Salve,
oggi ci siamo accorti che uno spazio hosting è stato violato tramite ftp.
Sembvra che questi ip ( uno inglese e uno francese) abbiano trovato le pwd e
scaricato due file sulla root del sito:
ftpchk3.php e ftpchk3.txt
da un altro articolo sembra sia propio un azione hacker..
ma non ci spieghiamo come abbiamo potuto trovare gli accessi..
e a cosa in realtà quei due file sarebbero serviti.
Spero in una mano.
Saluti.
cosa frequente è il furto di credenziali di accesso a siti FTP tramite trojan installati su un sistema che ha effettuato un accesso lecito allo spazio FTP. Il trojan si occupa di intercettare username e password e di comunicarle a chi di dovere. Verifica che i sistemi dai quali effettuate gli upload sul sito siano puliti. Ovviamente cambiate anche le password di accesso.
Per quanto riguarda i file caricati... se hai provveduto a tenerli posso darci un occhio.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
quindi un trojano ha trovato le pwd...
mi chiedo però da dove ale abbia reperite..
dato che erano dentro delle email e dentro filezilla solitamente criptate...
la cosa strana però è che non hanno fatto danno...
apperentemente almeno..
hanno solo scaricato dei file..
semplice codice php
<? echo('OK') ?>
se non sbaglio..
ma qual'è quindi l'obiettivo ?
molto astuto heee!conosco i siti hacker!
non ho capito...
che risposta è ?
e cosa dovrebbe c'entrare?Originariamente inviato da the hacker
http://barriaga.com/
e quindi??Originariamente inviato da the hacker
molto astuto heee!
the hacker mi sembra di averti già avvertito... posta solo se hai qualcosa di sensato da dire.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
La mia ovviamente è solo una ipotesi. Hai accesso al log dell'FTP? è da lì che ha concluso che l'accesso è avvenuto via FTP?Originariamente inviato da agenti
quindi un trojano ha trovato le pwd...
mi chiedo però da dove ale abbia reperite..
dato che erano dentro delle email e dentro filezilla solitamente criptate...
Se non hanno caricato altro in effetti sembra un po' strano. Se veramente hanno avuto accesso tramite FTP potrebbe semplicemente essere una segnale indicante che le credenziali sono corrette... ancora una volta, è solo una ipotesi.Originariamente inviato da agenti
la cosa strana però è che non hanno fatto danno...
apperentemente almeno..
hanno solo scaricato dei file..
semplice codice php
<? echo('OK') ?>
se non sbaglio..
ma qual'è quindi l'obiettivo ?
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
si le log hanno evidenziato attivita ieri e oggi..
2 ip in giorni diversi...
operazioni identiche di comandi ftp...
hanno rilasciato 2 file..
null'altro..
lo so che è strano...
che vuoi dire con "semplicemente essere una segnale indicante che le credenziali sono corrette"
cioè hanno solo visto se la cosa funzionava ?
che forse lasciano un segnale visibile all'esterno per indicare che il sito può essere compromesso in quanto possiedono le credenziali giuste... ripeto, è solo una ipotesi.
In ogni caso, provvedi a cambiare password e a verificare i tuoi sistemi. Il fatto che le pass siano criptate dentro Filezilla poco conta. Se usi il normale protocollo FTP le password vengono mandate sulla rete in chiaro e tali trojan possono agire da network sniffer.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Permessi di invio
Rispondi quotando