Salve a tutti,
e già un po di tempo che su parecchi dominio in mio mantenimento vengono caricati file hard in delle cartelle create ad hoc non riesco a capire come facciano a fare l'upload di questi file , in quanto sui log del FTP non risulta nulla qualcuno a qualche idea?le password sono già state cmabiate piu volte e hanno una certa complessità e il server monta un apache con un pannello di controllo directadmin ( ma la cosa e uguale anche sotto plesk) qualcuno a qualche idea?
la probabilità che un hacker entri via FTP è piuttosto bassa (devi avere una password davvero debole legata ad uno username banale tipo root o admin)...di solito il problema è legato all'aggiornamento dei servizi sul server.
Purtroppo quando sono entrati l'unico modo per tenerli fuori con certezza è formattare. Stai attento a non sottovalutare la questione perchè oggi forse si limitano al materiale hard ma possono utilizzare la tua macchina, sotto la tua responsabilità, per commettere qualunque reato...
tento sempre il server aggionrata facendo tutti gli aggiogiornamenti dei servizi ! come posso in qualche modo limitare la cosa?
Originariamente inviato da p.turrini
la probabilità che un hacker entri via FTP è piuttosto bassa (devi avere una password davvero debole legata ad uno username banale tipo root o admin)...di solito il problema è legato all'aggiornamento dei servizi sul server.
Purtroppo quando sono entrati l'unico modo per tenerli fuori con certezza è formattare. Stai attento a non sottovalutare la questione perchè oggi forse si limitano al materiale hard ma possono utilizzare la tua macchina, sotto la tua responsabilità, per commettere qualunque reato...
Esiste una notevole quantità di malware che ha come unico scopo l'intercettazione di credenziali di accesso passate sulla rete... senza contare i keylogger... Se si accede via ftp da un pc infetto non è certo improbabile che le credenziali, per quanto complesse, ci vengano sottratte.
Per quanto riguarda la formattazione del server... mi sembra una cosa abbastanza improponibile a meno che tu ce l'abbia in casa...
@nixxo85
E' un server dedicato o condiviso? su tutti i siti incriminati girano le stesse web application? (cms, forum etc....)
In questi casi i problemi più frequenti sono pagine dinamiche vulnerabili o accessi tramite credenziali rubate.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
grazie!per la risposta il server e un server dedicato ! dove ci gira un cms dedicato!ora provo a scansionare il picci con il quale effettuo gli aggiornamenti via ftp!!magari ho qualche accidente
Nessuno ha mai detto che la formattazione del server sia banale, ma ti assicuro che ho formattato decine di server di clienti presso le loro server farm e senza creare grossi disservizi ai loro clienti... al di là del primo accesso dell'hacker che può essere stato da un'applicazione non aggiornata o tramite una password recuperata in qualche modo (keylogger, bruteforce, ...), se hanno avuto un accesso root alla macchina (e se non sono dei neonati) appena preso un accesso ftp ti hanno montato un rootkit e adesso hanno la possibilità di creare utenti, installare software, cambiare password, ...
Prova a guardare se c'è qualcosa di sospetto nell'elenco degli utenti della macchina (attento che di solito gli utenti creati hanno nomi molto simili a quelli di sistema... ad esempio ww-data al posto di www-data o r00t al posto di root...). Se trovi qualcosa lì allora vuole dire che hanno avuto accesso root e che quindi qualunque cosa diversa dalla formattazione è una bataglia contro i mulini a vento.
Se nell'elenco utenti non trovi nulla allora puoi sperare di non dovere formattare, nella consapevolezza che potresti tirarti dietro il problema per mesi per poi arrivare comunque alla formattazione...
Permessi di invio
Rispondi quotando