Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Codice malevolo inserito in un sito

2 views
Skip to first unread message

John Doe

unread,
Nov 17, 2009, 10:36:09 AM11/17/09
to
Al sito di un mio conoscente un malintenzionato ne ha modificato il
codice (file asp ed htm) inserendo righe di codice relative ad uno
script malevolo.

1. Come c'è riuscito? Tramite ftp sicuramente no. A causa di
vulnerabilità di codice o di webserver?
2. L'antivirus lato server web avrebbe dovuto rilevare il codice
dannoso?
3. Cosa gli si può installare al fine di prevenire simili problemi?


Grazie

GbC

unread,
Nov 17, 2009, 12:16:15 PM11/17/09
to
John Doe wrote:
> Al sito di un mio conoscente un malintenzionato ne ha modificato il
> codice (file asp ed htm) inserendo righe di codice relative ad uno
> script malevolo.

Il sito � un prodotto commerciale o lo ha scritto il tuo conoscente?

> 1. Come c'� riuscito? Tramite ftp sicuramente no. A causa di
> vulnerabilit� di codice o di webserver?

Perch� no l'FTP? Se il pc del tuo conoscente fosse uno zombie si, altro
che no. Comunque propendo per uno dei milioni di bug dei motori dei siti
commerciali e non in circolazione. Scrivendo si fanno errori, che un
buon programmatore corregge appena possibile...

> 2. L'antivirus lato server web avrebbe dovuto rilevare il codice
> dannoso?

Se lo script inserito punta a risorse esterne al server cosa mai pu�
fare il povero antivirus? Non � che uno 'script' sia una cosa malevola
in s�... Discernere � quasi impossibile, almeno fino a che non scarichi
qualcosa di maligno; ma un server non scarica mai nulla perch�
normalmente non � usato per navigare.

> 3. Cosa gli si pu� installare al fine di prevenire simili problemi?

Installare direi nulla.
Usare password ed id adeguati.
Configurare in modo adeguato il server.
Cercare di usare poco le funzionalit� 'remote' di configurazione.
Controllare continuamente se ci sono aggiornamenti nelle pagine del
prodotto che si � installato.
Controllare spesso i log per capire cosa accade e chi pastrocchia nei
files del server.

Ciao cia'

--
-> GbC|
www.gbcweb.com
www.chiappori.com


John Doe

unread,
Nov 18, 2009, 11:29:00 AM11/18/09
to
On 17 Nov, 18:16, "GbC" <use...@gbcweb.com> wrote:

> Il sito è un prodotto commerciale o lo ha scritto il tuo conoscente?
Non l'ha scritto lui; rappresenta l'azienda per cui lavora.

> Perché no l'FTP?
Perchè dai log non risultano accessi il giorno in cui risultano
modificati i file

> Configurare in modo adeguato il server.

Ad esempio come?

Grazie

Berry

unread,
Nov 19, 2009, 12:52:45 AM11/19/09
to

> Perch� no l'FTP?
Perch� dai log non risultano accessi il giorno in cui risultano
modificati i file

forse non hai capito... � il computer dove c'� la copia del sito che pu�
essere infetto o essere stato infetto, e quando hai inserito alcuni file del
sito nel server con l'FTP questo zombie si � infiltrato del server. Non �
detto che appena copiato inizia a lavorare ma pu� passare anche molto tempo
prima che venga attivato dall'esterno per l'uso a cui � stato creato.

GbC

unread,
Nov 19, 2009, 5:40:58 AM11/19/09
to
John Doe wrote:
> On 17 Nov, 18:16, "GbC" <use...@gbcweb.com> wrote:
>
>> Il sito � un prodotto commerciale o lo ha scritto il tuo conoscente?

> Non l'ha scritto lui; rappresenta l'azienda per cui lavora.

<CheFatica>
Lo ha realizzato qualcuno o � un prodotto standard?
</CheFatica>

>> Perch� no l'FTP?
> Perch� dai log non risultano accessi il giorno in cui risultano
> modificati i file

Eliminare i dati dai LOG (in intergalattico standard: 'eliminare le
tracce') � la prima cosa che all'aspirante acaro viene insegnato a fare.
Non dico sia quello, ma non partire dal presupposto di aver esaminato
tutte le possibilit� perch� altrimenti non ne vieni fuori.

>> Configurare in modo adeguato il server.
> Ad esempio come?

Non ho la sfera di cristallo. Non so che server �, cosa c'� sopra... Se
gugli trovi guide esaustive su tutto lo scibile umano, compresa la
corretta configurazione di un server web.

Normalmente si verifica se il SO � aggiornato e se utenti, diritti,
accessi sono adeguati alle necessit�. Quindi, se si usa un prodotto
standard, si verifica se il tutto � aggiornato.

Quindi si ravana nei log per vedere cosa e come fanno gli utenti...
Vedrai che prima o poi qualcosa salta fuori.

Certo che se non ci sono banner esterni nelle pagine (lo script potrebbe
non essere locale ma in un server remoto; viene violato il server della
consociata di cui si mostra il banner, sostituendo quest'ultimo con uno
script malevolo) escludere la violazione della password ftp � dura.

0 new messages