• E
    Bannato User Attivo

    sito in html defacciato

    mi hanno defacciato un sito vecchio....fatto tutto con html.
    Com'è possibile? potrebbe essere una falla nella sicurezza del server?
    ho contattato l'assistenza....sono curioso di sapere cosa dicono...

    il sito è [url=http://www.auto-usate-net.com]Crackers_Child Was Here

    0
  • E
    Bannato User Attivo

    ecco la risposta:

    Cross hacking su alcuni siti del nodo w-02

    01/08/2006 ore 9:44. Sul nodo w-02, approfittando di un del solito bug di cross-site di uno script php, sono stati fatti dei defacement (ingressi non autorizzati con modifica della home page) verso un centinaio di siti.

    Non ci e' chiaro perche' sono stati colpiti "solo" un centinaio di siti. Sembra che le vittime del defacement siano quelle che avevano i permessi 777 sulla cartella htdocs. Stiamo indagando sul perche' alcuni siti avessero quei permessi.

    Gia' nella giornata di oggi sistemeremo tutto e controlleremo i permessi.

    Intanto invitiamo i clienti ad aggiornare eventuali gli script in uso nei propri siti web, ripristinare i file alterati, dopodiche' potranno autenticarsi al CPANEL e cliccare sull'opzione "Rispristino spazio web", l'apposita funzione che ripristina i permessi in modo ottimale e sicuro.

    Ora stiamo procedendo ad effettuare tutte le verifiche del caso. Seguiranno aggiornamenti.

    Ore 11.40. Stamattina abbiamo avviato uno script per verificare e reimpostare i permessi della cartelle root, htdocs e cgi-bin di ogni sito. Tra poco, per sicurezza ulteriore, faremo un'aggiornamento della versione del kernel cosi da cautelarci da eventuali tentativi di escalation dei privilegi.

    Ore 14.57. Comunichiamo che tra le 15.00 e le 17.00 di oggi e' previsto, solamente per il nodo 2, un fermo di 10-15 minuti per l'aggiornamento del kernel.

    02/08/2006 ore 12.28. Abbiamo scoperto la modalita' con cui e' stato eseguito l'attacco. E' stato utilizzato uno script per cross-site hacking caricato in un sito "bucato" di un nostro utente.

    Questo script che si occupava di sostituire il file index.html e index.php, e' riuscito a funzionare solo in quei siti che avevano delle cartelle htdocs settate a 777, mentre per gli altri siti (la stragrande maggioranza) non c'e' stato alcun problema.

    Stiamo indagando sul perche' tali cartelle si trovavano settate a 777, cosa che puo' essere successa per un failover della nostra procedura di attivazione.

    Gia da ieri, tutti i permessi delle cartelle sono stati correttamente ripristinati da noi, e per evitare ulteriori sorprese abbiamo deciso di aggiornare tutti i nodi all'ultimo kernel disponibile, sebbene il problema verificatosi non sia dipeso da esso.

    A causa dell'aggiornamento di alcune librerie c'e' stato un problema di autenticazione dell'FTP, problema ora risolto.

    Rendiamo noto, visto che alcuni ce ne chiedono ragione, che la versione FTP installata e' stata correttamente patchata e non presenta vulnerabilita' note.

    Vi invitiamo a ripristinare i file index.html e/o index.php che sono andati sovrascritti e comunque, anche se non e' cosa prevista dalle nostre norme di fornitura del servizio, se proprio vi manca qualche file potete aprire un ticket e vedremo di aiutarvi.

    Per qualsiasi altro problema possiate incontrare siete invitati ad aprire un ticket.

    Grazie e buona giornata.

    0
  • L
    User Attivo

    Probabilmente.. ho hanno trovato un sito vulnerabile e ci hanno installato una shell in php... e da li hanno fatto tutto.. o hanno bucato il server...

    Probabilmente qualcuno usava uno script datato e poco sicuro...

    0
Effettua l'accesso per rispondere