Repository 32bit  Forum
Repository 64bit  Wiki

come agire in caso di attacco

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

come agire in caso di attacco

Messaggioda nik600 » dom ott 08, 2006 10:41

Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda andest » dom ott 08, 2006 17:23

lo faccio per te: UP!
andest
Linux 1.0
Linux 1.0
 
Messaggi: 1
Iscritto il: dom ott 08, 2006 13:33

Re: come agire in caso di attacco

Messaggioda IceSlack » mar ott 10, 2006 1:49

nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?

denuncia
Avatar utente
IceSlack
Linux 3.x
Linux 3.x
 
Messaggi: 1313
Iscritto il: dom ott 30, 2005 13:27

Messaggioda nik600 » mar ott 10, 2006 13:13

probabilmente mi sono spiegato male, il fatto è appunto questo come si fa la denuncia?

io mi sono messo via tutto i log, le operazioni fatte, i files buttati sul server, ecc ecc

Qualcuno di voi ha avuto esperienze dirette su come si fa la denuncia?

devo farla fare alla webfarm che mi fa l'housing?
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Messaggioda capitanfuturo » mar ott 10, 2006 13:32

Non ho mai avuto questa esperienza ma prova a dare un occhio direttamente al commisariato di polizia di stato on-line http://www.commissariatodips.it/denunciaviaweb.php
Avatar utente
capitanfuturo
Linux 1.0
Linux 1.0
 
Messaggi: 43
Iscritto il: gio ott 05, 2006 13:10
Località: Padova

Messaggioda nik600 » ven ott 20, 2006 19:24

che delusione...

ho fatto la denuncia ma appena ho accennato loro che l'ip da cui l'aggressore ha agito era di un probabile proxy nigeriano mi fanno:

"Beh, se l'ip non è italiano noi non possiamo fare nulla, dobbiamo passare la pratica all'interpool il quale però non si muove nemmeno per cose di questo genere"

:-(

in compenso mi hanno fatto i complimenti per come avevo fornito tutte le informazioni, i log ecc ecc ;-)
nik600
Linux 2.4
Linux 2.4
 
Messaggi: 449
Iscritto il: lun mar 15, 2004 0:00

Re: come agire in caso di attacco

Messaggioda nicolix » mar set 15, 2009 23:16

nik600 ha scritto:Ciao

due giorni fa un server che gestisco da remoto è stato attaccado basandosi su una falla che c'era su un sito web hostato.

In pratica il sito in questione faceva l'include del modulo richiesto dall'utente, senza però verificare che l'input fosse valido.

sono riusciti utilizzando questa vulnerabilità a postare dei files sul server , tra cui uno script per la compilazione dei pagamenti on line, e gabbavano dati sensibili agli utenti che ci cascavano (il form postava ad un file php che mandava la password).

Dopo diverse analisi dei log ho ricostruito tutta la storiella

- la vulnerabilità che ha usato
- le operazioni fatte sul server
- i vari ip da cui ha operato

Ora, se questo non è un pirla avrà operato da dietro un proxy, ho verificato tramite il whois e l'indirizzo corrisponde a un provider nigariano (il che mi da poche speranze...)

ho mandato comunque una segnalazione all'indirizzo segnalato per gli abusi per questa sottorete fornendo ip data ora e una breve descrizione di quello che è stato fatto.

Vorrei sapere, qualcuno di voi ha avuto esperienze dirette? cos'altro potrei fare?


ciao ti conviene segnalare questa cosa al fornitore del servizio.....di migliorare i firewall ciao ciao

difficilmente potresti fare qualcosa comunque prova a guardare online i proxy praticamente è un metodo di mascherazione quasi nulla diciamo pari a 0 ci sono dei siti che ti rintracciano dei ip il luogo esatto anche avente un proxy...
seconda cosa cancella tutto quello che hanno messo utilizza password più robuste e se hai possibilità di gestire il server utilizza un buon firewall
3) utilizza un port scan chiudi le porte che non usi e wireshark cosi hai la possibilita di vedere tutti gli ip e vedere se la stessa persona ha più ip o uno solo se si puoi risalire al suo vero ip....
ciao spero di essere stato chiaro ciao ciao
Avatar utente
nicolix
Linux 2.0
Linux 2.0
 
Messaggi: 163
Iscritto il: lun mar 09, 2009 6:07
Nome Cognome: nicolò
Slackware: 13
Kernel: 2.6.29.6-smp
Desktop: kde
Distribuzione: slackware

Re: come agire in caso di attacco

Messaggioda albatross » dom feb 06, 2011 18:38

tu comunque fai la denuncia, devi dire alla polizia postale che la vuoi presentare per tutelarti da eventuali reclami da parte delle persone che sono state vittime del phishing originato dal tuo sito.
albatross
Linux 1.0
Linux 1.0
 
Messaggi: 97
Iscritto il: lun ott 20, 2003 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Gurdjieff e 1 ospite