Intrusioni Hacker

[atp7]

Ciao a tutti,

vorrei chiedere a voi se vi è capitato recentemente di subire attacchi da haker ai propri server, a me capita da più di 10 giorni che un hacker continua ad entrare nel server che apparentemente dovrebbe essere protetto.

Praticamente inserisce o crea delle pagine index/default ecc (la pagina di partenza di un sito) in tutte le esensioni piu importanti e le va ad inserire in ogni cartella...

Qualcuno ha idea del metodo utilizzato e come ci si possa proteggere?

La dicitura della pagina inserita è:

"DR.TOXIC" WAS HERE! Hack Bir Sanattýr! -.toxic@windowslive.com


Grazie
Ciao

[eth0]

1. Patcha il server
2. Cambia la password
3. Setta i permessi giusti sulle cartelle
4. Chiudi le porte che non ti servono
5. Usa un firewall
6. Se vuoi altre possibili soluzioni, illustra dettagliatamente l'attacco

[atp7]

Ciao grazie per la risposta,

quello che ho fatto fino ad adesso è questo:

cambiato password per accedere al sistema
il server lo patcho regolamente
l'antivirus è sempre stato attivo (Panda per server)
Windows firewall
Ho controllato le porte ma non mi risultano aperte con programmi in esecuzione sospetti
(Il firewall hardware mi manca!)
I permessi delle cartelle li ho cambiati, infatti da quando è stato fatto questo lavoro riescono a pubblicare le pagine ma non più a sostituirle.

Ho fatto una scansione con untivirus on-line che mi ha trovato due trojan che si chiamano:
ace.by e c99shell.a e sono stati rimossi.
Adesso sono un pò di igorni che non succede nulla.. però è anche vero che si danno da fare nel fine settimana di solito... che altro si può fare?

[Habanero]

La prima cosa da fare su un server web è verificare che non siano le pagine web ad essere vulnerabili...

[atp7]

Ciao, perdona la mia ignoranza... cosa intendi per vulnerabili?

[Habanero]

scusa probabilmente ho letto male... leggendo index, default pensavo si trattasse di un server web... ma forse ho sbagliato. Di che server si tratta? che servizi offre?

[atp7]

Ciao, si giusto si tratta di un server web, però volevo capire cosa intendevi per vulnerabilità delle pagine, non so se intenti ad esempio la possibilità di inserire del codice nelle text o cose simili...

[Habanero]

Se le pagine sono di tipo dinamico e usano un liguaggio lato server (ASP, ASPX, PHP, JSP etc...) possono intrinsecamente contenere vulnerabilità che possono permettere ad un attaccante di accedere direttamente ai file locali, modificarli, aggiungerne di nuovi, accedere liberamente ad un database, eseguire sul server codice arbitrario etc...

Se invece il server ospita pagine in puro e semplice HTML allora la vulnerabilità risiede sicuramente nel server o nella sua configurazione e non nelle pagine.