Autore Topic: scrip malevolo  (Letto 5331 volte)

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
scrip malevolo
« il: 02 Aprile 2009, 19:36:26 »
da qualche giorno i lforum e bianco e non sapendo come mai ho controlato e mi soon trovato questo:

<iframe src="http://---------     ---------jL.chu&#114;a.pl/rc/" style="display:none"></iframe>

E spezzato di proposito per evitare ogni tipo di problematica. come si puo togliere questa cosa???
« Ultima modifica: 02 Aprile 2009, 22:43:32 da Ablius »

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #1 il: 03 Aprile 2009, 14:14:42 »
Ciao, di cosa stiamo parlando? Puoi esporre un attimo meglio ?



Grazie

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #2 il: 03 Aprile 2009, 15:23:23 »
allora qualche bella persona tramite uno script "suppongo" e riscito a insererire questa stringa:

<iframe src="http:/    /j      L.ch   u&#114;a.pl/rc/" style="display:none"></iframe>

 nel sito e in un forum di con il risultato che il sito e stato bloccato perche dichiarato da google infetto.
Sto cercando una riga di comando per pulire tutto il sito . Che faccia la scansione e tolga questa script da tutte le pagine del sito "1180 trovate" forum trovate "300" devo toglierlo e sto cercando un script per toglierlo tutti li.

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #3 il: 03 Aprile 2009, 19:39:15 »
Suppongo che il sito abbia un backup da cui estrarre solo le porzioni di dati importanti (quelle che devi ripristinare). Eventualmente se usi linux prova a verificare con rkhunter o chkrootkit ed eventualmente ad utilizzare aide una volta ripulito tutto come checksum dei file importanti del forum in modo da evitare che vi buchino con injection altre volte  e voi non ve ne accorgiate.



Ciao

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #4 il: 23 Aprile 2009, 12:24:41 »
Checking `bindshell'... INFECTED (PORTS:  xxx)

per il resto ho ripristinato tutto

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #5 il: 23 Aprile 2009, 13:58:26 »
Ti consiglio di aggiornare anche i package che soffrono di problemi di sicurezza. Se hanno bucato la shell presumo che hai un problema con openssh magari fare un po' di tuning li... del tipo:
chiudere l'accesso di root da remoto
usare tcp wrapper per limitare le reti e i servizi
usare iptables con relative regole e log per avere copia del traffico in eccesso
usare aide per firmare i pacchetti ed i file di amministrazione e verificarne periodicamente la firma

Potrebbe essere interessante già solo vedere ogni punto.
Ciao

Offline betelgeuse

  • Jr. Member
  • **
  • Post: 40
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #6 il: 30 Aprile 2009, 20:48:14 »
Ciao,
giusto per capire meglio la discussione, poiché avevo provato ad aiutare Ablius a cercare la stringa incriminata "<iframe src=...." sul file system del Server web nell'altro tread aperto in "Supporto Generale", ed avevo qualche sospetto che fosse fuori strada; la stringa in questione, quindi, da quanto capisco, era generata dinamicamente da un rootkit che si era sostituito alla shell e manipolava le risposte servite ai client web da Apache?
In casi del genere, ammesso che il tool riesca ad individuare il rootkit sul Server, come si deve procedere per "ripulire" il sistema? In questo caso quale dei due tool suggeriti da dankan77 (rkhunter o chkrootkit) è riuscito a trovare il rootkit?
Infine, dopo che ci si accorge che un sistema è stato violato, esiste una ragionevole speranza di riuscire a "ripulirlo" definitivamente, senza il dubbio che qualcosa possa essere sfuggito? O in altri temini: se si incrementa la sicurezza di un sistema di pari passo con l'esperienza e le maggiori conoscenze, come si può fare per verificare se qualcuno non sia entrato nel sistema prima che le porte fossero chiuse?
Grazie.

Offline Ablius

  • Full Member
  • ***
  • Post: 87
    • Mostra profilo
Re: scrip malevolo
« Risposta #7 il: 01 Maggio 2009, 16:26:14 »
Nel dubbio ho fatto cosi':  salvato i bacUp dei siti. formattato disco nuova installazione stop

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: scrip malevolo
« Risposta #8 il: 02 Maggio 2009, 13:22:46 »
Di solito quando un server viene bucato dovrebbe  essere reinstallato. Magari facendo una copia del disco in un immagine da usare in una macchina virtuale come analisi forense( per capire come l'aggressione sia stata perpretata)