hackeraggio sito web

[M.Solazzi]

Sono il webmaster di una societá e oggi mi sono accorto (che da circa 1 giorno) che il nostro sito aziendale ha subito un attacco di un hacker nel senso che ha potuto creare una cartella chiamata .log, creare alcuni file (es.xmlrpc.txt, hero.php) e modificato tutti i files del sito chiamati index.php e index.html aggiungendo una linea di codice html alla fine delal pagina

codice:

.

Ho dovuto analizzare tutte le cartelle e file del sito alla ricerca di tutti i file modificati in uno specifico momento. Adesso il sito é stato rispristinato senza nessun problema ma vorrei capire che "trucco" ha utilzizato ossia mi spiego:

- una vulnerabilitá del webserver apache linux del Hosting?
- una vulnerabilitá di una nostra applicazione tipo il forum SMFORUM?
- un errore in permessi di cartelle o di utilizzo di file .htaccess?

vorrei capire come ha fatto ad aggiungere codice, a creare cartelle e files come posso difendermi da ulteripori attacchi di questo tipo?

ho contattato l'Hosting (Godaddy) e sono in attesa di risposta, anche perché dai log di sistema non appare almeno a mio avviso nulla di anomalo.

grazie

[Habanero]

In genere conviene prendere nota della data e dell'ora dell'ultima modifica dei file incriminati e andare a vedere nei log di accesso se c'è qualcosa di anomalo.

Statisticamente è molto più probabile una vulnerabilità nel codice della webapplication rispetto ad una vulnerabilità del server, anche se la cosa non va totalmente esclusa.

Conviene anche verificare che non esistano diritti di scrittura per file e cartelle che non debbano essere esplicitamente modificabili. Ovvio che in sé questa non è una vulnerabilità, ma in molti casi aiuta a mitigare il rischio.

Altra possibilità è una accesso non autorizzato via ftp. Può succedere se una delle macchine da cui abitualmente si aggiornano le pagine è infetta. Molti trojan sniffano password di accesso e provvedono ad inviarle a chi è intenzionato a violare lo spazio web. In questo caso bisognerebbe verificare nei log del server ftp se all'ora incriminata esistono accessi sospetti.... e ovviamente sarebbe saggio cambiare la password da una macchina sicuramente pulita.

[M.Solazzi]

Se fosse stata violata la password ftp perché solo creare alcuni file e cartelle e solo cambiare le pagine index? Perché non cambiare tutto o gran parte?

Mi preoccupa che in qualche modo abbiano potuto scrivere, modificare file. Mi hanno modificato tutte le pagine index.php del sito web, aggiungendo una linea di codice html come ultima riga.

[Habanero]

Perché spesso è fatto tutto in automatico da un bot e perchè in genere lo scopo è quello di non fare troppo rumore perchè le modifiche restino online il più a lungo possibile.

[M.Solazzi]

Avendo ripristinato tutti files e cartelle da un backup, e diciamo avendo risolto il problema, poi ho cambiato la password del ftp primario, cosa altro mi consigli di fare? Io penso ch eil problema possa stare anche in un Forum di "vecchia data" (smforum) che purtroppo non posso cambiare ne aggiornare ora come posso verificare se é stato causato da quello? Oppure pensavo ad un errore di permessi di cartelle nel serve linux (es.777 etc.) cosa posso verificare ?


grazie.

[Habanero]

Originariamente inviato da M.Solazzi
o penso ch eil problema possa stare anche in un Forum di "vecchia data" (smforum) che purtroppo non posso cambiare ne aggiornare ora come posso verificare se é stato causato da quello?

E' possibile... per averne la certezza sarebbe opportuno consultare i log di accesso del webserver. In ogni caso verifica che non si siano registrati utenti con nomi strani e magari nessun post all'attivo... spesso sono creati da bot in modo automatico per inserire messaggi di spam o, se il codice è vulnerabile, per condurre attacchi al sito stesso. Ovviamente questo non risolve il problema della vulnerabilità.

Settare opportunamente i diritti sulle cartelle può mitigare il problema ma non può risolverlo in assoluto.