Attacco hacker

[Teuzzo]

Su un vecchio server win 2000 con apache, ancora funzionante ho ricevuto un attacco hacker.
In poche parole mi hanno sostituito la index mettendo frasi e link islamiche.
Ho in programma di spostare sutto su server linux, però non subito per motivi di tempo.
Qualcuno sa come posso coprire questo buco?

[ceccolino]

prima di tutto devi scaricare tutte le pacth di windows
poi cambiare le password di accesso (probabilmente hanno fatto un attacco bruteforce e sono risaliti alla tua password)

[Teuzzo]

Windows è già aggiornato, e le password sono state cambiate di recente.
Non credo siano risaliti alla password, avrebbero fatto più danni.
Hanno semplicemente cambiato il file index.php.
Secondo me è un bug di apache.
Ho appena reinstallato la versione più aggiornata, vediamo se riescono ancora ad entrare.

[thomas_anderson]

Ciao!
potresti mandarmi in pvt il tuo robots.txt? sei sicuro di non aver lasciato sul server le pagine di benvenuto di apache e quelle di installazione? vedi http://johnny.ihackstuff.com/

[Habanero]

Originariamente inviato da Teuzzo
....
Hanno semplicemente cambiato il file index.php.
Secondo me è un bug di apache.
....

secondo me è un bug delle tue pagine php... controlla bene il codice e verifica che non ti sia scappato nulla. Nella maggior parte dei casi il problema è quello.

[Teuzzo]

Originariamente inviato da Habanero
secondo me è un bug delle tue pagine php... controlla bene il codice e verifica che non ti sia scappato nulla. Nella maggior parte dei casi il problema è quello.

Probabilmente hai ragione, però il bug potrebbe essere nonnelle mie pagine php ma in qualche CMS o in qualche forum installato da altri.
L'Hacker è TURKHACKERLER e facendo una ricerca ho notato che molto siti hackerati hanno un forum, forse phpBB.
Ora provo a fare un indagine per vedere che CMS e che forum sono stati installati sul server.

[Teuzzo]

Nel log di apache ho trovato:

codice:

85.108.83.228 - - [09/May/2006:21:26:44 +0200] "GET /gf/e107_images/avatars/kobrashell.gif.php?op=edit&fname=C:\\\\\\\\\\\\\\\\/www/miosito.it/index.php&dir=
C:\\\\\\\\\\\\\\\\/www/miosito.it HTTP/1.1" 200 60151

Ho aperto il file kobrashell.gif.php dal web e ho scoperto che è proprio da li che riuscivano ad entrare. Nel file c'era la scritta Kobra - AKREP, che è la stessa presente nell'index.php del sito hackerato!

Il CMS dal quale sono entrati è E107.

[Teuzzo]

Ho scoperto che il file kobrashell.gif.php è stato inserito tramite un bug di htmlarea, un editor wysiwyg usato nella vecchia versione del CMS in questione.

[Fedayn]

kobrashell.gif.php dovrebbe essere un attacco di remote file inclusion, tra l'altro pure sbagliato.. ma vabbè non è il posto adatto