On 06/06/13 11:30, Dario Corno wrote: > Stamattina, guardando i log del mio server ho trovato un po' di tentativi > maldestri di accedere a pagine inesistenti sul mio server : i classici > wp-login.php varie forme di admin.php login.php administrator.php e via > dicendo...ed altri grandi classici dei CMS pi? diffusi.
d'accordo. > Gli IP da cui provengono le richieste appartengono ad una societ? Messicana > che si occupa di sicurezza informatica. il che, tra tutte le *altre* ipotesi, suggerisce anche quella di una scansione a fini statistici i cui risultati potrebbero finire in un whitepaper della suddetta società. > Per ora, vista la suddetta ignoranza, ho semplicemente aggiunto una regola > al firewall per bloccare tutto il traffico proveniente da quel range di IP. > Chiedo a voi, devo prendere qualche altro tipo di accorgimento ? innanzitutto grazie per la parola accorgimento al posto della parola provvedimento, che ha costituito il 99% delle domande di questo tipo negli ultimi 10 anni :-) : prendere provvedimenti per una scansione di questo tipo è da ossessivi-compulsivi ovvero da paranoici. Vorrei utilizzare l'odioso sistema delle similitudini fuorvianti per rispondere alla tua domanda. Sei mai stato in un ufficio postale in periferia o in un piccolo centro urbano nel giorno di pagamento delle pensioni? Chi sa quanti ti hanno fotografato, osservato, studiato per includerti o meno in un bersaglio di uno scippo. Vivi in una villetta o in una casa semi-indipendente un po' fuori mano? Chi sa quanto hanno osservato le cancellate, i sensori di allarme, quanto hanno segnato gli orari di ingresso e uscita dall'abitazione, per includerti o meno in una ipotesi di furto con scasso. Eppure, non hai preso alcun accorgimento. Vediamo il caso contrario. Un conoscente ha chiesto in una ML tempo fa come valutare quei sistemi di allarme fai da te con combinatore telefonico. Nel giro di tre Reply si è arrivati al cuore del problema: cosa fare se tagliano la linea telefonica e fanno jamming sul segnale GSM? Due modi differenti di valutare il problema. Il *troppo prima* e il *troppo dopo* :-). Hardening, aggiornamenti, awareness e formazione continua. Il monitoraggio deve aiutare a capire cosa sia successo, non cosa potrebbe succedere se i bravi arrivassero dopo aver visto le sonde degli innocui. In casi fortunati, il monitoraggio mostra cosa *stia* succedendo, in tempo reale, ma di sicuro non dovrebbe occupare il tuo tempo, soprattutto con wp-login.php. Il motto della mentadent la fa spesso da padrona anche nella sicurezza informatica. Poi un po' di incident handling non fa mai male. f. -- [:: FuSyS pub 1024D/B8FC37F9 2002-09-03 <[email protected]> YES. It seems today I don't have anything better to do. Go figure. GU/GCM d- sC++ UL+++>UL++++ E--- W-/W-- N+ w O++@ Y+ GPG+++ t++@ b++ Public Key at http://www.s0ftpj.org/misc/fusys.asc ::] ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
