Defacement

**caicomelico** · 18-06-2007, 17.25.25

Ciao a tutti,
volevo chiedere una mano a risolvere un problema di defacement.
Il 13 giugno scorso alcuni soggetti (presumo portoghesi dal messaggio) mi hanno sovrascritto l'index.html
Il mio sito è costruito con un CMS (Mdpro) non ultima versione ma non ho letto di violazioni di questo tipo.
In passato è successo che (presumo gli stessi) mi scrivessero post nel forum, o infilassero una pagina html nell'albero del cms, sfruttando un baco del forum. Aggiustato quello e modificando le password tutto è finito.
In questo caso mi sembra + grave e vorrei capire meglio:
- è possibile che un baco al cms permetta l'accesso di root?
- è possibile che abbiano bucato il server di AV? (la mia password ha + di 8 caratteri maisucoli/minuscoli)
- è in vostro potere darmi una mano a capire da dove siano entrati?

grazie ciao
il sito in questione è caicomelico.altervista.org

**powser** · 18-06-2007, 17.43.45

bucare il server di av... mi pare abbastanza impossibile visto che in questi server ci sono migliaia di siti
un consiglio..usa sempre l'ultima versione dei cms, così da avere meno bugs possibili
può essere che hai tappato un bug, ma non quello che hanno usato i craker per bucarti il sito.. i cms e i forum, si aggiornano quasi esclusivamente per correggere i bugs.

**funcool** · 18-06-2007, 18.05.02

Naturalmente se utilizzi sempre la stessa password dell'altro defacement è molto probabile che riescano ancora a fare modifiche sul tuo sito.

**Gianluca** · 18-06-2007, 18.06.56

è possibile che un baco al cms permetta l'accesso di root?

Dipende dalle circostanze, in teoria sì se l'applicativo può leggere e scrivere i tuoi files.

C'è anche da dire che la password per accedere al tuo account è in chiaro in uno dei files di configurazione, questo significa che la compromissione dell'applicativo potrebbe in teoria renderla leggibile da qualcuno che avrebbe quindi pieno accesso all'account.

Come ulteriore misura di sicurezza ti conviene modificarla e rimuoverla da lì, dal momento che è peraltro facoltativo averla nel file di configurazione (vedi faq e pannello)

**caicomelico** · 18-06-2007, 18.08.51

L'ultima versione del CMS? ok, si può fare, ma rimarrei comunque senza sapere da dove sono entrati: l'altra volta l'ho capito e poi ci ho messo una pezza.
Tra l'altro ho anche (qualche tempo dopo) aggiornato tutto il CMS.
Se l'errore non è il cms è inutile che faccia il (lungo) lavoro, ritrovandomi con lo stesso problema.
Il mio interrogativo era rivolto a quello.
Già verificare se è stato riscontrato qualche intrusione nei server in quel periodo potrebbe scartare una delle 2 ipotesi, no?

EDIT: Grazie Gianluca, bella idea la tua.
In realtà credevo fosse criptata, farò un controllo.

Grazie ciao

**Gianluca** · 18-06-2007, 18.19.34

Hai anche delle versioni vecchie dello stesso CMS ancora online, visti i precedenti devi liberartene completamente, altrimenti il lavoro di aggiornamento è assolutamente vano.

**caicomelico** · 18-06-2007, 18.21.22

E' vero ma sono protette con file .htaccess
Ad essere precisi c'è anche quella nuova che sto adattando per accogliere i vecchi contenuti: è un lavoro lungo.

**Gianluca** · 18-06-2007, 18.30.29

Controlla anche tutti i moduli che consentono a terzi di fare l'upload di qualcosa (immagini, files, altro), è sufficiente una falla nella convalida dei percorsi per permettere a chiunque di caricare/sovrascrivere qualsiasi files nel tuo sito, è pratica altrettanto comune.

**caicomelico** · 19-06-2007, 10.16.10

Ho fatto alcune indagini (non definitive ma significative) per scoprire che la tecnica di attacco è la stessa della volta precedente: php shell in una dir del CMS.

A questo punto penso si sia trattato di una falla del CMS, non so quale... il lavoro non è finito!

Grazie cio

Discussione: Defacement

LinkBack

Strumenti discussione

Display

Defacement

Regole di scrittura