షెల్ల్కోక్ బగ్ నుండి మీ చిన్న వ్యాపారం ప్రమాదం ఎలా ఉంటుందో ఈ ఆచరణాత్మక గైడ్ వివరిస్తుంది - మీరు ఏమి చేయగలరు మరియు దాని గురించి ఆందోళన చెందకండి.
కొన్ని నెలల క్రితం, వెబ్ హృదయపూర్వక హాని గురించి సందడిగా ఉంది. ఇప్పుడు పట్టణం లో ఒక కొత్త భద్రతా బలహీనత ఉంది - మరియు దాని పేరు షెల్షాక్ ఉంది.
$config[code] not found"బాష్ షెల్ షాక్," ఇది కూడా తెలిసినట్లుగా, ఈ నెలలోనే ఫ్రెంచ్ భద్రతా పరిశోధకుడు స్టీఫన్ ఛాజలస్ కనుగొన్నారు మరియు నివేదించబడింది. రెండు దశాబ్దాలుగా ఈ దుర్బలత్వం యొక్క మూలం అక్కడే ఉంది, కానీ ఇటీవల వరకు ఇది గుర్తించబడలేదు.
Shellshock బగ్ నిశ్శబ్దంగా బహిరంగంగా వెల్లడించాల్సి వచ్చింది, తద్వారా సాఫ్ట్ వేర్ మరియు ఇతర కంపెనీలు దానిని పాచ్ చేయగలవు. అయినప్పటికీ, ఈ విషయాలు సాధారణంగా వెళ్ళేటపుడు, హ్యాకర్లు వెంటనే వారు దానిని ఎంతవరకు దోపిడీ చేయవచ్చో చూడడానికి పైకి పోస్తారు. గురువారం నాటికి, సెప్టెంబర్ 25, 2014, హ్యాకర్లు వారు హాని అని చూడటానికి వెబ్సైట్లు దాడి ప్రారంభించారు.
Shellshock మీ వ్యాపారాన్ని ఎలా ప్రభావితం చేయవచ్చో లేదా దానిపై ప్రభావం చూపకపోవచ్చనే దానిపై చిన్న వ్యాపార యజమానులకు ఇక్కడ కొన్ని ప్రశ్నలు మరియు సమాధానాలు ఉన్నాయి:
ఎవరు లేదా షెల్షాక్క్ ప్రభావితం?
షెల్షాక్ అనేది ప్రధానంగా వెబ్-కనెక్ట్ చేయబడిన Linux లేదా UNIX కంప్యూటర్లకు సంబంధించినది. ఇది ఇంటర్నెట్ సర్వర్లకు అనుసంధానించబడిన అనేక కంప్యూటర్ సర్వర్లలో ప్రస్తుతం హాని వెబ్సైట్లు, ఇమెయిల్, క్లౌడ్ సాఫ్ట్వేర్ అప్లికేషన్లు లేదా నెట్వర్క్లు వంటి దుర్బలత్వం.
అయితే …
Shellshock బగ్ యొక్క అంతిమ పరిధి పూర్తిగా మ్యాప్ అవుట్ కష్టం. ప్రపంచ వైడ్ వెబ్ కాబట్టి ఇంటర్కనెక్టడ్ ఎందుకంటే ఇది. అవును, హ్యాకర్లు హానికర వెబ్ సర్వర్లు లక్ష్యంగా ఉండవచ్చు. కానీ అది అక్కడ ఆగదు.
$config[code] not foundఒక వెబ్ సైట్ లేదా నెట్వర్క్ షెల్షాక్ ఫలితంగా "సోకిన" ఉంటే, ఇది వెబ్సైట్ లేదా నెట్వర్క్ కోసం కోర్సు యొక్క చెడ్డ వార్తలు. కానీ కూడా ఒక సోకిన వెబ్సైట్ సందర్శకులు కోసం, అది ఇప్పటికీ లైన్ డౌన్ పరిణామాలను కలిగి ఉంటుంది. సోకిన సైట్లు సందర్శించడం ఫలితంగా వ్యక్తిగత కంప్యూటర్లు మరియు పరికరాలను సోకినందువల్ల. బహుశా, అయితే, ఒక మంచి యాంటీవైరస్ / ఇంటర్నెట్ భద్రతా సాఫ్ట్వేర్ చాలా వ్యక్తిగత కంప్యూటర్ వినియోగదారులను కాపాడాలి.
చాలా చిన్న వ్యాపారాలకు, అయితే, ప్రధాన ఆందోళన Shellshock నుండి మీ వెబ్సైట్ మరియు / లేదా నెట్వర్క్ రక్షించడానికి ఎలా.
వెబ్సైట్లు షెల్షాక్కు ఎలా బహిర్గతమవుతాయి?
ప్రాథమిక బహిర్గతం Linux మరియు UNIX కంప్యూటర్లు, ఇవి బాష్ అని పిలిచే ఒక రకపు సాఫ్ట్వేర్ను ఉపయోగిస్తాయి. ఇంక్లూసుల ప్రకారం, ఒక వెబ్ భద్రతా సేవ:
"Shellshock తో ముడిపడిన ప్రమాదం చాలా బాష్ విస్తృతంగా అనేక లైనక్స్ మరియు UNIX సర్వర్లచే ఉపయోగించబడింది. దుర్బలత్వం సమర్థవంతంగా దాడిచేసేవారిని ఈ మెషీన్లలో కోడ్ అమలు చేయడానికి అనుమతిస్తుంది, ఇది డేటా దొంగతనం, మాల్వేర్ ఇంజక్షన్ మరియు సర్వర్ హైజాకింగ్ను ప్రారంభిస్తుంది.
ఈ శబ్దాలు ప్రమాదకరంగా ఉండగా, షెల్షాక్ను కలిగి ఉండవచ్చు. "
సెక్యూరిటీ సేవ Sucuri అయితే, మీ వెబ్ సైట్ లైనక్స్ లేదా UNIX ఆధారిత సర్వర్లో లేనందున మీరు ఆత్మసంతృప్తి చెందకూడదు.
Shellshock వెబ్ సర్వర్లను ప్రభావితం చేయవచ్చు, ఇవి cPanel లో కొన్ని విధులు ఉపయోగిస్తాయి. cPanel అనేది ఒక ప్రముఖ బ్యాక్ ఎండ్ డాష్ బోర్డ్, పలు చిన్న వ్యాపార వెబ్సైట్లు వారి సర్వర్లు మరియు వెబ్సైట్లు నిర్వహించడానికి ఉపయోగిస్తారు. శుభవార్త, మీరు దానిని కాల్ చేయగలిగితే, షెల్షోక్ ప్రతి వెబ్సైట్ను CPANEL ను ఉపయోగించి ప్రభావితం చేయదు. ఇది mod_cgi అని పిలవబడే వాటిని మాత్రమే ప్రభావితం చేస్తుంది (అయితే మీకు తెలియనప్పటికీ mod_cgi స్పష్టంగా ఉండవచ్చు). సుకురీ బ్లాగ్లో సాంకేతిక వివరాలను చూడండి.
రాజీపడిన వెబ్ సర్వర్కు ఏమవుతుంది?
- షెల్షాక్ బగ్ను దోపిడీ చేయడం ద్వారా హ్యాకర్లు బలహీనమైన సర్వర్లోకి ప్రవేశిస్తే, వారు సాధారణంగా తోట పంట రకపు విధ్వంసాన్ని వారు సాధారణంగా చేస్తారు:
- డేటా దొంగిలించి,
- మాల్వేర్ తో వెబ్సైట్లు సోకుతాయి,
- నెట్వర్క్లు మూసివేసింది, మరియు
ఇతర సైట్లు లేదా కంప్యూటర్లలో దాడులను ప్రారంభించడానికి బోట్నెట్స్ సైన్యాలు లోకి యంత్రాలు నియంత్రించడానికి.
షెల్షాక్ గురించి ఏమి జరుగుతుంది?
అదృష్టవశాత్తూ, పెద్ద సాప్ట్వేర్ ప్రొవైడర్స్, వెబ్ హోస్టింగ్ కంపెనీలు, ఫైర్వాల్ ప్రొవైడర్స్ మరియు ఆన్ లైన్ సెక్యూరిటీ సర్వీసెస్ ఉన్నాయి. వారు సాఫ్ట్వేర్ పాచెస్ జారీ చేయడం, దుర్బలత్వం కోసం స్కానింగ్ చేయడం మరియు / లేదా వారి వ్యవస్థలను గట్టిగా చేయడం.
వాల్ స్ట్రీట్ జర్నల్ ప్రకారం, అమెజాన్ మరియు గూగుల్ రెండు షెల్షాక్ బగ్కు ప్రతిస్పందించడానికి పోటీపడ్డాయి:
"గూగుల్ దాని అంతర్గత సర్వర్లలో మరియు వాణిజ్య క్లౌడ్ సేవల్లో బగ్ను పరిష్కరించడానికి చర్యలు తీసుకుంది, ఈ విషయం తెలిసిన ఒక వ్యక్తి చెప్పాడు. అమెజాన్ బుల్లెటిన్ గురువారం విడుదల చేసింది, ఈ సమస్యను తగ్గించడానికి అమెజాన్ వెబ్ సర్వీసెస్ కస్టమర్లను చూపించింది. "
అమెజాన్ వెబ్ సర్వీసెస్ ఈ అంశంపై ఒక బ్లాగ్ పోస్ట్ను జారీ చేసింది, దాని యొక్క వినియోగదారుల కోసం వారి వెబ్ సర్వీసుల విభాగాన్ని ఉపయోగించడం, వాటి సైట్లు లేదా రన్నింగ్ అప్లికేషన్లను హోస్ట్ చేయడం వంటివి. అమెజాన్ పాచెస్ వర్తింపజేస్తుంది మరియు రాబోయే వారంలో 10% దాని సర్వరులను రీబూట్ చేస్తుంది, అంతరాయంతో "కొద్ది నిమిషాలు" దారితీస్తుంది. పూర్తి అమెజాన్ పోస్ట్ ఇక్కడ ఉంది. గమనిక: ఇది అమెజాన్ వినియోగదారు ఇకామర్స్ సైట్ను ప్రభావితం చేయదు. ఇది అమెజాన్ వెబ్ సేవలు ఉపయోగించే కంపెనీలకు మాత్రమే సంబంధించినది.
నా కంపెనీ వెబ్సైట్ను నేను ఎలా రక్షించాలి?
ఆచరణాత్మకంగా చెప్పాలంటే, మీ ప్రాంగణంలో మీ స్వంత సర్వర్ (లు) తో స్వీయ-హోస్ట్ లేదా మీ స్వంత హోస్టింగ్ లేదా నెట్వర్క్ సర్వర్ (ల) ను నిర్వహించటానికి బాధ్యత వహిస్తే మీరు ప్రమాదం ఉన్న వెబ్సైట్ని కలిగి ఉంటారు. ఎందుకంటే మీ అంతర్గత బృందం ఈ పరిస్థితులలో సర్వర్ సాఫ్ట్ వేర్ను పరిశీలించడం మరియు పాచింగ్ చేయటానికి ప్రాధమిక బాధ్యత కలిగి ఉంది.
మీ హోస్టింగ్ పరిస్థితిని గురించి మీకు తెలియకపోతే, మీ సాంకేతిక జట్టుతో తనిఖీ చేయడం ద్వారా ప్రారంభించండి. వారు సమస్యను ఎలా పరిష్కరిస్తారో అడగండి.
మీకు డూ-యు-యువర్వేర్ లేదా మీకు సహాయం అందించడానికి సాంకేతిక మద్దతు లేకపోతే, ఇక్కడ మీ వెబ్సైట్ను తనిఖీ చేసుకోవడానికి మరియు / లేదా దాన్ని రక్షించడానికి మూడు మార్గాలు ఉన్నాయి:
1. మీరు వెలుపల హోస్టింగ్ కంపెనీని ఉపయోగిస్తే, మీ హోస్ట్తో వారు షెల్షాక్ను ఎలా నిర్వహిస్తున్నారో చూడడానికి తనిఖీ చేయండి.
చాలా పెద్ద మరియు వృత్తిపరమైన హోస్టింగ్ కంపెనీలు ప్రభావితమైన సర్వర్లు కోసం స్థానంలో పాచెస్ ఉంచడం, లేదా ప్రక్రియలో ఉన్నాయి.
ఇప్పుడు నాటికి, వారు వారి బ్లాగ్లలో, ట్విట్టర్ ఫీడ్ లు లేదా మద్దతు ఫోరమ్లలో కూడా పోస్ట్ చేయవచ్చు. ఉదాహరణకు, ఇక్కడ Shellshock గురించి BlueHost యొక్క నవీకరణ.
2. మీ వెబ్ సైట్ ను రక్షించడానికి మరొక మార్గం మీ వెబ్ సైట్ తో వెబ్ అప్లికేషన్ ఫైర్వాల్ / సెక్యూరిటీ సర్వీస్ ("WAF") ఉపయోగించడం.
ఈ సేవలు మీ సైట్ నుండి హాకర్లు, చెడ్డ బాట్లను మరియు ఇతర హానికరమైన ట్రాఫిక్లను ఉంచడానికి ఒక గోడగా పని చేస్తాయి. కానీ వారు ముప్పును కనబరచినట్లు కనిపించని ట్రాఫిక్లో వారు వీలు.
ఒక సందర్శకుడు లేదా తుది-వినియోగదారు అయిన మానవుడికి, వెబ్ ఫైర్వాల్ కనిపించదు. కానీ అది అనేక వెబ్సైట్లు మరియు దాడుల నుండి మీ వెబ్సైట్ను రక్షిస్తుంది. (మరియు మీ సైట్ బాట్ ట్రాఫిక్ ను కొట్టే పని ఎంత నేర్చుకోవచ్చామో తెలుసుకోవడానికి మీరు ఆశ్చర్యపోతారు) - మీరు దానిని ట్రాక్ చేసే స్థానంలో ఫైర్వాల్ ఉంచే వరకు మీకు తెలియదు.)
నేడు, ఈ వెబ్ ఫైర్వాల్ సేవలు సరసమైన మరియు అమలు చేయడానికి చాలా సులభం. ధరలు తక్కువ నెలలో నెలకు $ 10 కు ప్రారంభమవుతాయి. అధిక ముగింపులో, వారు అనేక వందల డాలర్ల నుండి పెద్ద మరియు ప్రసిద్ధ సైట్లు మరియు ప్లాట్ఫారాలకు వెళ్తారు. కానీ వారు శాంతి కోసం అది విలువైనవి. క్లౌడ్-ఆధారిత సేవలు చాలా ఉన్నాయి, అనగా ఏ హార్డువేర్ అయినా ఇన్స్టాల్ చేయబడవు. మీరు ఆన్లైన్లో కొనుగోలు చేసి, కొన్ని సెట్టింగులను సర్దుబాటు చేసుకోండి మరియు మీ సైట్ రక్షించబడింది. చాలామంది మీ విశ్లేషణలను మీ సైట్ నుంచి దూరంగా ఉంచే చెడు కార్యకలాపాల వాల్యూమ్ను చూపించడానికి మీకు ఇస్తారు.
కొన్ని వెబ్ ఫైర్వాల్ సేవలు ఇన్సుప్సులా, క్లౌడ్ ఫ్లేర్, బార్కాకుడా మరియు సుకురి ఫైర్వాల్ ఉన్నాయి. అయితే, మీరు భద్రతా ప్రదాతని ఉపయోగిస్తున్నట్లయితే, ఇది మీరు ఉపయోగిస్తున్న వారి ఫైర్వాల్ సేవ అని నిర్ధారించుకోండి. అనేక CDN లు మరియు భద్రతా సేవలు వివిధ ఉత్పత్తులు లేదా సేవ యొక్క స్థాయిలను అందిస్తాయి. అన్ని వెబ్ ఫైర్ లేదా WAF ఫైర్లు కాదు.
మరియు అన్ని WAF ఫైర్లు సమానంగా సృష్టించబడవు. కొందరు ఇతరుల కంటే మెరుగైన పనిని చేస్తారు. కాబట్టి సమీక్షలు చదివి, ఎంచుకోవడం ఉన్నప్పుడు మీ పరిశోధన చేయండి.
3. దుర్బలత్వం కోసం మీ డొమైన్ను పరీక్షించండి.
ఈ స్కానర్ సహాయపడుతుంది:
వెబ్ సైట్లను సందర్శించడం గురించి నేను ఆన్లైన్లో సర్ఫింగ్ ద్వారా లేదా నా సిబ్బంది కేవలం సోకినట్లయితే?
వ్యక్తిగత ఉద్యోగులు - మీ ఉద్యోగులు సహా - రాజీ వెబ్సైట్, వెబ్ అప్లికేషన్ లేదా నెట్వర్క్ యొక్క అవశేష ప్రభావాలకు వ్యతిరేకంగా రక్షించాల్సిన అవసరం ఉంది.
ఉదాహరణకు, ఒక వెబ్సైట్ షెల్షాక్ ఫలితంగా మాల్వేర్తో బారిన పడిందని తెలియజేయండి. ఆ పరిస్థితిలో, సోకిన వెబ్సైట్ సందర్శకులు వైరస్లు వంటి మాల్వేర్ నుండి ప్రమాదం కావచ్చు. ఇంకో మాటలో చెప్పాలంటే, షెల్షాక్కి మీ కంప్యూటర్ ప్రత్యక్షంగా హాని కాకపోయినా, మీరు రాజీ అయిన వెబ్సైట్ నుండి "వైరస్ క్యాచ్" చేయవచ్చు.
ఇది చెప్పకుండానే జరుగుతుంది - మీరు ఇన్స్టాల్ చేసినట్లు నిర్ధారించుకోవాలి మరియు వ్యక్తిగత కంప్యూటరులో యాంటీవైరస్ / ఇంటర్నెట్ భద్రతా సాఫ్ట్వేర్ను క్రమంగా నవీకరించండి.
మరిన్ని షెల్షాక్ వనరులు
ఈ YouTube వీడియో Shellshock వివరిస్తూ చూడండి. ఇది సుమారు 4 నిమిషాల్లో మంచి వివరణ ఉంది:
హ్యాకర్ చిత్రం Shutterstock ద్వారా
