Come è possibile che questo file sia stato modificato?

3

Recentemente mi è stato chiesto di apportare alcune modifiche a un vecchio sito Web ASP Classic.

A un certo punto stavo guardando il sorgente della pagina mentre eseguivo il debug di alcuni JavaScript e ho notato un div pieno di link a pochi siti simili a spam che vendevano borse e scarpe knockoff, ecc! Questo div era assolutamente posizionato oltre 900 pixel dall'angolo in alto a sinistra, quindi non è mai stato visibile, e non è stato fino a quando ho guardato nel codice sorgente che ho notato che era lì.

Il div stesso era in un file di intestazione situato all'interno di una sottocartella include. Per quanto posso dire, avendo appena preso il sito, nessun codice modifica questo file.

Ciò significa che il server Web stesso doveva essere stato compromesso per consentire a qualcuno di inserire questi collegamenti?

Sembra che sia stato così, quindi chiunque l'abbia fatto doveva avere una certa conoscenza di come funzionava il sito? O forse hanno appena cercato file chiamati 'header'? Sebbene, ci sia un file di intestazione separato per il lato admin del sito e che non sia stato modificato.

Suppongo che l'altra possibilità sia che il vecchio webmaster abbia inserito i link stessi per qualche guadagno personale, ma ciò sembra improbabile.

    
posta 01.03.2013 - 04:08
fonte

2 risposte

1

Sono d'accordo che la causa più probabile sia un compromesso dall'esterno - un classico caso di link farming.

Potrebbe essere fuori portata per il tuo contratto, ma dopo aver corretto il sito di produzione, dovresti tornare indietro attraverso i backup finché non trovi la modifica, e poi vedere se riesci a capire come si è verificato il compromesso.

Se non puoi essere sicuro di come si è verificato, considera la possibilità di ricostruire il server da fonti conosciute, che è l'unico modo ragionevolmente affidabile per chiudere eventuali backdoor che gli intrusi potrebbero essersi lasciati indietro.

    
risposta data 01.03.2013 - 04:57
fonte
2

Questo tipo di attacco in cui i collegamenti spam vengono inseriti nel contenuto della pagina di solito si rivolge a una particolare tecnologia, ad esempio se si tratta della piattaforma del sito. Wordpress o un plugin utilizzato sul sito, ad esempio una galleria di immagini o uno script di caricamento file. Puntando a una specifica vulnerabilità in uno script ampiamente utilizzato, un utente malintenzionato può compromettere abbastanza siti Web per rendere l'attacco utile.

Ricostruire il sito da un backup pulito noto è l'unico modo per essere sicuri di aver riparato tutti i danni. Quindi dovrai identificare in che modo il sito è stato compromesso in primo luogo, altrimenti succederà quasi sicuramente di nuovo. Il colpevole più probabile saranno gli script che consentono agli utenti di caricare file come se questi potessero essere potenzialmente sfruttati per consentire il caricamento e l'esecuzione di uno script dannoso.

Un'altra possibilità, se il sito web è stato ospitato su un server con uno o più siti, è che uno di quei siti è stato compromesso e che dà accesso al server e quindi al tuo sito. Ospitare il sito con una società di hosting condivisa non ti proteggerà necessariamente da quel vettore. Anche alcune delle grandi società di hosting condivise possono essere piuttosto sciatte quando si tratta di proteggere il tuo sito da altri ospitati sullo stesso server.

    
risposta data 06.03.2013 - 13:13
fonte

Leggi altre domande sui tag