Sito defacciato da un certo Z4R4THUSTR4, sapete come agisce?

[allin81]

Mi e' arrivata una email del mio fornitore di hosting che dice di aver ricevuto a sua volta la segnalazione di un sito dicendo che il mio server lo attacca.
Ad ogni modo mi danno delle informazioni tipo:

date: 2012-04-25
id: CEST
virusname: 1057722
domain: defaced_site
url: mioip | miosito.it e poi c'e' anche un url tipo www.miosito.it/HACKED%20BY%20Z4R4THUSTR4

Come potrei capire dai processi di cosa si tratta per poterlo eliminare?
Tra l'altro quella directory e quella pagina sul mio sito non esistono...

Logicamente mi minacciano di togliere la connessione al mio server...

[amvinfe]

ciao,

è questo il sito defacciato?

ischiahotel.net


[edit]

ah, ho modificato il titolo al 3d.
Si tratta di deface di un sito, i server non c'entrano nulla

[/edit]

[allin81]

si e' questo, come l'hai trovato?
sul sito non abbiamo niente, abbiamo anche messo un ulteriore controllo...

[amvinfe]

abracadabra

basta cercare nei siti underground
Ho visto che in passato era stato già defacciato nel 2006.... per aggiungere un po' di "colore"... la persona che ha avuto accesso al vs db ha origini persiane

==

verifica il ftp: password, file inseriti di recente e guarda se hai una dir chiamata
"fig", se è presente verifica che non siano state apportate modifiche in scrittura e/o aggiunte di codice.


ciao

[allin81]

mmm scusa dove si vedono i siti underground?

cmq la directory fig ci sta ed e' dove inserisco tutte le gif, png ed alcune jpg.
La directory ha come permessi 755, all'interno ci sono altre 2 directory anceh queste con 755.
Non sono presenti file diversi dalle estensioni sopra indicate...
Si in passato ebbi un attacco che mi modifico' tutte le index del sito

Lavori per caso per la webfarm dove ho il server? (non per qualcosa, ma mi sono preso una mezza questione poco fa in un ticket)
la pass ftp e' stata cambiata da un mese circa con una molto piu' sicura...

[amvinfe]

No, non lavoro per aruba.


Verifica all'interno di questa dir "immagini_hotel", cambia comunque tutte le pass d'accesso con più pass alfa (minuscolo/maiuscolo)- numeriche e almeno un carattere speciale, per un totale di almeno 16 caratteri.

Ciao

[amvinfe]

probabilmente vi chiederete qual è la tecnica usata per i deface.

E' molto probabile che venga usato un programma creato dalla stessa persona che vi ha poi defacciato il sito, inutile scrivere qui il nome del tool.
Vengono ricercate, probabilmente, delle vulnerabilità SQL.

[allin81]

ho provato anche a controllare quello che dicevi ma niente, non c'e' neinte di strano, solo le mie immagini...
Come mai dici di controllare proprio quelle directory? Come hai fatto a capire che il sito era quellO??

[amvinfe]

come ti ho scritto, basta effettuare ricerche mirate nei siti "underground" per capire, in tempo reale, quali siti sono stati defacciati e da chi.
All'interno delle loro pagine si ha anche la possibilità di vedere, non è molto..., il codice HTML del sito defacciato, ecco perchè ti indicavo quelle dir.

Modifica o fai modificare tutte le passwords d'accesso, con la modalità che ti ho descritto più sopra.

[allin81]

Originariamente inviato da amvinfe
come ti ho scritto, basta effettuare ricerche mirate nei siti "underground" per capire, in tempo reale, quali siti sono stati defacciati e da chi.
All'interno delle loro pagine si ha anche la possibilità di vedere, non è molto..., il codice HTML del sito defacciato, ecco perchè ti indicavo quelle dir.

Modifica o fai modificare tutte le passwords d'accesso, con la modalità che ti ho descritto più sopra.

ok, va bene.
Posso avere uno di questi siti dove e' finito il mio? (tanto per vedere cosa c'e' scritto).
Per il resto gia' tutto modificato.
Grazie