Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
come agire in caso di attacco
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Citare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza dell'ultima regola porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
8 messaggi
• Pagina 1 di 1
come agire in caso di attacco
da nik600 » dom ott 08, 2006 11:41
- nik600
- Linux 2.4
- Messaggi: 449
- Iscritto il: lun mar 15, 2004 1:00
Re: come agire in caso di attacco
da IceSlack » mar ott 10, 2006 2:49
nik600 ha scritto:Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
denuncia
-
IceSlack - Linux 3.x
- Messaggi: 1313
- Iscritto il: dom ott 30, 2005 14:27
da nik600 » mar ott 10, 2006 14:13
probabilmente mi sono spiegato male, il fatto è appunto questo come si fa la denuncia?
io mi sono messo via tutto i log, le operazioni fatte, i files buttati sul server, ecc ecc
Qualcuno di voi ha avuto esperienze dirette su come si fa la denuncia?
devo farla fare alla webfarm che mi fa l'housing?
io mi sono messo via tutto i log, le operazioni fatte, i files buttati sul server, ecc ecc
Qualcuno di voi ha avuto esperienze dirette su come si fa la denuncia?
devo farla fare alla webfarm che mi fa l'housing?
- nik600
- Linux 2.4
- Messaggi: 449
- Iscritto il: lun mar 15, 2004 1:00
da capitanfuturo » mar ott 10, 2006 14:32
Non ho mai avuto questa esperienza ma prova a dare un occhio direttamente al commisariato di polizia di stato on-line http://www.commissariatodips.it/denunciaviaweb.php
-
capitanfuturo - Linux 1.0
- Messaggi: 43
- Iscritto il: gio ott 05, 2006 14:10
- Località: Padova
da nik600 » ven ott 20, 2006 20:24
che delusione...
ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:
"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"
in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc
ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:
"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"
in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc
- nik600
- Linux 2.4
- Messaggi: 449
- Iscritto il: lun mar 15, 2004 1:00
Re: come agire in caso di attacco
da nicolix » mer set 16, 2009 0:16
nik600 ha scritto:Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
ciao ti conviene segnalare questa cosa al fornitore del servizio.....di migliorare i firewall ciao ciao
difficilmente potresti fare qualcosa comunque prova a guardare online i proxy praticamente è un metodo di mascherazione quasi nulla diciamo pari a 0 ci sono dei siti che ti rintracciano dei ip il luogo esatto anche avente un proxy...
seconda cosa cancella tutto quello che hanno messo utilizza password più robuste e se hai possibilità di gestire il server utilizza un buon firewall
3) utilizza un port scan chiudi le porte che non usi e wireshark cosi hai la possibilita di vedere tutti gli ip e vedere se la stessa persona ha più ip o uno solo se si puoi risalire al suo vero ip....
ciao spero di essere stato chiaro ciao ciao
-
nicolix - Linux 2.0
- Messaggi: 163
- Iscritto il: lun mar 09, 2009 7:07
- Nome Cognome: nicolò
- Slackware: 13
- Kernel: 2.6.29.6-smp
- Desktop: kde
- Distribuzione: slackware
Re: come agire in caso di attacco
da albatross » dom feb 06, 2011 19:38
tu comunque fai la denuncia, devi dire alla polizia postale che la vuoi presentare per tutelarti da eventuali reclami da parte delle persone che sono state vittime del phishing originato dal tuo sito.
- albatross
- Linux 1.0
- Messaggi: 97
- Iscritto il: mar ott 21, 2003 0:00
8 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 1 ospite