у роботов нет доступа к прокси или как минимум допуск к подсети класса D. Поэтому резонно будет иметь возможность в настройках указать банить пользователя по конкретному IP или сразу всю подсеть.
  • 6. И последнее, немаловажное: если вашему проактивному фильтру не хватает опций, то вряд ли вы в ближайшее время дождётесь её от разработчиков Битрикс IPS, зато мы может дать вам быстро обратную связь и добавить эту опцию в наш модуль. Все пользуются одним интернетом и решают схожие проблемы, почему бы разом не решить эту проблему для всех?

Чем отличается ваше решение от проактивного фильтра битрикс?

Модуль DQuad стоплист устраняет перечисленные недостатки, дополняет стандартные возможности битрикс, улучшает безопасность в битрикс и позволяет автоматически банить ip адреса, с которых возникла потенциальная угроза. В качестве рассматриваемой угрозы используется журнал вторжений (или событий), при повторении угрозы более X раз с одного IP адреса, он заносится в чёрный список IP адресов битрикс (или Стоп лист ).

Хотите сделать более гибкой и контролировать защиту битрикс? Попробуйте дополнительные возможности, которые предлагает модуль.

Скачать документацию