Salve,
volevo sapere quale tipo di attacco possa modificare in modo permanente una pagina su un server web (cioè aggiunta di uno script a fondo pagina).
Pensavo che potesse essere di tipo XSS ma ho letto che questi tipi di attacchi non sono in grado di modificare pagine web.
Oppure è stato un "semplice" problema di accesso non autorizzato?
Il problema è che non capisco dove possa essere la falla e cosa cercare.
Grazie
Modifica di pagine web fino a che punto ?
Hai cliccato su qualche link per arrivare alla tua pagina web ?
Hai un cms come sito web ?
Di solito solo con i permessi di admin si riesce a modificare pagine web.
L'index PHP (senza l'uso di CMS o Framework) in cui è stato aggiunto a fondo pagina uno script (troiano).Modifica di pagine web fino a che punto?
Hai cliccato su qualche link per arrivare alla tua pagina web?
Hai un cms come sito web?
Di solito solo con i permessi di admin si riesce a modificare pagine web.
C'è qualche script di terze parti (contatore histat, google analytics e scriptaculous/lightbox), non essendo un sito molto aggiornato le versioni dei vari script sono vecchie di qualche anno.
Il sito ha un form per lasciare osservazioni, con l'input che viene filtrato tramite htmlspecialchars, ma il db non è stato compromesso.
Il sito è hostato su un server gratuito.
Dato che è il codice sorgente ad essere stato modificato, penso che vi sia stato un accesso non autorizzato, benchè la password possa essere considerata robusta (più di 10 caratteri con caratteri speciali e non trovabile su un dizionario).
Ho letto appunto che gli attacchi XSS non modificano pagine web ma da qualche parte questa iniezione deve esserci stata.
Idee al riguardo?
Grazie
Script di google o hitstats lo puoi anche scordare non sono loro.
Linka il sito web in modo da vedere i cambiamenti, solo così possi dirti qualcosa di più.
P.s. la password anche composta da 20 caratteri, si può sempre fregare con tanti modi diversi, non sottovalutare mai quest'ultimo.
Programmatore e responsabile seo della testata giornalistica www.europacalcio.it - www.canforagennaro.it
Sicuramente, non sono neanche sicuro di come funzionino... ma non si puo dire per questo che loro siano immuni al 100%Script di google o hitstats lo puoi anche scordare non sono loro.
Beh c'è poco da vedere ormai, appena me ne sono accorto ho tirato giù il sito e ho messo sù l'ultima copia di backup.Linka il sito web in modo da vedere i cambiamenti, solo così possi dirti qualcosa di più.
Comunque, avendo salvato una copia del sito infetto ho fatto un diff tra i vari files, il file index è l'unico in cui sia stato fatto l'inject.
Non so cosa pensare.
esistono vari modi..
Il più semplice è che ti abbiano rubato la password di accesso FTP. Se hai avuto accesso via FTP al sito usando un pc infetto, è facile che la password ti sia stata sottratta. Sincerati di usare un sistema pulito e cambia la password. Conoscendo data e ora della modifica ed avendo a disposizione i log del server FTP si può avere una conferma dell'eventuale accesso.
Altri metodi dipendono dalla sicurezza della pagine da te create, dalla sicurezza del server ed eventuali estensioni abilitate.
Se ci sono script di upload vulnerabili potrebbero aver usato quel veicolo. Inclusione di script remoto, può esserne un altro... difficile fare una diagnosi alla cieca.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando