SICUREZZA : Attacchi continui ed inserimento file ".php"

[simsar78]

Ciao a tutti,
ultimamente sul mio dominio/hosting sto ricevendo tantissimi attacchi ... che poi si traducono con un blocco HTTP da parte del provider.
Nei file di log ci sono una miriade di attacchi gioranlieri e di controlli sulle directory ... e quindi una serie di "GET" e "POST".

Da quello che ho potutto capire attraverso una falla del mio gestionale che ho messo in una directory dell'area ftp risulta poter applicare la possibilità di inserire dei file nelle directory. Vengono inseriti file con estensione ".php" contenenti del codice malware (o altro in quanto non sono riuscito ad aprirli perchè l'antivirus me li blocca).

Quello che vorrei poter sapere e mitigare sono le seguenti cose :

1- come si legge una riga del file di log ?

Posto alcuni esempi:

codice HTML:

23.253.207.22 miodominio.it - [26/Aug/2015:13:34:02 +0200] "POST /templates/plugins/dir.php HTTP/1.1" 200 93 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"

codice HTML:

131.161.190.107 www.miodominio.it - [26/Aug/2015:05:28:54 +0200] "GET /adv/www/delivery/avw.php?zoneid=21&n=12caa0f HTTP/1.1" 403 226 "http://www.osteriatitina.it/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

Osteria Titina è il source da dove viene l'hack o un destinatario ?

codice HTML:

151.44.158.80 www.miodominio.it - [26/Aug/2015:19:24:01 +0200] "GET /adv/www/delivery/avw.php?zoneid=21&n=12caa0f HTTP/1.1" 404 191 "http://www.osteriatitina.it/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-N7100 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.133 Mobile Safari/537.36"

oppure con scritto Apple IOS 8.4.1

codice HTML:

176.8.90.218 miodominio.it - [26/Aug/2015:04:31:48 +0200] "GET / HTTP/1.1" 403 202 "http://chcu.net/porno-video-2015/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"

Calcolando che alcune di queste cartelle non esistono più da tempo.
Quindi sicuramente qualcuno ha la facoltà di leggere le mie directory in qualche modo

2- Come posso bloccare la lettura delle mie cartelle ?


3- Come posso capire da chi proviene in modo da bloccare la fonte ?

4- Sicuramente devo securizzare i miei file inserendo dei controlli su ciò che viene inserito con il metodo "POST e "GET".

[Alhazred]

Questa discussione è molto più da sezione server che da php, di php non chiedi proprio niente.
Per questa volta sposto, ma fa attenzione per il futuro.

...
1- come si legge una riga del file di log ?

Posto alcuni esempi:

codice HTML:

23.253.207.22 miodominio.it - [26/Aug/2015:13:34:02 +0200] "POST /templates/plugins/dir.php HTTP/1.1" 200 93 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"

Si è collegato qualcuno o qualcosa dall'IP 23.253.207.33
Ha inviato una richiesta POST allo script /templates/plugins/dir.php usando il protocollo HTTP 1.1
Il server ha risposto 200, quindi OK
93 è il PID (process ID assegnato dal server al processo che si è preso carico della richiesta)
Di seguito c'è il browser usato per la connessione

codice HTML:

131.161.190.107 www.miodominio.it - [26/Aug/2015:05:28:54 +0200] "GET /adv/www/delivery/avw.php?zoneid=21&n=12caa0f HTTP/1.1" 403 226 "http://www.osteriatitina.it/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"

Osteria Titina è il source da dove viene l'hack o un destinatario ?

No, a questa richiesta GET il server ha risposto 403, quindi con un redirect e la pagina di destinazione è stata quella dell'osteria titina

Gli altri si leggono in modo analogo, ma se vuoi maggiori informazioni, basta una ricerca e trovi molti siti in cui ti spiegano come si leggono i log di Apache.

Calcolando che alcune di queste cartelle non esistono più da tempo.
Quindi sicuramente qualcuno ha la facoltà di leggere le mie directory in qualche modo

Sbagliato, se queste cartelle non fossero mai esistite potresti aver ragione, ma da come dici in passato c'erano o magari ci sono ancora adesso solo che ne hai rimosso i link.
Bene, gli spider dei motori di ricerca si ricordano le pagine che hanno visitato in passato sui siti, quindi queste richieste a pagine che non esistono più o non sono più linkate, gli spider le sanno senza bisogno che trovino un link e provano ad accederci direttamente per vedere se ci sono cambiamenti.

2- Come posso bloccare la lettura delle mie cartelle ?

Potresti agire tramite il file htaccess

3- Come posso capire da chi proviene in modo da bloccare la fonte ?

Hai l'IP di chi effettua la connessione riportato nel log

4- Sicuramente devo securizzare i miei file inserendo dei controlli su ciò che viene inserito con il metodo "POST e "GET".

GET e POST non inseriscono niente, portano con se solo dei parametri, poi cosa faranno questi parametri lo decidi tu negli script PHP che scrivi.

P.S: evitiamo di inventare parole improbabili, sul dizionario c'è "securizzare"?

[simsar78]

Prima di tutto Grazie per le info molto utili.

securizzare :
http://www.garzantilinguistica.it/ri...?q=securizzare
C'è


Questo file non esiste più da anni :

GET /adv/www/delivery/avw.php?zoneid=21&n=12caa0f
--- Sto cercando di capire come usare il file htaccess. Meglio metterlo in ogni directory o altra soluzione ?


Gli indirizzi ip di provenienza fanno parte di siti non esistenti o di altrettanti ip non esistenti.

[Alhazred]

...
Questo file non esiste più da anni :

GET /adv/www/delivery/avw.php?zoneid=21&n=12caa0f
--- Sto cercando di capire come usare il file htaccess. Meglio metterlo in ogni directory o altra soluzione ?
...

Ma infatti il server non ha risposto 200 (ok), ha risposto 403, che formalmente vuol dire "accesso negato", e di seguito c'è stato un redirect.
Il file è stato proprio cancellato o sta lì, ma non è accessibile?

[simsar78]

Cancellato da anni oramai. Non esiste più.

Ho dei log giornalieri che non finiscono più.
Ho controllato log di altri siti che gestisco e se ci sono due righe è grasso che cola.

Vorrei capire una cosa.... questi GET e POST possono essere eseguiti da alcuni file che contengono procedure di GET e POST non scritti in modo corretto e quindi avendo delle falle gli hacker possono inserire file in altre directory del sito tramite questi file ?

[Alhazred]

Sulla sicurezza per come gestire i dati in arrivo tramite get e post ci sono enciclopedie, impossibile dirti come gestirli qui sul forum.
Intanto assicurati che i tuoi script che accettano tali parametri ne verifichino la correttezza, se un certo parametro deve essere un numero, controlla che sia un numero tanto per dire.
Se questi dati devono andare in un DB usa mysqli_real_escape_string().
Cose così già danno una qualche sicurezza.

Ciò che è certo è che dati inviati tramite get o post, se il tuo script non ne prevede l'uso non faranno niente di propria iniziativa.
Per capirci se allo script arriva un parametro di nome pippo, ma il tuo script non prevede l'uso di $_POST['pippo'] o $_GET['pippo'] quel parametro non farà assolutamente nulla.

[simsar78]

Si il fatto del parametro lo sapevo... ma non capisco come facciano a mettere quei file...
per ora sto esaminando le potenzialità del file htaccess poi esamino il resto.
Grazie per tutto.

Se ho altre domande mi farò vivo :-D

[Alhazred]

Come ti ho detto, se quei file erano accessibili in passato, gli spider dei motori di ricerca se li ricordano e provano ad accederci nuovamente, poi se non ci sono più... ciccia, non ottengono risposta valida, ma non fanno niente di male.

E' come se tu metti una pagina web tra i preferiti del tuo browser oggi, quella pagina tra 2 mesi viene cancellata e tu non sapendolo vai a cliccare sul link che hai tra i preferiti, la richiesta parte, ma la pagina non c'è finisce lì.

[simsar78]

Riflettendo...
una cosa che non mi è chiara :

23.253.207.22 miodominio.it -[26/Aug/2015:13:34:02+0200]"POST /templates/plugins/dir.php HTTP/1.1"20093"-""Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"


Questo log dice che è stato inserito un file "dir.php" tramite il metodo POST nella directory "/templates/plugins/"

Come ha fatto ad inserirlo ? Questo non comprendo...!!!

[Alhazred]

Non è stato inserito niente!!!
POST e GET non inseriscono NIENTE!!!

Sono richieste, il che vuol dire che il client ha chiesto al server il contenuto del file dir.php, ovvero di visualizzare la relativa pagina che viene generata da tale script, non che il client ha fatto l'upload del file dir.php