主機商一定要知道的事

虛擬主機廠商接連爆發嚴重資安事件，顯見資安意識仍未深植於這些虛擬主機廠商的營運政策中。

在2008年5月份時，筆者曾經撰寫了一篇「網站代管安不安」的文章，探討虛擬主機服務的安全性問題，也列舉了許多虛擬主機廠商需要留意的安全建議；但自去年底以來，又陸陸續續爆發了多家虛擬主機廠商的嚴重資安事件，顯見資安意識仍未深植於這些虛擬主機廠商的營運政策中。

主機商資安問題屢見不鲜
其中最嚴重的案例，大概就是2009年初鬧的沸沸揚揚的某知名主機代管商客戶資料外洩事件了！1月初某知名部落客在整理虛擬主機廠商的網路筆戰資料時，意外地發現透過google竟然可以搜索到某知名虛擬主機廠商的訂單詳細資料！雖然直接點擊搜尋結果上的連結並無法存取該頁面，但使用者還是可以透過庫存頁檔的功能，存取到訂單詳細資料的頁面；這些頁面中除了客戶的基本資料與聯絡人資訊外，甚至還包含網站的管理帳號密碼等機敏資訊，這些資訊一旦遭到有心人士備份並進行後續利用，將會成為十分可怕的安全威脅！網路上諸多關心此一事件的網友們，也熱心地在第一時間就透過刑事單位協助通報此一事件並做備案動作，可惜似乎為時已晚，除了google庫存頁檔外，上述訂單詳細資料也早已被包含對岸在內的其他搜尋引擎備份。
這次的案例發生原因眾說紛紜，但由於該公司並未對外公開事件發生原因，我們也僅能透過間接的方式與網路上可搜尋到的資訊推測可能的問題點，無法有效釐清到底是因為人員疏失還是系統設定問題，抑或是第三方廠商作業疏失的問題，而導致該公司訂單詳細資料外洩。因此我們在此僅就該公司事後的處理方式來做檢討，曾有媒體記者根據網路上蒐尋到的資料隨機採訪多位此一事件中資料遭到外洩的受害客戶，意外地發現在事發後該公司並未明確告知客戶受害情形，受害客戶也完全不知道自己的個人連絡資訊，甚至是網路行銷預算與網站管理帳號密碼等機敏資訊遭到外洩！而網路上也有其他受害用戶現身說法，表示該公司僅透過發送電子郵件呼籲使用者留意詐騙集團以該公司名義聯絡客戶，藉此詐取客戶資料或額外繳納不必要之費用，而未將真實受害情形詳盡告知客戶，也未要求客戶修改帳密等機敏資訊以避免帳戶遭到盜用。
事實上，這也不是該虛擬主機廠商近年來發生的第一次重大資安事件，在去年5月號的文章中就曾經介紹過該虛擬主機廠商代管網站遭植入網頁後門與置換頁面等重大事件；而在去年11月中，該公司再度爆發多個代管與服務網站遭到入侵，並被發布在知名的駭客網站Zone-H受駭網站列表上；緊接著就爆發了前面提到的客戶資料外洩事件，顯見該單位在遭遇先前如此頻繁的入侵事件後，並沒有從中學到教訓，建立起一套有效的資訊安全管理系統與政策，而在資安意識與反應能力上也仍有很大的改善空間。

管理後台路徑暴露於網頁上
除了上述知名虛擬主機廠商的安全性議題外，我們也留意到了其實有更多小型的虛擬主機廠商更是嚴重缺乏資安觀念與危機意識；在過去一段時間持續分析受駭網站案例的過程中，也常意外發現了不少特殊的案例；例如在去年12月中發現的某受駭案例，在追蹤過程中發現多個受駭網站都指向同一個網路位址，透過WHOIS查詢後發現竟然是隸屬於教育部的網路位址，好奇心驅使之下，與某資安界的長輩透過各種追蹤與搜尋技巧，終於找出該網路位址位於國立高雄應用科技大學思賢樓，再透過學校網站查詢，才發覺該主機代管服務廠商可能是該校育成中心中的廠商。
我們先跳過利用學術網路資源營利的適法性問題不談；但簡單瀏覽了該虛擬主機廠商的網頁樣版後，其實很容易就可以發現存在許多的安全性問題，例如直接將管理後台路徑曝露於網頁上，以及一些明顯的程式寫作安全習慣似乎都不甚理想，透過如此簡陋且缺乏資訊安全意識的樣版所建立的網站，會遭受大規模的網路攻擊而淪陷，自然也不會令人太意外了！
當然還有更多虛擬主機廠商的受駭案例，這邊我們就不贅述了！有興趣的讀者可以自行到資安之眼的TW網站淪陷資料庫上搜尋分析，也可以順便測試一下自己能不能透過上述資料找出更多潛藏的未曝光受駭主機，甚至是分析各種駭客可能運用的攻擊路徑與手法。
我們還是要再次呼籲各虛擬主機廠商能夠多花一點心力在資安防禦的部分，由於營運的屬性與一般企業不同，一旦遭遇虛擬主機廠商遭受網路攻擊得逞時，往往伴隨而來的是大量網站的淪陷，所帶來影響也勢必更為廣泛。