Autore Topic: attacco con upload file php  (Letto 346 volte)

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
attacco con upload file php
« il: 13 Nov 2016, 20:23:10 »
Salve a tutti,


ho un problema da circa un mese che non riesco in nessun modo ad arginare.
Praticamente ho un buco nel sito che gestisco, con template PASW4 (template per le scuole), e mi ritrovo file php caricati a random che una volta eseguiti inviano mail con il dominio in questione, intasando il mio server mail.
Il dominio è ospitato su Plesk, server OVH gestito dalla mia società.


Quello che ho fatto fino ad ora è stato questo. Intanto tutte le cartelle hanno i permessi 775 e i file 644.
I file che mi ritrovo solitamente venivano caricati nelle sottocartelle di administrator...così ho protetto la cartella, difatti /administrator risulta forbidden e l'accesso al backend avviene attraveso /protect. In questo modo i file non vengono più caricati, ma ora me li ritrovo al di fuori della cartella, tipo in modules, attachments, images, ecc....ho creato quindi file .htaccess e .htpasswd nelle varie cartelle ma ovviamente in modules non si può fare perchè poi mi ritrovo una bella finestra di login all'accesso al sito.


Qualcuno mi può spiegare come possono uploadare i file sul sito o come posso proteggere le cartelle in maniera che non avvengano cose del genere? Ho eliminato tutti i componenti di terze parti che non utilizzo e controllato che non siano vulnerabili.
Ma nonostante ciò gli attacchi continuano a forare il sito.


Quello che mi fa strano inoltre è che se digito http://www.icvalmaura.it/components/ mi ritorna pagina bianca invece di un rewrite o di un forbidden o di qualcosa che richieda un login (tipo in wordpress succede...). Questo mi fa pensare che chiunque possa, in qualche modo, uploadare qualcosa...


Grazie mille

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:attacco con upload file php
« Risposta #1 il: 13 Nov 2016, 20:48:18 »
tutto aggiornato?
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
Re:attacco con upload file php
« Risposta #2 il: 13 Nov 2016, 20:50:23 »
Si tutto core e componenti

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
Re:attacco con upload file php
« Risposta #3 il: 14 Nov 2016, 11:39:44 »
vorrei anche precisare che via ftp è tutto disabilitato e che ho cambiato l'utente superuser, ho scaricato l'intero sito e l'ho passato con Nod32.
« Ultima modifica: 14 Nov 2016, 11:41:48 da tanjama »

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:attacco con upload file php
« Risposta #4 il: 14 Nov 2016, 13:16:36 »
non inseriscono virus quindi non credo serva a qualcosa la scansione.
ci sono anche dei redirect se arrivi sul sito da un motore di ricerca...
Credo tu ti porti dietro questa cosa da parecchio tempo.

Puoi o farci mettere le mani da qualcuno che è più che capace oppure rifare tutto.
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline Alex21

  • Appassionato
  • ***
  • Post: 357
    • Mostra profilo
    • Immobili a Padova
Re:attacco con upload file php
« Risposta #5 il: 14 Nov 2016, 13:25:48 »
Mi sembra difficile da risolvere.
Se è l'unico sito del server che è attaccato mi sembra già positivo.
Prima di cancellare la sottoscrizione (l'intero vhost) potresti per scrupolo controllare se il database si raggiunge anche da remoto, se sono abilitati pyton e perl, se i link simbolici sono possibili, speriamo di no, se per caso non c'è una shell php nascosta da qualche parte.
Ciao!

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
Re:attacco con upload file php
« Risposta #6 il: 15 Nov 2016, 14:47:17 »
non è l'unico sito del server, ma è l'unico sito in joomla, il restante è wordpress.


Adesso vedrò di fare i controlli che mi ha consigliato.


grazie

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
Re:attacco con upload file php
« Risposta #7 il: 15 Nov 2016, 15:26:44 »
il database non è raggiungibile da remoto ma solo da connessioni locali, perl e python sono attivati, se attivo questa opzione qua"Limita la capacità di seguire link simbolici" Seleziona questa opzione per evitare che gli utenti usino la direttiva FollowSymLink in .htaccess e migliora la sicurezza del server.Il sito mi rende errore 500 Internal server error.Per la shell in php devo ancora vedere.grazie

Offline Alex21

  • Appassionato
  • ***
  • Post: 357
    • Mostra profilo
    • Immobili a Padova
Re:attacco con upload file php
« Risposta #8 il: 15 Nov 2016, 16:49:30 »
il database non è raggiungibile da remoto ma solo da connessioni locali, perl e python sono attivati, se attivo questa opzione qua"Limita la capacità di seguire link simbolici" Seleziona questa opzione per evitare che gli utenti usino la direttiva FollowSymLink in .htaccess e migliora la sicurezza del server.Il sito mi rende errore 500 Internal server error.Per la shell in php devo ancora vedere.grazie
Perl e Python li puoi disabilitare, tanto non mi sembra che Joomla li utilizzi. Non capisco perché il server si oppone alla disabilitazione dei link simbolici.


Ciao!

Offline tanjama

  • Nuovo arrivato
  • *
  • Post: 16
    • Mostra profilo
Re:attacco con upload file php
« Risposta #9 il: 15 Nov 2016, 17:22:39 »
Forse qualche cosa relativo nel file htaccess ? o nelle impostazioni globali joomla?

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Re:attacco con upload file php
« Risposta #10 il: 15 Nov 2016, 18:49:22 »
io cambierei hosting, ormai Joomla per funzionare ed aggiornarsi automaticamente etc etc ha bisogno di server ottimizzati per joomla o che rispettino i requisiti principali
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

 

Torna su