* * *
Benvenuto! Effettua l'accesso oppure registrati.
07 Marzo 2021, 15:25:48

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: scrip malevolo  (Letto 4266 volte)

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
scrip malevolo
« il: 02 Aprile 2009, 19:36:26 »
da qualche giorno i lforum e bianco e non sapendo come mai ho controlato e mi soon trovato questo:

<iframe src="http://---------     ---------jL.chu&#114;a.pl/rc/" style="display:none"></iframe>

E spezzato di proposito per evitare ogni tipo di problematica. come si puo togliere questa cosa???
« Ultima modifica: 02 Aprile 2009, 22:43:32 di Ablius »

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #1 il: 03 Aprile 2009, 14:14:42 »
Ciao, di cosa stiamo parlando? Puoi esporre un attimo meglio ?



Grazie

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #2 il: 03 Aprile 2009, 15:23:23 »
allora qualche bella persona tramite uno script "suppongo" e riscito a insererire questa stringa:

<iframe src="http:/    /j      L.ch   u&#114;a.pl/rc/" style="display:none"></iframe>

 nel sito e in un forum di con il risultato che il sito e stato bloccato perche dichiarato da google infetto.
Sto cercando una riga di comando per pulire tutto il sito . Che faccia la scansione e tolga questa script da tutte le pagine del sito "1180 trovate" forum trovate "300" devo toglierlo e sto cercando un script per toglierlo tutti li.

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #3 il: 03 Aprile 2009, 19:39:15 »
Suppongo che il sito abbia un backup da cui estrarre solo le porzioni di dati importanti (quelle che devi ripristinare). Eventualmente se usi linux prova a verificare con rkhunter o chkrootkit ed eventualmente ad utilizzare aide una volta ripulito tutto come checksum dei file importanti del forum in modo da evitare che vi buchino con injection altre volte  e voi non ve ne accorgiate.



Ciao

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #4 il: 23 Aprile 2009, 12:24:41 »
Checking `bindshell'... INFECTED (PORTS:  xxx)

per il resto ho ripristinato tutto

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #5 il: 23 Aprile 2009, 13:58:26 »
Ti consiglio di aggiornare anche i package che soffrono di problemi di sicurezza. Se hanno bucato la shell presumo che hai un problema con openssh magari fare un po' di tuning li... del tipo:
chiudere l'accesso di root da remoto
usare tcp wrapper per limitare le reti e i servizi
usare iptables con relative regole e log per avere copia del traffico in eccesso
usare aide per firmare i pacchetti ed i file di amministrazione e verificarne periodicamente la firma

Potrebbe essere interessante gi solo vedere ogni punto.
Ciao

Offline betelgeuse

  • Jr. Member
  • **
  • Post: 40
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #6 il: 30 Aprile 2009, 20:48:14 »
Ciao,
giusto per capire meglio la discussione, poich avevo provato ad aiutare Ablius a cercare la stringa incriminata "<iframe src=...." sul file system del Server web nell'altro tread aperto in "Supporto Generale", ed avevo qualche sospetto che fosse fuori strada; la stringa in questione, quindi, da quanto capisco, era generata dinamicamente da un rootkit che si era sostituito alla shell e manipolava le risposte servite ai client web da Apache?
In casi del genere, ammesso che il tool riesca ad individuare il rootkit sul Server, come si deve procedere per "ripulire" il sistema? In questo caso quale dei due tool suggeriti da dankan77 (rkhunter o chkrootkit) riuscito a trovare il rootkit?
Infine, dopo che ci si accorge che un sistema stato violato, esiste una ragionevole speranza di riuscire a "ripulirlo" definitivamente, senza il dubbio che qualcosa possa essere sfuggito? O in altri temini: se si incrementa la sicurezza di un sistema di pari passo con l'esperienza e le maggiori conoscenze, come si pu fare per verificare se qualcuno non sia entrato nel sistema prima che le porte fossero chiuse?
Grazie.

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #7 il: 01 Maggio 2009, 16:26:14 »
Nel dubbio ho fatto cosi':  salvato i bacUp dei siti. formattato disco nuova installazione stop

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #8 il: 02 Maggio 2009, 13:22:46 »
Di solito quando un server viene bucato dovrebbe  essere reinstallato. Magari facendo una copia del disco in un immagine da usare in una macchina virtuale come analisi forense( per capire come l'aggressione sia stata perpretata)



 

Notizie

Per un veloce Download di CentOS 6 http://mi.mirror.garr.it/mirrors/CentOS/6.4/isos/ Per una ricerca veloce su google linux http://www.google.it/linux

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 5959
  • Ultimo: Sina
Statistiche
  • Post in totale: 13154
  • Topic in totale: 2960
  • Online Oggi: 236
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 221
Totale: 221

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo pi il css solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c' mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50