Ho uno spazio web condiviso presso uno dei principali fornitori italiani. Prevede Windows, MSAccess, ASP 3.0; nulla di particolare quindi.
Qualche giorno fa ho trovato un file (feria.asp) nella root; da una rapida indagine mi è sembrato che esso è conseguente all'installazione di Apache che mai mi son sognato di fare. Oltretutto io ho IIS (7.0 da contratto ma in realtà i log per la statistica sono marchiati 6.0) !
Poco tempo dopo ho trovato - casualmente - altri 3 file "spuri" che sicurissimamente non avevo caricato io (ma nemmeno il feria.asp) . Uno di essi non sono neanche riuscito a cancellarlo; lo hanno dovuto fare loro su mia segnalazione. Ho il sospetto che fosse un LDB.
Gli altri due sono
- #tumyx.asa (in realtà è un archivio MSAccess MDB)
- lkryqrqu.asp (che allego dopo averlo rinominato in TXT) per vostra curiosità; si tratta apparentemente di un codice abbastanza complesso che interagisce con il server e registra certe informazioni sull'MDB
Contattata prontamente la ditta essa, dopo 2 giorni 2, mi ha risposto di aver cancellato il file sopra citato e di aver perfezionato le politiche di sicurezza.
Però dopo qualche giorno il fenomeno si è ripresentato, con diversi strani nomi in altre cartelle; anch'essi un falso MDB ed un ASP. Poichè il sito è assai complesso, con cartelle e sottocartelle, non escludo che ci sia ancora adesso qualche file "anomalo" la cui funzione mi è del tutto sconosciuta.
Come potrei, ad esempio avere una lista completa di nomi di files da esaminare per scoprire qualche altro intruso. Ma soprattutto, è o non è compito dell'ISP, evitare questi - chiamiamoli così - inconvenienti ?
Ogni osservazione è la benvenuta. Grazie per l'attenzione.
Rispondi quotando