Identificare la causa di un defacement

**fede_pg** · 05-01-2005, 10:36

Ciao, purtroppo mi è capitato di subire un defacement questa notte.
Il mio sito è gestito con Postnuke 7.50, ho installato anche il phpBB (PNphpBB2: 1.2g Versione phpBB: 2.0.10).
Il server è Linux (kernel 2.4.20-8smp) con Apace 1.3.33, MySQL 4.0.22 e PHP 4.3.10

Il maledetto

lamer si è limitato x fortuna ad aggiungere il solito index.html e non ha fatto altri danni. Ho richiesto a chi ospita il sito di verificare subito l'aggiornamento del server ed eventuali configurazioni che dipendano da loro, ma è logico che devo iniziare a fare anche le mie verifiche.

Da dove parto? Controllare i permessi e come devono essere settati, eventuali vulnerabilità note da eliminare, ... datemi un cosniglio

Ciauz

**fede_pg** · 05-01-2005, 10:39

Il phpBB... cavolo, è lì il problema vero? non mi ero accroto che era la versiona fallata.

Mi date conferma?

**Habanero** · 05-01-2005, 14:33

probabile....
http://forum.html.it/forum/showthrea...hreadid=762397

http://sicurezza.html.it/articoli/ar...&idarticoli=82

**maiosyet** · 05-01-2005, 15:49

PhpBB ormai sta rasentando il tragicomico...

**fede_pg** · 05-01-2005, 16:24

Originariamente inviato da maiosyet
PhpBB ormai sta rasentando il tragicomico...

Purtroppo concordo ...

Cmq, dai log dorvei riuscire quasi certamente a risalire al lamer di turno, una volta che so l'ip del colpevole che posso fare nel caso sia proveniente dall'estero (come sospetto)?

Grazie del supporto

**meganoide** · 05-01-2005, 17:07

guarda che ci sono in giro worm che fanno questo in maniera automatica

**fede_pg** · 05-01-2005, 17:36

Sapevo del worm Santy, ma non mi pare che la mia home sia stata defacciata da un worm, la index era piuttosto personalizzata... anche se effetivamente non so se questo possa essere un discrimen

**maiosyet** · 05-01-2005, 22:00

Originariamente inviato da fede_pg

Cmq, dai log dorvei riuscire quasi certamente a risalire al lamer di turno, una volta che so l'ip del colpevole che posso fare nel caso sia proveniente dall'estero (come sospetto)?

Praticamente niente: col 100% delle probabilità avrà usato un (bel po' di) proxy e/o socks, quindi non c'è niente da fare...

A meno che tu non gestisca un sito importante, escludo che la polizia o chi per loro abbiano tempo/voglia di effettuare una dispendiosa (in termini di denaro e tempo) ricerca all'indietro per hop, cosa tra l'altro non sempre possibile

Quindi rassegnati, e sta piu' attento la prossima volta

**fede_pg** · 05-01-2005, 22:25

Ahimè, di sicuro lo sarò...

E dire che con i sistemi che gestisco io di solito son veramente paranoico!

Ho fatto veramente un errore da fagiano

.

Grazie a tutti, spero non ci sia bisogno di allungare questo thread

.

**AdminDiablo** · 06-01-2005, 16:20

cmq postnuke anche quello ha un sacco di bug... non mi sono mai fidato... cmq è un mio pensiero...

Discussione: Identificare la causa di un defacement

Strumenti discussione

Ricerca discussione

Visualizza

Identificare la causa di un defacement

Permessi di invio