Ciao,
mi son ritrovato sul server dedicato che abbiamo in affitto un bel po' di pagine modificate da un simpatico malware che nella notte ha scritto ad inizio di ogni pagina la sua bella iframe che riportava al suo simpatico sito bannato: computek-ncl.com
Come può essere entrato ?
Dipende dal firewall o da qualche buco delle pagine web ?
Ovviamente il provider se ne lava le mani e la colpa dev'essere per forza dell'applicazione web ed il php che ha qualche buco...
...ma come fa a succedere una cosa del genere a livello php ??
oltre ad una vulnerabilità nel codice considera la possibilità di un furto di credenziali di accesso (FTP, SSH...) Se l'accesso è stato effettuato da una macchina infetta, il malware potrebbe aver 'rubato' le credenziali. Assicurati di accedere da una macchina pulita, cambia tutte le credenziali di accesso e ripulisci totalmente le pagine (la cosa migliore è cancellare e ricaricare in blocco).
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Quasi improponibile cancellare e reinstallare tutto al momento,
non c'è un mirror del sistema e ci vorrebbe una vita a reinstallarlo con i conseguenti problemi di stop sugli utenti che attualmente lo usano.
Di certo c'è stato un attacco poichè in quell'orario ho rilevato un ip loggato dall'event viewer di windows che ha continuato a fare tentativi per un bel po', ma non so che tentativi,
come potrei capire "da che parte" è passato e quindi che credenziali è riuscito a rubare ?
L'event viewer mi riporta una cosa del genere:
client xxx.xxx.xxx.xxx#25345: query (cache) 'isc.org/ANY/IN' denied
Per la privacydel simpatico sistema hacker non riporto l'ip che ho trovato
Permessi di invio
Rispondi quotando