mi e' arrivata una email del mio fornitore del server dedicato dicendo che questo hacker ha messo un malware nel mio sito, nello specifico dice che:
data: 2 giorni fa
id: cest
virus name: 1057722
dominio: defaced_site
url: il mio ip con uno dei miei siti
e poi esce un link tipo: http://www.miosito.it/HACKED%20BY%20...4R4THUSTR4.htm
Controllando nel mio spazio web non trovo ne la directory e ne il file htm
Come dovrei fare per capire dove sta questo malware?
Sapete come agisce sto tipo?
non credo sia questo il forum giusto per questa domanda, c'e' una sezione apposita riservata alla sicurezza, e' meglio che chiedi li'.
Progettista elettronico, appassionato di informatica dal 1982, sistemista Linux dal 2002, sono consulente tecnico del Giudice per le indagini preliminari, valuto richieste di consulenza, in ambito Voip/Telefonia anche con grado di sicurezza militare.
ah ok, allora scrivo li, pensavo di doverlo fare qui visto che il server e' linux
Eppoi zaradustra è un nick comune, semmai contatterei il tuo fornitore di servizio e gli chiederei se sa esattamente come ha fatto l'hacker (secondo me è un bot) a inserirsi nel sistema, se ti da notizie false e tendenziose o meglio non sa come la colpa è quasi sempre suae te sei stato preso di mira per caso o forse, altra domanda da girare al sis admin, quanti domini sul server sono stati violati?
Oppurep ensa ai tuoi affezionati visitatori (tramite statistiche dettagliate) conosci che vorrebbe farti una cosa del genere, è probabile che trovi qualche dominio.ru che ti ha visitato.
no, in pratica dicono che c'e' una specie di attacco che viene da un mio sito verso un server tedesco, abbiamo controllato e non abbiamo trovato niente di anomalo.
Il problema e' che questi dicono di volere 100 euro per le prime 2 ore di lavoro e 50 euro per le successive ore di lavoro per trovare questo malware o trojan.
Mi sono un po' incazzato chiedendogli su quali basi il gestore di un sito tedesco li contatta dicendo che io ho un malware e' su un server e loro in base a questa email prendono e minacciano che se non lo troviamo mi staccano la connessione...
Noi non abbiamo rilevato niente, se loro mi danno maggiori informazioni in merito allora sono anche disposto a pagargli sti 100 euro, ma su una base, non cosi' adcapocchiam come si dice dalle mie parti
Visto che il server è linux e visto che la compromissione sembra a livello di webserver, la cosa migliore per "pararti le chiappe" è disabilitare temporaneamente il sito web in questione, così il tuo provider non ti rompe più. Scaricate il contento del sito e il database e fate una bella analisi del codice. Controllate i file modificati o creati nell'ultima settimana.
Ovviamente avvisate il vostro cliente, il proprietario del sito, di questo problema e spiegate per bene cosa è successo e cosa dovete fare, così anche da quel punto di vista siete a posto.
Piccolo suggerimento: quando affittate spazio web SENZA essere voi a garantire gli aggiornamenti del software installato o SENZA essere voi a occuparvi della creazione del sito, fate sempre sottoscrivere una TOS nella quale dichiarate che il cliente è il solo responsabile della sicurezza del suo sito e che potete rifarvi su di lui in caso il sito provochi problemi di stabilità o sicurezza del server, addebitandogli eventuali costi di analisi eccetera.
Permessi di invio
Rispondi quotando