Occhio agli hacker (sito violato, phishing)

Indice del forum → Motobar → Forum Internet & Hi-Tech

Pagina 1 di 1

1491314

1491314 Inviato: 17 Apr 2007 12:35
Oggetto: Occhio agli hacker (sito violato, phishing)

Eh beh, sì è capitato anche a me.

Il mio bel dominio, Armordolls.it, è stato violato.
Devo ancora capire come, credo sia un problema di aruba, ma qualcuno è riuscito a uppare due script sul mio dominio e a usarli per ridirigere gli utenti a una pagina da cui faceva phishing contro paypal.

Contattando la polizia postale mi hanno suggerito di fare denuncia immediatamente, altrimenti qualsiasi loro indagine sulla faccenda avrebbe (ovviamente) portato al sottoscritto.

Ho fatto oscurare il sito e sto valutando quali azioni intraprendere per evitare un ripetersi della questione, ma ho rischiato la galera. E non è divertente.

Quindi, se avete domini registrati a vostro nome... attenzione. TANTA attenzione.

Calimar

Ospite

Ranking: -

1491330

1491330 Inviato: 17 Apr 2007 12:38

Cali, anche io ho il sito su aruba.....

anto965

Very Important Tinga

Ranking: 9728

1491462

1491462 Inviato: 17 Apr 2007 13:05

Grazie della segnalazione Calimar!

Anche io ho il sito presso Aruba.. come me ne accorgo se qualcuno lo viola? Non vedo più la mia paginetta?

Ma il gestore dello spazio web ne è responsabile in qualche modo per la sicurezza dei propri server?

Anna

Very Important Tinga

Ranking: 840

1491594

1491594 Inviato: 17 Apr 2007 13:27

Stamattina mi e' arrivata la solita mail di phishing "intestata" poste.it (presso cui, peraltro, non ho conti).
Il link puntava ad un sito di un'azienda che gestisce impianti sciistici

In pratica hanno uppato uno script php che POI redirige verso il sito vero e proprio di phishing.
Ho ovviamente segnalato subito al gestore del sito la pagina "anomala".
Lo script in questione si chiamava formsloginasp.php ed era posizionato sulla root del sito.
Controllate....

Admin2

Ranking: 17479

1491615

1491615 Inviato: 17 Apr 2007 13:29

Anna ha scritto:

come me ne accorgo se qualcuno lo viola? Non vedo più la mia paginetta?

Dipende... se fanno solo deface sucede che apri la tua home page e ci trovi la sign dell'hacker...
Per fare phishing NON ti cambiano i connotati del sito... (vedi mio post qui sopra).
Te ne accorgi esaminando i log di accesso e/o controllando la lista dei file caricati.

Admin2

Ranking: 17479

1491731

1491731 Inviato: 17 Apr 2007 13:46

Il phishing che conosco io è un'email di qualche banca o delle poste in cui viene chiesto nome utente e password con lo scopo di verificare i dati. Così l'hacker, anzi, il cracker (l'hacker cattivo) ottiene i dati di accesso delle persone che hanno abboccato.

Una volta successe ad un sito aziendale che fu cambiata la home page per una protesta senza che il gestore di quel sito avesse fatto nulla. Intendevo questo per dire se me ne accorgo.

Non è che usano la mia pagina e ci mettono degli script maligni? Ora non è che io tutte le sere devo controllare il sorgente delle mie pagine remote...

Anna

Very Important Tinga

Ranking: 840

1492076

1492076 Inviato: 17 Apr 2007 14:35

Anna ha scritto:

Non è che usano la mia pagina e ci mettono degli script maligni?

difficile, piu' probabile facciamo come segnalato da calimar e da me...
non cambiano nulla sulle tue pagine, uppano un nuovo file, che altro non e' che uno script php o asp, la cui URL sara' mandata a millemila utenti...
Chi ci clicca sopra non fara' altro che richiamare il "tuo" script, che a sua volta inoltrera' user e pwd inserite verso il "pescatore".

Anna ha scritto:

Ora non è che io tutte le sere devo controllare il sorgente delle mie pagine remote...

magari non il codice, ma se c'e' un file che non ricordi di aver messo, un'acchiatina la darei....

Admin2

Ranking: 17479

1492415

1492415 Inviato: 17 Apr 2007 15:21

Semplicemente potreste crearvi un script voi stessi che controlla il contenuto della root e lo confronta con il contenuto di un vostro file di testo certificato segnalandovi la presenza di nuovi componenti.
Basta fare il lavoro la prima volta e poi di volta in volta aggiornare il solo file di testo certificato.
Lo potete anche creare in una pagina nascosta del sito stesso (o nella pagina di admin del sito) .....

Se poi viene uppata la copia della vostra pagina principale con l'aggiunta di un script interno allora si possono solo controllare le date di modifica o i log come già segnalato.

lucantonio

Sbk

Ranking: 854

1492588

1492588 Inviato: 17 Apr 2007 15:49

lucantonio ha scritto:

Se poi viene uppata la copia della vostra pagina principale con l'aggiunta di un script interno allora si possono solo controllare le date di modifica o i log come già segnalato.

un comando a tempo che verifica il checksum delle pagine e se c'e' discrepanza manda una mail?

Admin2

Ranking: 17479

1492802

1492802 Inviato: 17 Apr 2007 16:25

Lucantonio: sono in hosting, altrimenti col cavolo che entravano... sul MIO pc saltano 82 allarmi

Anna: Non hanno toccato il mio sito, né il DB. Si sono limitati ad aggiungere nella home del sito due file, pay.html e paypl.html che ridirigevano a un sito con la pagina di phishing (HTTP REFRESH).

Poi hanno spammato mail che contenevano il link al mio sito... me ne sono accorto perché questa mattina mi sono arrivate 8 mail che dicevano "phishing dal vostro sito".... ho controllato e ci son rimasto malissimo

Se vi capita, rinominate i due file e fate immediata denuncia alla polizia postale. Io ho anche avvertito aruba e chiesto il cambiamento di user/pwd.

Calimar

Ospite

Ranking: -

1494141

1494141 Inviato: 17 Apr 2007 19:13

ma non dipende anche dalla garanzia di sicurezza che il provider del tuo server ti offre...io gestisco un sito di una ambasciata e il server è abbastanza coi controcojons....spero...con quello che ci fa pagare!!

88mph

Very Important Tinga

Ranking: 2348

Pagina 1 di 1

Non puoi inserire nuovi Topic
Non puoi rispondere ai Topic
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi

Indice del forum → Motobar → Forum Internet & Hi-Tech