Aiuto connessioni pirata al server e minacce

[Chiara85]

Premetto che ho hosting Windows con ASP .NET e che ho dei file che non ho mai visto nella root (già cancellati).

Tre giorni fa mi sono trovata questo messaggio sul pannello del sito:

"We regret to say that database is currently consuming excessive resources on our servers which causes our server to degrade its performance affecting all other customers database driven sites that are hosted on this server. The database/tables/queries statistical information's are provided below:

AVG Queries / logged / killed
95800/ 0/ 0

There are several reasons where the queries gets increased. Unused plugins will increase the number of queries. If the plugins are not causing the issue, you can go ahead and block the IP addresses of the spammers which will optimize the queries. You can also look for any spam contents existed in the database and clear them up.

You need to check for the top hitters in the Stats page. Depending upon the Bandwidth accessed, top hits and IP you need to take specific actions on them to optimize the database queries. you need to block the Unknown robot (identified by 'bot*'). Since these bots are scraping content from your website, spamming your Blog comment area, harvesting email addresses, sniffing for security holes in your scripts, trying to use your mail form scripts as relay to send spam email. .htaccess Editor is tool available to block the IP address."



Questi minacciano di chiuedere il sito!! Cosa posso fare?? Non ne capisco nulla!

[rk-29]

Prima di tutto niente panico, non minacciano di chiudere il sito, ti stanno solo avvertendo che il tuo database riceve molti accessi e genere traffico inusuale, che rischia di far crollare tutti i server del tuo hosting provider e i siti di tutti i suoi utenti.
Pertanto ti consigliano di intervenire siccome i tuoi dati sono in pericolo.
Evidentemente, qualche hacker della domenica, che non aveva niente da fare, è riuscito ha inserire alcune backdoor (punti d'accesso che prevalicano i sistemi di sicurezza) e modificare i file all'interno del sito.
Il mio consiglio, anche se un po' frettoloso, è quello di cancellare tutto il contenuto del sito e ricostruirlo da capo.

Ciao

[Chiara85]

Il guaio è che parliamo di più di 4000 file tra tool articoli, forum, ecc. per un totale di 19gb di sito. Solo a uploadarlo ci metto 2 settimane. Comunque le minacce ci sono mi hanno detto che ho 3gg lavorativi per risolvere il problema! E scadono oggi alle 20.00!

Ho già provato in passato a cambiare le password dell'FTP e dellaccount, niente! L'obiettivo non sono io penso siano attacchi generici mirati ad ottenere backlink e redirect (spesso non funzionano)!

L'unica cosa che non abbiamo fatto noi è lo Snitz forum.

[Dascos]

Originariamente inviato da Chiara85
L'unica cosa che non abbiamo fatto noi è lo Snitz forum.

...che potrebbe essere proprio il punto di accesso...

secunia.com/advisories/42308/
http://www.saintcorporation.com/cgi-...fact_color=doc

eccetera...

[Chiara85]

Ti ringrazio, forse hai ragione, ora provo a cercare tutti i request e li escapizzo! Però secondo te questa cosa può essere correlata al fatto che ho trovato file pirata nella root dell'FTP e un user in più in mysql??

Inoltre io guardando la process list di mysql non trovo queste fantomatiche 95800 query! Che significa?

[Dascos]

Originariamente inviato da Chiara85
Ti ringrazio, forse hai ragione, ora provo a cercare tutti i request e li escapizzo! Però secondo te questa cosa può essere correlata al fatto che ho trovato file pirata nella root dell'FTP e un user in più in mysql??

Inoltre io guardando la process list di mysql non trovo queste fantomatiche 95800 query! Che significa?

Ciao,
guarda in realtà non ho approfondito la ricerca e quindi non ho idea di quali siano i reali rischi di quel sistema di forum che avete installato, mi sono limitato a una veloce ricerca con Google. Se però mi dici che da quello che hai letto ci sono problemi con le request (quindi GET) allora è molto probabile che la falla di sicurezza sia tale da permettere oltre alle sql injection anche il cross site scripting e tramite quest'ultimo è possibile inserire delle specie di backdoors sul server (delle shell, per meglio dire) con le quali evidentemente hanno caricato i file in più che ti sei trovata e hanno creato l'utente MySql.

Detto questo quindi, conviene cercare le patch allo Sniz Forum o, se possibile, un sistema di forum alternativo e meno buggato.

[Chiara85]

Sai cosa? Il fatto è che si tratta di un hosting condiviso, mi sembra difficile che abbiano creato un utente in questo modo anche perchè mySQL si trova su un altro server separato. Non credo sia possibile creare un nuovo utente (come effettivamente hanno fatto)... o no?

Per bloccare le SQL injection basta escapare, per il cross site scripting?

p.s. questo è quello che ho fatto:

> Controllare ed eliminare utenti mySQL sconosciuti - 1 UTENTE ELIMINATO
> Escapizzare tutti i request nelle query mySQL - FATTO (1500+ VULNERABILITA')
> Controllare ultimi iscritti (nick, mail e password) - NIENTE DI IRREGOLARE
> Controllare file uploadati irregolari - NESSUNO TRAMITE NOSTRI SISTEMI DI UPLOAD
> Eliminare file inutili online e offline - UNA DECINA NELLA ROOT
> Cambiare le password creando nuovi utenti mySQL - FATTO