Hacker usano Front page?

[Marco83bis]

Su un sito sotto attacco virus, mi sono ritrovato queste sotto directory
_private
_vti_bin
_vti_cnf
_vti_log
_vti_pvt
_vti_txt
poi due file html nella root principale
_vti_inf.html
e post_info.html

Ora, io non ho pratica di front-page, ma mi pare di capire che in qualche maniera, questi file e directory centrano qualcosa con quest'ultimo, anche perché su questo sito:
http://forum.powweb.com/showthread.php?t=24622

ho trovato appunto una situazione simile alla mia.

la domanda, a questo punto è: un hacker è riuscito a installarsi una specie di scorciatoia per avere un accesso ftp completo al mio server?

Basterà cancellare tutti questi file, e quindi cambiare password allo spazio ftp?
( per inciso ho già cancellato quei file)

[Marco83bis]

Uso un cms fatto da me.

[Marco83bis]

No, non mi offendo, lo capisco benissimo:-)
Solo che, se mi è permesso, una discussione più costruttiva, verterebbe su
1) quali sono le falle di sicurezza di un cms, oggi più sfruttate?
2) esiste qualche tipo di documentazione, on-line, che non risalga a 2 anni fa (che parla di problemi ormai già risolti dagli stessi sviluppatori di mysql e php) e che si possa consultare per rinforzare il proprio codice? Libri validi?
3) Perché diavolo inserire dei file di front page su un sito? Può essere indice della tecnica sfruttata e quindi della falla di sicurezza esistente?
Non voglio la pappa già pronta, ma mi piacerebbe una bella discussione, in cui mi danno anche del bischeraccio (e se sono a questo punto me lo merito tutto), ma mi viene dato anche qualche indizio utile, da qualcuno che già c'è passato. Nel caso questo non sia il posto giusto, esistono comunity italiane che se ne occupano ?

[Marco83bis]

Per esempio, sempre cercando notizie/suggerimenti in rete, ho trovato questa risposta:

"That's it! Frontpage will be totally disabled system wide and nobody
can use it and it cannot be re-added by anyone including resellers
other than you going back in as root and turning it back on in the
disabled feature list.

Your "disabled" feature list is a special list that lets you disable any feature
on a server wide basis for all accounts, all users, and all resellers. Other
features you might want to consider disabling for security would include
"crontab" and "SSH Connection Window"

Che in pratica dice che si possono disabilitare, sul proprio server, per ragioni di sicurezza, il supporto a a frontpage extension, crontab ( e io non lo uso quindi potrei pure farlo) e ssh connection window, che ho solo una idea di massima di cosa sia, e quindi devo documentarmi meglio.
Il problema, ricercando notizie così, è che si trovano risposte vecchie di 3 anni :-(

[Elmapomap]

Linkaci il cms, cosi possiamo vederlo meglio, o comunque il tuo sito, cosi da poter dare un giudizio almeno superficiale su come siano entrati gli "hacker"

[homerbit]

se sei proprietario di un server allora occorre documentarsi bene sulle varie impostazioni di sicurezza, diversamente (come credo sia il tuo caso) molte impostazioni non possono essere modificate dal webmaster, ma solo dall'admin del server (provider).
Quindi, qui si apre una parentesi sulla sicurezza del server che ospita il nostro sito, il quale può essere mooolto sicuro ma non lo è il server!! e non ci possiamo fare nulla se non cambiare host.

Per tutelarsi dalla maggior parte dei danni provenienti da un server poco sicuro è scegliere un buon provider. Ad es un e-commerce su un server che non ci permette di installare licenza https io lo escluderei a monte.

Ci si può tutelare anche impostando bene i permessi di accesso alle varie cartelle.
Molti siti sono risultati bucati in questo modo. Quindi rendere solo accessibile in lettura files e cartelle che non necessitano di altri permessi.

Poi il resto lo fa il codice da noi creato.
Se è un semplice sito in html non c'è alcun problema, se è in linguaggio server-side + database allora occorre tutelarci da sqlinjection, cross scripting ecc.
In teoria basterebbe "accompagnare" i nostri dati (e solo quelli!) nel db

[Marco83bis]

Linkaci il cms, cosi possiamo vederlo meglio, o comunque il tuo sito, cosi da poter dare un giudizio almeno superficiale su come siano entrati gli "hacker"

Potrei mandare, a chi è tanto gentile da darmi qualche consiglio spassionato, direttamente lo zip del mio cms

[Elmapomap]

Manda pure a msn@mapoetto.net

[Marco83bis]

Grazie tantissimo per la consulenza, ti ho inviato email con allegato cms

[Ranma2]

Originariamente inviato da darkhero
ah ecco...allora sarà molto facile entrarci , non per offenderti ma ci sono ancora problemi con joomla e wordpress , figurati con cose fai da te.

In realtà è il contrario, un cms prorpietario con sorgente non pubblico è più difficile da bucare. Naturalmente se si seguono le norme basilari sulla sicurezza.