Visualizzazione risultati 1 fino 19 di 19

Discussione: Fabrizioroccapc defacciato?

  1. #1
    Guest

    Predefinito Fabrizioroccapc defacciato?

    A partire dal 1 settembre chi visita il mio sito abitualmente si sarà accorto che nella mia homepage manca un banner. Ed è proprio quello di Fabrizio Rocca, il webmaster che durante la notte tra l’uno e il due ha subito un attacco informatico.

    Nel suo sito si parla di un deface, ma non è specificato l’autore.

    Adesso al posto del suo sito c’è un messaggio che riporta:

    “A causa di un deface del sito avvenuto nella notte tra il 1 e il 2 Settembre 2010, la maggior parte dei file del sito sono andati perduti.

    Il database per fortuna è ancora integro.

    Ora dovrò ricostruire tutto il sito quasi daccapo, percui mi aspetta un lavoro che durerà molte settimane.

    Appena finito, sposterò tutto il sito in un nuovo web host.

    Grazie a tutti i visitatori e a tutti quelli che mi hanno aiutato.”

    Come avranno fatto?

  2. #2
    L'avatar di zingus
    zingus non è connesso Utente giovane
    Data registrazione
    02-09-2003
    Messaggi
    83

    Predefinito

    1) Hai considerato la possbilità di chiederlo a fabrizioroccapc?

    2) Magari la sua password era "password"

    3) CMS buggato e mai aggiornato (perché i cms odierni se li customizzi un minimo diventano impossibili da tenere aggiornati)

  3. #3
    Guest

    Predefinito

    Citazione Originalmente inviato da zingus Visualizza messaggio
    1) Hai considerato la possbilità di chiederlo a fabrizioroccapc?

    2) Magari la sua password era "password"

    3) CMS buggato e mai aggiornato (perché i cms odierni se li customizzi un minimo diventano impossibili da tenere aggiornati)
    1: Non ho ricevuto risposta :(
    2: Secondo me no, non è mica scemo...
    3: MI sembra non usasse cms...

  4. #4
    L'avatar di alemoppo
    alemoppo è connesso ora Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,757

    Predefinito

    se non ha usato un CMS, possono essere dei bug che ha lasciato scrivendo con PHP !

    Ciao!

  5. #5
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    In ogni caso, sembra si voglia trasferire (come se fosse stato defacciato a causa dell'hosting).
    Quando e se lo defacceranno ancora, capirà che il problema è nello script e non nell'hosting.

  6. #6
    Data registrazione
    30-03-2009
    Residenza
    Bolzano
    Messaggi
    127

    Predefinito

    E' colpa di un bug nell'uploader.
    Il deface è stato fatto sfruttando è piccolissimo bug dell'uploader, ovvero il defacciatore ha inviato un file con estensione .php.html con del codice php che cancella tutti i file (il bello è che avevo bloccato l'invio di file php proprio per questo rischio).

    Non stò assolutamente dando la colpa ad Altervista di ciò che è accaduto, è solo che era da tempo che avevo in mente di cambiare host.

    Inoltre avevo una password abbastanza lunga con lettere e numeri.

  7. #7
    L'avatar di alemoppo
    alemoppo è connesso ora Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,757

    Predefinito

    beh.. è già capitato che hanno caricato un file che danneggiava tutto... Io di solito, sostituisci il nome aggiungendo un suffisso del tipo *.cancellare o cose simili, in modo che non siano dannosi!..

    Ciao!

  8. #8
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Beh, un *php.html è comunque un html e quindi come hanno fatto ad eseguire del codice php?

  9. #9
    makingweb non è connesso Utente attivo
    Data registrazione
    30-06-2009
    Messaggi
    281

    Predefinito

    Citazione Originalmente inviato da zingus Visualizza messaggio

    2) Magari la sua password era "password"
    oh no! ora che avete scoperto la mia password dovrò modificarla xD

  10. #10
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Citazione Originalmente inviato da darkwolf Visualizza messaggio
    Beh, un *php.html è comunque un html e quindi come hanno fatto ad eseguire del codice php?
    Quando attivi PHP5 sul .htaccess, vengono interpretati tutti i files che includono nel nome del file .php, che sia alla fine o meno. Provare per credere.

  11. #11
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Citazione Originalmente inviato da karl94 Visualizza messaggio
    Quando attivi PHP5 sul .htaccess, vengono interpretati tutti i files che includono nel nome del file .php, che sia alla fine o meno. Provare per credere.
    E' vero, viene interpretato come php, questo bug l'avevo segnalato a saitfainder ed ho visto che con il nuovo php engine l'hanno risolto.

  12. #12
    L'avatar di darkwolf
    darkwolf non è connesso Salvatore Noschese
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,558

    Predefinito

    Citazione Originalmente inviato da andreafallico Visualizza messaggio
    E' vero, viene interpretato come php, questo bug l'avevo segnalato a saitfainder ed ho visto che con il nuovo php engine l'hanno risolto.
    Touché, ignoravo la sua esistenza.

  13. #13
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Ho provato e l'hanno risolto.
    Ultima modifica di andreafallico : 06-09-2010 alle ore 20.22.27

  14. #14
    Data registrazione
    30-03-2009
    Residenza
    Bolzano
    Messaggi
    127

    Predefinito

    Infatti era in php 5, e il defacciatore aveva inviato un file .php.html , poi è bastato che lo aprisse per scatenare l'inferno.

  15. #15
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Citazione Originalmente inviato da darkwolf Visualizza messaggio
    In ogni caso, sembra si voglia trasferire (come se fosse stato defacciato a causa dell'hosting).
    Quando e se lo defacceranno ancora, capirà che il problema è nello script e non nell'hosting.
    In questo caso però un po' della colpa era di Altervista.

  16. #16
    Data registrazione
    30-03-2009
    Residenza
    Bolzano
    Messaggi
    127

    Predefinito

    No, la colpa non era di altervista, la colpa è mia che ho fatto una pagina in php, senza aver prima controllato che fosse sicura.

  17. #17
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    La gestione così strutturata delle doppie estensioni non è un bug, è il normale comportamento di Apache: http://httpd.apache.org/docs/2.2/mod/mod_mime.html

    Può essere poco noto e, sotto certi punti di vista, discutibile ma così è, e lo è da anni (vedi documentazione di Apache 1.3 http://httpd.apache.org/docs/1.3/mod/mod_mime.html)

    Il nuovo phpengine non funziona se richiamato con la doppia estensione, ma questo non è dovuto ad una correzione da parte di AlterVista ma piuttosto dal fatto che viene attivato diversamente.

    Ogni applicativo che effettua una validazione sull'upload dovrebbe, per molte ragioni, non basarsi esclusivamente sull'estensione del file.
    Lo stesso meccanismo ovviamente si va ad applicare ai files .gif.html, jpeg.html ecc ecc...
    In ogni modo per impedire l'esecuzione di files php con doppia estensione è sufficiente inserire in .htaccess qualcosa del genere:

    Codice:
    <FilesMatch "\.php\."> 
    Order Allow,Deny
    Deny from All
    </FilesMatch>
    L'inserimento della direttiva FilesMatch ha tuttavia un impatto non nullo sulle performances e andrebbe aggiunta solo nel caso in cui si stiano facendo girare applicativi che si sospetta possano avere simili problemi di sicurezza.
    Gianluca

  18. #18
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Ma io caricavo(nel mio spazio web) immagini contenenti codice php, senza doppie estensioni.
    Ultima modifica di andreafallico : 07-09-2010 alle ore 12.28.53

  19. #19
    Guest

    Predefinito

    scusate non ci capisco molto di queste cose, ma per caricarlo avevi un upload di file dal sito?

    io ricordo un paio di anni fa tentatori di hackerarmi il sito, fortunatamente altervista alla terza pass errata bloccò il sito e mi arrivò una mail dicendo che l'accesso all'amministrazione era bloccata per tot ore in quanto avevano provato ad entrarmi nel sito e mi diedero pure l'ip e la provenienza, ma ora se riescono a entrare in questo modo non c'è da dormire tranquillo e mi chiedo anche che scopo hanno queste persone a danneggiare il lavoro altrui, insomma nn hanno di meglio da fare?

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •