Pagina 1 di 1

come agire in caso di attacco

Inviato: dom ott 08, 2006 11:41
da nik600
Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?

Inviato: dom ott 08, 2006 18:23
da andest
lo faccio per te: UP!

Re: come agire in caso di attacco

Inviato: mar ott 10, 2006 2:49
da IceSlack
nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?

denuncia

Inviato: mar ott 10, 2006 14:13
da nik600
probabilmente mi sono spiegato male, il fatto è appunto questo come si fa la denuncia?

io mi sono messo via tutto i log, le operazioni fatte, i files buttati sul server, ecc ecc

Qualcuno di voi ha avuto esperienze dirette su come si fa la denuncia?

devo farla fare alla webfarm che mi fa l'housing?

Inviato: mar ott 10, 2006 14:32
da capitanfuturo
Non ho mai avuto questa esperienza ma prova a dare un occhio direttamente al commisariato di polizia di stato on-line http://www.commissariatodips.it/denunciaviaweb.php

Inviato: ven ott 20, 2006 20:24
da nik600
che delusione...

ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:

"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"

:-(

in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc ;-)

Re: come agire in caso di attacco

Inviato: mer set 16, 2009 0:16
da nicolix
nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?


ciao ti conviene segnalare questa cosa al fornitore del servizio.....di migliorare i firewall ciao ciao

difficilmente potresti fare qualcosa comunque prova a guardare online i proxy praticamente è un metodo di mascherazione quasi nulla diciamo pari a 0 ci sono dei siti che ti rintracciano dei ip il luogo esatto anche avente un proxy...
seconda cosa cancella tutto quello che hanno messo utilizza password più robuste e se hai possibilità di gestire il server utilizza un buon firewall
3) utilizza un port scan chiudi le porte che non usi e wireshark cosi hai la possibilita di vedere tutti gli ip e vedere se la stessa persona ha più ip o uno solo se si puoi risalire al suo vero ip....
ciao spero di essere stato chiaro ciao ciao

Re: come agire in caso di attacco

Inviato: dom feb 06, 2011 18:38
da albatross
tu comunque fai la denuncia, devi dire alla polizia postale che la vuoi presentare per tutelarti da eventuali reclami da parte delle persone che sono state vittime del phishing originato dal tuo sito.