come agire in caso di attacco
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
come agire in caso di attacco
Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
Re: come agire in caso di attacco
denuncianik600 ha scritto:Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
- capitanfuturo
- Linux 0.x
- Messaggi: 43
- Iscritto il: gio 5 ott 2006, 14:10
- Località: Padova
- Contatta:
Non ho mai avuto questa esperienza ma prova a dare un occhio direttamente al commisariato di polizia di stato on-line http://www.commissariatodips.it/denunciaviaweb.php
che delusione...
ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:
"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"
in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc
ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:
"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"
in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc
-
- Linux 1.x
- Messaggi: 163
- Iscritto il: lun 9 mar 2009, 6:07
- Nome Cognome: nicolò
- Slackware: 13
- Kernel: 4.4.14
- Desktop: xfce
Re: come agire in caso di attacco
ciao ti conviene segnalare questa cosa al fornitore del servizio.....di migliorare i firewall ciao ciaonik600 ha scritto:Ciao
due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.
In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.
sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).
Dopo diverse analisi dei log ho ricostruito tutta la storiella
- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato
Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)
ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.
Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
difficilmente potresti fare qualcosa comunque prova a guardare online i proxy praticamente è un metodo di mascherazione quasi nulla diciamo pari a 0 ci sono dei siti che ti rintracciano dei ip il luogo esatto anche avente un proxy...
seconda cosa cancella tutto quello che hanno messo utilizza password più robuste e se hai possibilità di gestire il server utilizza un buon firewall
3) utilizza un port scan chiudi le porte che non usi e wireshark cosi hai la possibilita di vedere tutti gli ip e vedere se la stessa persona ha più ip o uno solo se si puoi risalire al suo vero ip....
ciao spero di essere stato chiaro ciao ciao
Re: come agire in caso di attacco
tu comunque fai la denuncia, devi dire alla polizia postale che la vuoi presentare per tutelarti da eventuali reclami da parte delle persone che sono state vittime del phishing originato dal tuo sito.