Commenta l'articolo: [20060801] Cross hacking su alcuni siti del nodo w-02

sono stato defacciato anche io

ho sostituito l'index html e tutto ora funzia grazie a tutti

Crackers_Child

Confermo il fatto che i permessi non c'entrano nulla. A me non solo s'e' limitato a modificae la pagina index, ma e' riuscito a cancellare TUTTE le cartelle logs del sistema e il file /bin/login (rendendo cosi' impossibile l'accesso da console). Notare che ogni sito e' in ambiente chroot. Deve aver sfruttato una vulnerabilita' di qualche servizio.... Ma quale? :-(

Meglio prevenire...

Anche il mio sito è stato colpito dall'attacco. A parte il fatto che i miei file e directory non sono settati a 777, vorrei fare alcune considerazioni. Intanto spero che l'utente/i che hanno permesso l'attacco siano stati avvisati personalmente, ovvero tramite mail e non semplicemente tramite questo forum. inoltre secondo me sarebbe il caso di mettere a disposizione di tutti un vademecum su come rendere più sicuri il proprio sito. Ad esempio io non ho ben chiaro cosa intendiate con script php "bucati"....

Che sia il cms

Anche uno dei siti da me gestiti è stato defacciato. Guarda caso l'unico sul quale avevo installato Joomla. Tutti gli altri, basati su textpattern, non sono stati toccati. Ora, controllandoli uno per uno, noto che un'altro basato su script php miei, è stato attaccato. Ora porterò anche questo sotto txp. Spero che il problema derivi dal tipo di cms o script da noi utilizzato, e non aggiornato.

Drupal?

Oggi ho notato che Drupal Security Team ha rilasciato una patch proprio per un bug che permetteva un "cross-site scripting". Dato che il mio sito e quello di un amico sono basati proprio su Drupal, volevo capire se c'entra qualcosa. "A malicious user can execute a cross site scripting attack by enticing someone to visit a Drupal site via a specially crafted link." "The security contact for Drupal can be reached at security at drupal.org or using the form at [http://drupal.org/contact]."

permessi di default

Personalmente non ho mai cambiato i permessi che erano impostati di default sulla htdocs. Eppure anche il mio sito è stato defacciato. Speriamo in una soluzione duratura al problema.

defacement

Solo oggi mi è stato segnalato che il sito non era più in funzione e quando sono andato per collegarmi e fare il ripristino dei file modificati mi sono reso conto che oltre a modificare i file sono stati modificati anche le password di accesso e quindi non posso fare nulla. Nota a calce i permessi sulle directory sono quelli stsndard che io non ho mai modificato. Aspetto che vrnga fatto un intervento da aprte vostra per ripristinare le condizionidi avoro.

backup???

a parte la questione permessi ... che cmq nn erano di sicuro 777. è imoensabile ricaricare tutti i file index.* nn sarebbe melgio fare il backup direttamente di tutto ... al 30 luglio??? ...

COMPLIMENTI

A me x fortuna enssun problema, afccio anche abckupr egoalri, però devo fare I COMPLIMENTI ai ragazzi di TOP HOST xkè queste segnalazioni sono molto utili e apprezzo la politica di comunicazione che avete. Bravi!

Permessi

Idem anche per i 3 blog che gestisco. Nessuno ha i permessi 777 ma solo 740. Che cosa c'è di vero allora in questo?Non abbiamo mai modificato i permessi ergo la cosa è da ricercare in qualcosa che è saltato da qualche altra parte.

Non accanitevi!!!

Anche io sono uno dei coinvolti, ma voglio spezzare una lancia a favore di Top Host: lavoro in una webagency e anche i nostri fornitori di hosting (molto blasonati) che paghiamo mooolto più di 10 euro, di tanto in tanto subiscono attacchi... per una cifrà così bassa credo che un inconveniente ogni tanto si possa anche sopportare! Inoltre viene sempre risolto tutto nel giro di una giornata.

Sito Hackerato

Salve Sinceramente piu' che stare a discutere dei permessi della cartella htdocs (che già si è capito nessuno avesse sui 777) direi che è fondamentale è assolutamente onesto nei confronti di tutti quelli che hanno uno spazio Web su Tophost, conoscere al piu' presto le tecniche ed i motivi di tale intrusione. Questo per poterci cautelare, per sapere i pericoli a cui andiamo in contro, si tratta solo di un semplice script php o di qualcosa di piu'? Colui e coloro che sono entrati non hanno alcun dato nostro o inerente ai nostri accessi? Grazie

...e adesso?

tutti i files index.* sono andati perduti?

i permessi non sono

i miei permessi sono quelli di default, ma tutti i miei siti e sottodomini sono stati hackerati. Visto che a quanto pare molta gente vi vuole male io blinderei ancora di più i server facendo un' analisi seria ed approfondita. Quanti guai in poco tempo...siamo un pò stufi credo...

permessi

nessun permesso 777 MAI!!! ma siamo pazzi.. e cambio anche regoalrmente paasword di accesso.. però è capitato lo stesso...

crackers_child e irraggiungibilità

Confermo il defacement a firma crackers_child tra domenica e lunedì con uno script che ha riscritto tutti gli index.php in tutte le directory. Ho ripristinato da backup già ieri sera ma ora -13:15 di martedì- il sito www.musicblob.it è irraggiungibile sia via http che ftp. Come mai? Lavori in corso? Sarebbe inoltre MOLTO utile sapere se l'hack sfrutta solo leggerezze sui permessi o qualche insicurezza specifica legata alla versione di PHP. Grazie Nicola D'Agostino per MusicBlob.it

CPANEL

Anche un file del control panel risultato defacciati con quello relativo alle info sul server.

Permessi

Anche io ho avuto lo stesso problema, ma i permessi della cartella htdocs non erano certo 777

Defacement

Non riesco a capire come sia possibile una cosa del genere. Sopratutto per quello che affermate voi. Due siti che curo sono stati defaced anche se non sono installiti script (c'era solo una pag di benvenuto) e la htdocs era settata come la fornite voi. Direi che sta diventando un po' impossibile lasciare i siti qui...

Due defacement

in realtà il server è stato colpito da due defeaent, di cui il primo nella serata di ieri, e il secondo nella mattinata odierna, firmati da due soggetti diversi. crackers_child e kuwait hacker. Spero che i tecnici risolvano al più presto il problema, che è causa di notevoli seccature.

mass defacement su w-02

Vi sbagliate. Io non avevo 777 sulla cartella htdocs, ma il sito è stato defacciato lo stesso

Mass defecement

Non è possibile .... voi scrivete questo: "Sul nodo w-02, approfittando del solito bug di crosssite di uno script php"...il solito bug?????

escamotage temporaneo

Non sto a dire quanto mi stanno antipatici i lamer... ma se vi interessa c'è un piccolo escamotage temporaneo per rimettere in pista il sito: entrate nel pannello di controllo, sezione Redirezione sito e impostate come redirezione una pagina del vostro sito a patto che non sia la "index" che deve caricare di default. Qualsiasi pagina interna va bene. Così, nel mentre che tophost sistema si può star tranquilli che gli utenti non vedono il messaggio di hack -_-. Forza tophost, sono con voi!!

ripristino

Salve sono uno dei siti convolti, me ne sono accorto sta notte alle 2 passate e mi è venuto un po il panico (ancheperchè ero stanco morto) ed ho scritto due tickets assolutamente incomprensibili. Cmq a me sono stati riscritti tutti gli index.php. Volvevo sapere se c'era modo da parte di ripristinare anche i file magari grazie a qualche buckup.

permessi 777 ?

Sul sito www.vino-biologico.it la cartella htdocs aveva, e ha tuttora, permessi 740...

Contribuisci anche te aggiungendo il tuo commento! Basta compilare i campi che seguono.

Nome:
Sito web:	http://
* Oggetto:
* Commenti:

* I campi contrassegnati dall'asterisco sono obbligatori.

Nota che per evitare abusi il tuo indirizzo IP [38.107.179.231] verrà tracciato.