Stvar je da su i jedan i drugi (Apace i IIS) ipak bezbedni serveri ako ih namesti i odrzava neko ko ima bar osrednje znanje. Ako neko pacerise.. well..

Slicno kao kad Linuxovac sedne za Windows.. pa krene da pacerise - glumi hakera tako sto pokrece crack.exe i slicno, stalno neki warez, pa onda kad popije virus, onda mu Windows kriv.

Zanimljivije bi bilo imati statistiku o ljudima koji odrzavaju te servere i slicno. Ovako je, bar meni, to besmisleno. Dobro da nisu napravili statistiku koje maticne ploce su u tim serverima, pa onda zakljucili da su ove ili one maticne ploce jako nesigurne :D

Inficirani web server je web server koji kroz neku stranicu distribuira SEE_NAKED_BRITNEY_SPEARS.EXE?

Ovaj naslov nema veze sa tekstom.

Sve cifre upucuju da su busni sajtovi uglavnom na Apache serverima, a takodje cifre govore i da Apache proizvodi imaju generalno vise ranjivosti + imaju vise nepatchovanih ranjivosti.

Evo dokaza:

http://secunia.com/product/73



http://secunia.com/product/9633/



http://secunia.com/product/1438



http://secunia.com/product/17543/



http://security.itworld.com/4772/070907websecurity/page_1.html

Da, samo sto:

- Apache servera ima vise nego IIS-a.
- Preko tih propusta (koji su, btw rejtovani kao "Less" t.j. prijetnja je minimalna, efekat je minimalan cak i kad bi se neko potrudio da izgubi vrijeme na to, ne moze da mjenja content sajtova. Inace web server nema tu puno sta, ako se "difejsuju i sl." sajtovi, onda je to preko php-a, ili nekog drugog interpretera, a ne preko web servera. Niti vise mozes dobiti roota/nobody-a nit ista, bar ne zadnjih ~ 3-4 godine.
- Ovakvi pateticni pokusaji i obmane firmi poput Sophosa izgleda su samo pokusaji opradavanja svog postojanja i podizanje reputacije. U fazonu, vidi sta smo MI objavili.
- A da je u pitanju neki 0-day ili tako nesto(ponovo nista od roota), ta Apachova negativna statistika bi poprilicno uznemirila OS community, i sigurno vise ne bi bio 0day, vec bi bilo objavljeno i patchovano. Takav propust.
- Isto bih napisao i da je IIS na vrhu, umjesto Apacha, ili bilo koji drugi Web server.

Citaj sledece: "Britanska kompanija Sophos objavila je izvestaj o distribuciji zlonamernog koda tokom 2007". Kljucne reci "distribucija malware-a". Pa bilo koji web server moze da distribuira malware. Konkretan primer: bsdforums.org, ovaj nekada koristan BSD user community je postao igraliste za prevarante koji se bave soliciting-om, pornografijom, distribucijom virusa i spamovanjem. A sve to zbog lenjosti administratora. Ako mene pitate, to je uticaj ljudskog faktora, a ne propust u softveru (odnosno web serveru). Ovakvih primera ima koliko hocete. Kao sto rece windows_zakon, ovim izvestajem su hteli sebe da izbace u prvi plan.
@Dimkovic pre neki dan u nekom postu si rekao (da parafraziram druga Tita) da se ne treba drzati Secunia-e kao pijan plota. Sta ti bi sada? Neki put Secunia vazi, a nekad ne vazi.

Pozz

Ne, nisam to rekao... Dobices pionirsku maramu za doktorat iz zamene teza :-)

Fakat jeste da Apache:

a) Ima vise ranjivosti od IIS-a
b) Ima vise otkrivenih ranjivosti od IIS-a

A nije tacno da ima ogromnu vecinu u market-share-u (videti dole).

To ne znaci da je IIS "sigurniji" od Apache-a (videti dole, opet) - ali govori o tome koji je softver vise odrzavan i servisiran... sto nekako ne ide u prilog tezi o "prednosti FLOSS softvera u brzini patchovanja".



Ne bi se reklo da ga ima znacajno vise nego IIS-a:

http://news.netcraft.com/archives/web_server_survey.html



Apache: 50.6%
IIS: 35.4%

Ako ovo opravdava fakat da je vecina malware-a na Apache serverima-u, a to ne kaze samo Sophos vec i gomila drugih izvora, medju kojima sam linkovao neke... Onda dobro... Jos je sad to i "obmana", zanimljivo kako su Linxuasi krenuli u osporavanje statistike u poslednje vreme i nazivanje iste obmanom ;-)

Ne znaci ovaj podatak uopste da je Apache losiji web server od IIS-a - daleko od toga, ali pokazuje koliko je tacna pingvinska pesmica o sigurnosti LAMP-a - ocigledno Linux wannabee admini i nisu bas tako sposobni kao sto sebe izdaju, a pogotovu ne stoji prica o nesigurnom Win Server + IIS resenju ;-)

Ovi podaci pokazuju pre svega da je masa LAMP setupa golo g**** sto se sigurnosti tice, a da je IIS environment ocigledno jako siguran, cim sa svojih 35% trzisnog udela ima manje od 10% malware-infested sajtova.

To pre svega govori o potpunoj neopravdanosti nazivanja nekog sistema "sigurnim" i "nesigurnim" - ocigledno je da je sigurnost pre svega stvar administratora, a "secure by design" svakako ne stoji za mnoge LAMP sajtove ;-)

Je l da skidam apache sa servera?

Gde da skinem cenovnik za IIS i jel ima neki popust?

A i b su povezani, pa:
a,b) Ima ih vise, jer je Open Source. I ne moze da se nadje neki jadni propust a da ne bude objavljen. Mislim, ne mozemo znati, ali nesto mi govori da i IIS ima puno takvih glupih propusta, koji su rejtovani kao "less" i niko ih ne popravlja, jer u sustini i kad bi "exploitovo" takav servis, nista pametno ne bi dobio. Vecina su "teoretski Denial of Service" ili sl.



Ja koliko sam primjeto, svaki critical bug je patchovan u najkracem mogucem periodu... kad saznam za propust, vec ima i patch/workaround, jer rilis istih ne zavisi od vendora, kako je to slucaj kod MS-a ili bilo kojeg drugog !OS vendora.



Ne obmana u smislu da blate OS, vec obmana u smislu da sebe izdizu, jer to sto su napisali je BS... a i dod'o sam, da je IIS umjesto Apacha, isto bi vazilo.
To (ako) sto Apache ima koliko-vec % malware sajtova, ne znaci da je propust (i nije) u apachu, pa su tako "zarazeni", to sam reko jos u proslom postu.



Motika brale, motika.

Bolje lopata, ima manje security propusta.

Jos malo pa cemo u pricu o web serverima morati da uvrstimo i lighttpd posto ga ljudi korste sve vise i vise...

Nije valjda da ces mi ustupiti jednu od svojih? Sreca, sreca, radost!

Nisam bas poklonik komunizma, za razliku od softverskih komunista koji to pokazuju iz dana u dan ;-)

U svakom slucaju, cestitka za potpuno pogresnu interpretaciju moje poruke o Secunia-i, za maramu za tebe se ipak mora pronaci neko drugo resenje.

Cifre nedvosmisleno pokazuju da su LAMP resenja najzaduzenija za inficirane web sajtove, bas kao sto je Windows najzaduzeniji za inficirane racunare.

Znam da je Linuxasima tesko da prihvate tu 'bolnu' cinjenicu, ali jebga... mora se nekako ici dalje.

Ma ovo je ***ote najnebuloznije nesto ikad... cuj, Apache hostuje najvise malware sajtova na netu.... vrhunac gluposti i debilizma.

Ponovo cu ja, kakve veze ima Apache server sa difejsovanjem ili bilo kojem drugom nazivu za "tejkoverovanje" sajtova i postavljanje malware-a ?
Zadnja verzija preko koje se to moglo raditi je 1.2 neka stara 7 godina il kolko vec.

To se radi preko gresaka u PHP kodu ili neceg drugog, a ne Apache-a.

Da je cinjenica, ne bi bilo tesko prihvatiti, s obzirom da su gluposti, sto bi prihvatio.. bilo ko, osim Windows fanatika koji jedva cekaju FUD-ove razne, trollovanje i ostalo usmjereno ka Linuxu i Open Sorsu.
Isto kao MS sto troluje i radi sve negativno sto moze da uradi da bi potkopo Linux i OS. Vidi se da vam je Ballmer choban.

Hahaha - pa kakve veze ima Windows sa debilima koji otvaraju "SEE_MY_NAKED_ASS.EXE" ? :)

Poenta je u stvari u necemu drugom - kada cujete nekog Linux admin-wannabee-a o tome kako je LAMP "secure by design", oterajte ga u 3 lepe - ili mu pokazite ovu statistiku. To samo pokazuje koliko je IT trziste zatrovano priucenom radnom snagom koja ostavlja busne sajtove.

Naravno da Apache nema direktne veze sa sajtovima koji su hakovani (osim sto ih hostuje) - ali to puno govori o nekim stavovima nekih ljudi ;-) Windows+IIS, koga ce svaki pingvin da nazove "nesigurnim" ima ocigledno mnogo bolji security track-record od OSS aplikacija.



Balmer jeste cobancina, to je hard fact - bas kao sto je hard fact da je vecina inficiranih web sajtova nije na IIS-u, vec na Apache-u ;-)

P je krucijelan u tom...
Inache, u pravu si kad kazes da je IT trziste zatrovano priucenom radnom snagom, ali to prolazi u dosta firmi. Jer priucena radna snaga, obicno je jeftinija, a danas svi traze nesto jeftino.

Sve to stoji i sve je to ok sto ti pricas, ali od Sophosa je glupo da na ovaj nacin predstave svoja istrazivanja... u fazonu "Apache saks" i glupo je kad neko ovde napise isto to. To ne moze proci.



Generalno, za greske programera ne mozes okriviti LAMP platformu. I nemoguce je imati platformu koja ce biti "secure" u svim okolnostima.. (tipa ako programer napravi bug u kodu).
To nema veze sa platformom, vec sa programerom... to sto ima vise malwarea na lampu, samo ima veze sa PHP programerima, ne sa platformom.

windiws_zakon je htijo da kaze da je greska uvjek u programeru! Bice da je on admin :))

Nego ljud da meni neko oce objasniti sta je to inficiran sajt? Jel to kad neko pravi user-generate-content site pa zaboravi da iskljuci HTML tagove i neko stavi:



I za boga miloga kakve to ima veze sa web serverom? Posledica ovog debilnog istrazivanja je samo veca zastupljenost Apacha. A autor teksta je toliki mulac da je mogao da napise u tom slucaju i da je Linux najzarazeniji web sistem?!!(WTF) ili da je PHP rupa u odnosu na Javu ili Python(!?)

Cao

Necu da ulazim u to sta je bolje i sigurnije (ja licno vise verujem svemu sto nije microsoft - linux zauvek) ali cime bi jos mogao da iskeniram moj apache web server - probao sam sa nessus-om i cini mi se da je OK.

Pozdrav!!

gajger-milerovim brojacem ;)

Samo cu da kazem da ovo jeste jedna velika istina, i da je skroz moguce....