• S
    User Newbie

    Attacchi continui ed inserimento file ".php"

    Ciao a tutti,
    ultimamente sul mio dominio/hosting sto ricevendo tantissimi attacchi ... che poi si traducono con un blocco H T T P da parte del provider.
    Nei file di log ci sono una miriade di attacchi gioranlieri e di controlli sulle directory ... e quindi una serie di "GET" e "POST".

    Da quello che ho potutto capire attraverso una falla del mio gestionale che ho messo in una directory dell'area ftp risulta poter applicare la possibilità di inserire dei file nelle directory. Vengono inseriti file con estensione ".php" contenenti del codice malware (o altro in quanto non sono riuscito ad aprirli perchè l'antivirus me li blocca).

    Quello che vorrei poter sapere e mitigare sono le seguenti cose :

    1- come si legge una riga del file di log ?

    Posto alcuni esempi:
    [HTML]23.253.207.22 miodominio.it - [26/Aug/2015:13:34:02 +0200] "POST /templates/plugins/dir.php H T T P/1.1" 200 93 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"[/HTML]

    [HTML]
    131.161.190.107 w w w.miodominio.it - [26/Aug/2015:05:28:54 +0200] "GET /adv/w w w/delivery/avw.php?zoneid=21&n=12caa0f HTTP/1.1" 403 226 "h t t p://w w w.osteriatitina.it/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"[/HTML]
    Osteria Titina è il source da dove viene l'hack o un destinatario ?

    [HTML]
    151.44.158.80 w w w.miodominio.it - [26/Aug/2015:19:24:01 +0200] "GET /adv/w w w/delivery/avw.php?zoneid=21&n=12caa0f H T T P/1.1" 404 191 "h t t p:// w w w .osteriatitina.it/" "Mozilla/5.0 (Linux; Android 4.4.2; GT-N7100 Build/KOT49H) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.133 Mobile Safari/537.36"
    [/HTML]
    oppure con scritto Apple IOS 8.4.1

    [HTML]
    176.8.90.218 miodominio.it - [26/Aug/2015:04:31:48 +0200] "GET / H T T P/1.1" 403 202 "h t t p://chcu.n e t/porno-video-2015/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
    [/HTML]

    Calcolando che alcune di queste cartelle non esistono più da tempo.
    Quindi sicuramente qualcuno ha la facoltà di leggere le mie directory in qualche modo

    2- Come posso bloccare la lettura delle mie cartelle ?

    3- Come posso capire da chi proviene in modo da bloccare la fonte ?

    4- Sicuramente devo securizzare i miei file inserendo dei controlli su ciò che viene inserito con il metodo "POST e "GET".

    0
  • F
    Super User

    Ciao Simsar78,

    dai log che hai postato non vedo nulla di utile per poterti aiutare.
    Contatta il tuo hosting e fai controllare i log direttamente a loro, inoltre indaga con un phpinfo.php sulla versione PHP in uso sul server che ti ospita, ho il timore che stai utilizzando una versione obsoleta di PHP.

    Saluti.

    0
Effettua l'accesso per rispondere