come agire in caso di attacco

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

come agire in caso di attacco

Messaggio da nik600 »

Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?

andest
Linux 0.x
Linux 0.x
Messaggi: 1
Iscritto il: dom 8 ott 2006, 14:33

Messaggio da andest »

lo faccio per te: UP!

Avatar utente
IceSlack
Linux 4.x
Linux 4.x
Messaggi: 1313
Iscritto il: dom 30 ott 2005, 13:27

Re: come agire in caso di attacco

Messaggio da IceSlack »

nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
denuncia

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

probabilmente mi sono spiegato male, il fatto è appunto questo come si fa la denuncia?

io mi sono messo via tutto i log, le operazioni fatte, i files buttati sul server, ecc ecc

Qualcuno di voi ha avuto esperienze dirette su come si fa la denuncia?

devo farla fare alla webfarm che mi fa l'housing?

Avatar utente
capitanfuturo
Linux 0.x
Linux 0.x
Messaggi: 43
Iscritto il: gio 5 ott 2006, 14:10
Località: Padova
Contatta:

Messaggio da capitanfuturo »

Non ho mai avuto questa esperienza ma prova a dare un occhio direttamente al commisariato di polizia di stato on-line http://www.commissariatodips.it/denunciaviaweb.php

nik600
Linux 2.x
Linux 2.x
Messaggi: 450
Iscritto il: lun 15 mar 2004, 0:00
Contatta:

Messaggio da nik600 »

che delusione...

ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:

"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"

:-(

in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc ;-)

nicolix
Linux 1.x
Linux 1.x
Messaggi: 163
Iscritto il: lun 9 mar 2009, 6:07
Nome Cognome: nicolò
Slackware: 13
Kernel: 4.4.14
Desktop: xfce

Re: come agire in caso di attacco

Messaggio da nicolix »

nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
ciao ti conviene segnalare questa cosa al fornitore del servizio.....di migliorare i firewall ciao ciao

difficilmente potresti fare qualcosa comunque prova a guardare online i proxy praticamente è un metodo di mascherazione quasi nulla diciamo pari a 0 ci sono dei siti che ti rintracciano dei ip il luogo esatto anche avente un proxy...
seconda cosa cancella tutto quello che hanno messo utilizza password più robuste e se hai possibilità di gestire il server utilizza un buon firewall
3) utilizza un port scan chiudi le porte che non usi e wireshark cosi hai la possibilita di vedere tutti gli ip e vedere se la stessa persona ha più ip o uno solo se si puoi risalire al suo vero ip....
ciao spero di essere stato chiaro ciao ciao

albatross
Linux 0.x
Linux 0.x
Messaggi: 97
Iscritto il: mar 21 ott 2003, 0:00
Contatta:

Re: come agire in caso di attacco

Messaggio da albatross »

tu comunque fai la denuncia, devi dire alla polizia postale che la vuoi presentare per tutelarti da eventuali reclami da parte delle persone che sono state vittime del phishing originato dal tuo sito.

Rispondi