Ftp ha costantemente chiesto un file .exe, cosa posso fare?

3

Affido un server web ("servizio") in un sito di hosting web che ultimamente presumo sia stato violato, ma non sono sicuro di come ... So che è stato violato perché recentemente inaspettatamente alcuni file e cartelle sono apparsi sul FTP-Server. Ho cancellato tutti i file e cambiato la password su tutto in relazione a questo server ... un paio di giorni più tardi i file sono apparsi di nuovo così li ho cancellati e non sono ancora apparsi, ora c'è ancora una cosa che mi sta prendendo in giro se guardo il file ".com" (che memorizza la richiesta sul sito web), cresce di 50.000 richieste al giorno :(! Qual è la richiesta più completa da un indirizzo IP tracciato come l'Argentina, e stanno chiedendo per uno dei file .exe rimossi ... per quanto ho capito stanno recuperando il file 404.

Una riga di esempio dal file .com:
" IP richiedente " - - [02 / Aug / 2012: 19: 24: 32 +0200] "GET /onlySMT.exe HTTP / 1.1" 404 3612 "-" "Mozilla / 4.0 (compatibile; MSIE 7.0; Windows NT 5.1; Trident / 4.0; GTB7.3; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; BRI / 2) "

Ora ci sono 50 009 righe come questa nel file di log ... Cosa posso fare per fermare questo?

btw le password che uso sono casuali 12 caratteri con alfabeto inglese, lettere piccole e grandi e numeri.

Grazie in anticipo per tutte le risposte che sono tutte molto apprezzate

WBR

    
posta Cisum inas 02.08.2012 - 19:48
fonte

2 risposte

4

Questo è il tipo di comportamento mostrato da una botnet. Quello che puoi dedurre dalla ricomparsa dei file cancellati è che il tuo server è stato "back-doored".

Cambiare le password non aiuterà. Un totale pulire e ricostruire il server è in ordine. Poiché stai "noleggiando" il servizio, dovrai spegnerlo e ottenere un nuovo IP e un nuovo ambiente sul server.

    
risposta data 02.08.2012 - 22:22
fonte
2

Questa è una tecnica comune per distribuire exploit e virus: hackerare un sito Web casuale, ospitare i dati che si desidera distribuire e far sì che molte persone vi si rechino. Oppure utilizzare il server come server di aggiornamento per un virus che si è già diffuso. Ciò rende molto più difficile rintracciare chi ha scritto il virus.

Quello che vorrei fare è:

  1. Sostituisci l'exe con qualcosa che visualizza un avviso all'utente, dicendo che hanno un virus e dovrebbe chiedere a qualcuno di rimuoverlo (ad esempio portarlo in un'officina). Forse anche contattare un'azienda antivirus per ulteriori indicazioni su come rendere gli utenti consapevoli.
  2. Informare il mio ospite su questo, richiedere di spostarmi su un altro server e dirmi come questo potrebbe accadere. Se si rifiutano di dire cosa è successo, passa a un altro fornitore. O forse spostati su un altro provider, indipendentemente.
risposta data 02.08.2012 - 22:49
fonte

Leggi altre domande sui tag