bobo

Non sono un esperto, ma in attesa che ti rispondano anche altri ci provo io; il sito è sviluppato con Wordpress?

ruttan

Il sito è fatto 100% da noi in VB .NET su piattaforma Win. L'unico punto da cui ricevevamo SPAM era un form per i commenti che ora ha un captcha.

Awstats ci dice per il mese di febbraio 2012:

---

ROBOT E SPIDER

Googlebot
2572945+303 accessi
5.35 GB

Unknown robot (identified by 'bot')
772520+2740 accessi
259.55 GB*

BaiDuSpider
96639+95 accessi
320.02 MB

Google AdSense
35907 accessi
486.16 MB

MJ12bot
33567+1208 accessi
844.52 MB

Yandex bot
18876+104 accessi
433.84 MB

[...]

---

IP

41.82.76.159
11681 pagine
12078 accessi
581.68 MB

87.1.153.254
9807 pagine
10734 accessi
788.55 MB

[...]

Altri
249561 pagine
4055612 accessi
59.29 GB

bobo

Sempre da inesperto, te la butto lì: impedire almeno temporaneamente l'accesso ai motori di ricerca sconosciuti, nel frattempo sviluppare un sistema di cache per evitare eccessive chiamate al DB (sempre che non sia già sviluppato).

ruttan

Impedire come? Il file robots.txt in questo caso non mi sembra utile, i range di ip magari si ma non so come fare.

Le chiamate al DB le ho già ridotte drasticamente ma è appunto una soluzione temporanea.

bobo

Purtroppo non so risponderti, mi dispiace.

ruttan

Sono alla disperazione, trovo file modificati sul mio FTP, cosa posso fare? Temo che i miei dati siano stati corrotti e che l'eccesso di query sia interno.

bobo

Da profano farei così:

1. Cancellazione di tutti i file in remoto.
2. Cambiamento di tutte le password (FTP, DB, username/password dell'applicazione se presenti).
3. Reinstallazione della App (e verifica dei contenuti sul DB, sopratutto in caso di dati inseriti dagli utenti).

Io non credo che saprei dire di più, ma magari ad altri lettori più esperti potrebbe essere utile conoscere l'URL oppure capire a grandi linee di cosa si parla (blog, portale, web-app, ...).

ruttan

Non posso cancellare tutto, ci metto 2 settimane a rimettere su i file, le password le ho già cambiate ma entrano lo stesso e riescono a mettere file nell'ftp.

Si tratta di attacchi generici che mirano a ottenere link/redirect e che spesso non funzionano (trovo global.asax modificato, default.aspx, ecc.). Sui file del database (una bella mole) ho poco controllo parliamo di un sito simile a questo come struttura (20.000 utenti su snitz forum, 5000 articoli, vari tool in VB .NET, ecc.).

Il link non ho il permesso di notificarlo purtroppo.

geggiot

Hai un piano hosting normale, una vps o un server dedicato?Utilizza Plesk?

ruttan

Hosting normale. L'allarme è rientrato ma ora vorrei proteggermi, ecco cosa ho fatto:

Controllare ed eliminare utenti mySQL sconosciuti - 1 UTENTE ELIMINATO
Escapizzare tutti i request nelle query mySQL - FATTO (1500+ VULNERABILITA')
Controllare ultimi iscritti (nick, mail e password) - NIENTE DI IRREGOLARE
Controllare file uploadati irregolari - NESSUNO TRAMITE NOSTRI SISTEMI DI UPLOAD
Eliminare file inutili online e offline - UNA DECINA NELLA ROOT
Cambiare le password creando nuovi utenti mySQL - FATTO

Per bloccare le SQL injection basta escapare, per il cross site scripting?

seodart

Bisogna, secondo me, rivedere completamente il programma (script) e tappare le falle e gli errori di programmazione.

ruttan

Ok ma come si blocca il cross site scripting?