Pagina 1 di 1
Il mio sito è sicuro da eventuali attacchi?
Inviato:
sab giu 12, 2010 12:44 pm
da 19Natale83
Ciao a tutti!
Sul mio sito uso lo script "The uploader 2" che gentilmente Andy94 e Ste_95 hanno messo a disposizione di tutti. Va tutto bene, funziona alla grande, ma oggi mi è venuto un dubbio. Un lettore del sito, guarda caso anonimo, mi ha inviato un file che si presenta con un'icona tipica di un'estensione .rar (o. zip, o simili) ma che, quando ho provato ad estrarre sul pc, risulta vuoto. Aprendolo, invece, con il semplice notepad, presenta il suo vero contenuto: un sacco di codice che per me è arabo. Questo webadmin.php (questo il nome del file inviatomi e che vi allego) è scaricabile tranquillamente dalla rete; non ho ben capito a cosa serve ma ciò che mi preoccupa è che, leggendo nel log di Drupal, risulta che questo utente sconosciuto è andato alla ricerca dello stesso file che mi ha inviato nella directory che lui presemeva fosse quella di upload.
Ora mi chiedo, indipendentemente dall'uso di "The uploader"; quanto è sicuro il mio sito? Io non ne capisco niente di eventuali attacchi; cioè, magari li fanno in continuazione e io non lo so nemmeno...
Cos'è quel file che mi ha inviato? Cosa posso fare per stare più sicuro?
Scusate il papiro e grazie!
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
sab giu 12, 2010 6:03 pm
da ste_95
In realtà è proprio l'estensione che fa testo per Apache. Se individua un file che non ha estensione php (ma che comunque ha contenuto php) non importa, lui lo mostra comunque come un file del tipo rar, nel tuo caso.
Detto questo, il comportamento tenuto dallo script è legittimo e l'utente ti ha caricato un file php spacciandotelo per un rar, e il massimo che può fare è distribuirlo a chi vuole, ma non eseguirlo e aprirlo sul tuo server. Puoi quindi dormire sonni tranquilli, cancellare tranquillamente il file e sapere che non sarà fatto nulla al tuo sito.
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
sab giu 12, 2010 6:24 pm
da 19Natale83
ste_95 ha scritto: Puoi quindi dormire sonni tranquilli, cancellare tranquillamente il file e sapere che non sarà fatto nulla al tuo sito.
Benissimo
Grazie ste, ciao!
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
sab giu 12, 2010 6:27 pm
da ste_95
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 7:42 am
da dararag
so di riesumare un post vecchio, ma se hai ancora i log io andrei a vedere se il file è stato aperto anche dal server host, oppure se ha usato qualche programma differente per aprirlo, insomma, tutte le connessioni al file, potrebbe star sfruttando una falla di cui non si conosce l'esistenza, magari un shell con permessi limitati, e sfrutta lo script decompresso appositamente per superare il blocco tramite l'interprete php, sempre se parte con privilegi root
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 7:49 am
da 19Natale83
Ciao darag!
Farei volentieri ciò che mi consigli, se solo capissi ciò che hai scritto
Comunque, fino ad ora, sembra che tutto funzioni a dovere (ma magari ciò non vuol dire niente...).
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 1:15 pm
da dararag
hai i log delle richieste fatte da allora fino ad oggi? e controlla se ci sono state richieste verso quel file, di qualunque tipo, anche da un programma interno, se ci sono state e non le hai fatte tu, comincia a preoccuparti
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 2:44 pm
da Andy94
dararag ha scritto:comincia a preoccuparti
Non è mica un file PHP... Di cosa dovrei preoccuparmi visto che Apache non lo interpreta come tale?
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 8:04 pm
da dararag
non ho detto a forza una richiesta esterna, se riesci ad aprire una shell, e carichi uno script in rar, e poi lo fai eseguire: lavoro veloce, pulito, ed eviti di dare attenzione al file stesso
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 8:17 pm
da 19Natale83
Ragà, scusate, ma io non ci capisco proprio niente. Per certo so solo che quel file che mi ha inviato l'ho cancellato.
In ogni caso, per quanto riguarda i log, a meno che sia io a non capire dove leggere posso dire che non ci sono più perché i più vecchi vengono via via canellati automaticamente.
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
ven lug 09, 2010 9:45 pm
da ste_95
dararag ha scritto:non ho detto a forza una richiesta esterna, se riesci ad aprire una shell, e carichi uno script in rar, e poi lo fai eseguire: lavoro veloce, pulito, ed eviti di dare attenzione al file stesso
Mi sembri un filo paranoico...
Re: Il mio sito è sicuro da eventuali attacchi?
Inviato:
dom lug 11, 2010 7:25 pm
da dararag
vabbè...un filino...poco però...
si lo so, sono parecchio paranoico, anche quando le scrivo io, ci metto più tempo a modificare il codice per impedire qualunque tipo di attacco che io conosca, pure il più improbabile, che a scrivere tutto il resto
io comunque....controllerei EDIT: non avevo letto la risposta, se l'hai cancellato subito...vabbè, non dovrebbe essere successo niente, in barba alla mia paranoia, anche se io prenderei l'abitudine di salvare i log in locale periodicamente...così, per precauzione