Discussione:
Codice malevolo inserito in un sito
(troppo vecchio per rispondere)
John Doe
2009-11-17 15:36:09 UTC
Permalink
Al sito di un mio conoscente un malintenzionato ne ha modificato il
codice (file asp ed htm) inserendo righe di codice relative ad uno
script malevolo.

1. Come c'è riuscito? Tramite ftp sicuramente no. A causa di
vulnerabilità di codice o di webserver?
2. L'antivirus lato server web avrebbe dovuto rilevare il codice
dannoso?
3. Cosa gli si può installare al fine di prevenire simili problemi?


Grazie
GbC
2009-11-17 17:16:15 UTC
Permalink
Post by John Doe
Al sito di un mio conoscente un malintenzionato ne ha modificato il
codice (file asp ed htm) inserendo righe di codice relative ad uno
script malevolo.
Il sito è un prodotto commerciale o lo ha scritto il tuo conoscente?
Post by John Doe
1. Come c'è riuscito? Tramite ftp sicuramente no. A causa di
vulnerabilità di codice o di webserver?
Perché no l'FTP? Se il pc del tuo conoscente fosse uno zombie si, altro
che no. Comunque propendo per uno dei milioni di bug dei motori dei siti
commerciali e non in circolazione. Scrivendo si fanno errori, che un
buon programmatore corregge appena possibile...
Post by John Doe
2. L'antivirus lato server web avrebbe dovuto rilevare il codice
dannoso?
Se lo script inserito punta a risorse esterne al server cosa mai può
fare il povero antivirus? Non è che uno 'script' sia una cosa malevola
in sé... Discernere è quasi impossibile, almeno fino a che non scarichi
qualcosa di maligno; ma un server non scarica mai nulla perché
normalmente non è usato per navigare.
Post by John Doe
3. Cosa gli si può installare al fine di prevenire simili problemi?
Installare direi nulla.
Usare password ed id adeguati.
Configurare in modo adeguato il server.
Cercare di usare poco le funzionalità 'remote' di configurazione.
Controllare continuamente se ci sono aggiornamenti nelle pagine del
prodotto che si è installato.
Controllare spesso i log per capire cosa accade e chi pastrocchia nei
files del server.

Ciao cia'
--
-> GbC|
www.gbcweb.com
www.chiappori.com
John Doe
2009-11-18 16:29:00 UTC
Permalink
Post by GbC
Il sito è un prodotto commerciale o lo ha scritto il tuo conoscente?
Non l'ha scritto lui; rappresenta l'azienda per cui lavora.
Post by GbC
Perché no l'FTP?
Perchè dai log non risultano accessi il giorno in cui risultano
modificati i file
Post by GbC
Configurare in modo adeguato il server.
Ad esempio come?

Grazie
Berry
2009-11-19 05:52:45 UTC
Permalink
Post by GbC
Perché no l'FTP?
Perchè dai log non risultano accessi il giorno in cui risultano
modificati i file

forse non hai capito... è il computer dove c'è la copia del sito che può
essere infetto o essere stato infetto, e quando hai inserito alcuni file del
sito nel server con l'FTP questo zombie si è infiltrato del server. Non è
detto che appena copiato inizia a lavorare ma può passare anche molto tempo
prima che venga attivato dall'esterno per l'uso a cui è stato creato.
GbC
2009-11-19 10:40:58 UTC
Permalink
Post by John Doe
Post by GbC
Il sito è un prodotto commerciale o lo ha scritto il tuo conoscente?
Non l'ha scritto lui; rappresenta l'azienda per cui lavora.
<CheFatica>
Lo ha realizzato qualcuno o è un prodotto standard?
</CheFatica>
Post by John Doe
Post by GbC
Perché no l'FTP?
Perchè dai log non risultano accessi il giorno in cui risultano
modificati i file
Eliminare i dati dai LOG (in intergalattico standard: 'eliminare le
tracce') è la prima cosa che all'aspirante acaro viene insegnato a fare.
Non dico sia quello, ma non partire dal presupposto di aver esaminato
tutte le possibilità perché altrimenti non ne vieni fuori.
Post by John Doe
Post by GbC
Configurare in modo adeguato il server.
Ad esempio come?
Non ho la sfera di cristallo. Non so che server è, cosa c'è sopra... Se
gugli trovi guide esaustive su tutto lo scibile umano, compresa la
corretta configurazione di un server web.

Normalmente si verifica se il SO è aggiornato e se utenti, diritti,
accessi sono adeguati alle necessità. Quindi, se si usa un prodotto
standard, si verifica se il tutto è aggiornato.

Quindi si ravana nei log per vedere cosa e come fanno gli utenti...
Vedrai che prima o poi qualcosa salta fuori.

Certo che se non ci sono banner esterni nelle pagine (lo script potrebbe
non essere locale ma in un server remoto; viene violato il server della
consociata di cui si mostra il banner, sostituendo quest'ultimo con uno
script malevolo) escludere la violazione della password ftp è dura.
--
-> GbC|
www.gbcweb.com
www.chiappori.com
Continua a leggere su narkive:
Loading...