Gabriele Brosulo wrote:
Aggiungerei che se la macchina è in hosting (su cui tipicamente è condiviso
anche l'account con cui gira il processo del web server) sarebbe opportuno
segnalare allo staff tecnico il problema dato che "potrebbe anche essere
che sia stata sfruttata qualche vulnerabilità legata al servizio web di uno
dei siti presenti sul server e sia dilagata sul "dominio" in oggetto e
magari ottenere qualche indicazione in merito.
Ciao a tutti, cerco di riassumere la situazione..il server in questione non
è in mia completa gestione e quindi non ho potuto fare più di tanto ed
aggiungo che non si tratta di un server 'condiviso' nel senso che sulla
macchina vi è solo lui.
Abbiamo provveduto ad eliminare tutta la directory var/www/html e fare un
restore da un backup 'sicuro' ed infatti dopo tale operazione tutti i siti
web ospitati dalla macchina hanno ripreso il loro aspetto 'normale' ed
infine abbiamo provveduto ad aggionare tutti i pacchetti (per essere precisi
i passi sono stati al contrario nel senso che abbiamo cancellato, aggiornato
e poi fatto restore).
Putroppo non siamo riusciti ad inviduare (prima di procedere alla
cancellazione) dello script php o altro script 'anomalo'..tutto ci sembrava
(ma evidentemente così non era !) nella normalità nel senso che non vi erano
file con nomi diversi da quelli attribuiti da chi sviluppa siti web suò
server in questione.
Facendo una analisi tutti i file sono stati modificati alla stessa ora e
sono state modificate tutte le pagine default, index e similari, inoltre
facendo una analisi del traffico (quando vi erano ancora le pagine web
'ritoccate') ogni volta che si accedeva alla index di un sito si poteva
osservare:
82.x.x.x - - [30/Jun/2010:17:02:59 +0200] "GET /index.php/Contatti/
HTTP/1.1" 200 2405
http://www.google.it/url?url=http://www.mydomain.it/index.php/Contatti/&rct=j&sa=X&ei=i1wrTNf3G5Dy0gTc6PznAg&ved=0CB4QqwMoAjAA&q=mydomain.it&usg=AFQjCNE0HE-sTRa1OZH8jHJesiimEdNdrw
Potete consigliarmi qualche scanner (oltre a Owasp) che posso usare per
fare qualche controllo aggiuntivo ?
Grazie.
------
Salvatore.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
