attaccare un server (no, non voglio fare l´hacker!!)

[toniocartonio]

Ola amigos,
guardavo l´altro giorno le statistiche del mio serverino casalingo, e mi sono accorto di una cosa abbastanza particolare.
Fra i numerosi "Errori 404 - page not found" loggati da apache, ce ne sono numerosi che fanno pensare che qualcuno si sia divertito a provare ad attaccare il mio server "Windows", cercando di ottenere una finestra di terminale... e fallendo miseramente, perché saró pure cretino, ma non fino al punto di mettere su un webserver Windows-based

cmq, la pagina delle statistiche rilevante per questo thread la trovate su:
http://www.francescoinsvezia.net/cgi...tput=errors404
[OT]Mi sono pure comprato il dominio adesso USD 8,75 incluso il redirect automatico sul mio ip dinamico!![/OT]
Allora mi sorgono un paio di curiositá...

1) Ma davvero é cosí semplice prendere possesso in remoto di un server windows?? Cioé, basta richiamare via browser "cmd.exe" per fare quello che ti pare su un server winzozz (mmm... se cosí fosse, si potrebbe organizzare un paio di giorni di vacanza al lavoro )

2) Premettendo che cerco di aggiornare il sistema del server (Linux Mandrake 9.1 / ADVX con Apache 2) il piú spesso possibile, quali possibili rischi di attacchi "hacker" potrei avere (per hacker qui intendo il piskello quattordicenne sfigato smanettone che pensa sia figo buttare giú i server piú stupidi della terra per puro divertimento )? Eheheh... probabilmente i rischi sono minimi (grazie al pinguino), peró una piccola lezione di sicurezza non puó far male

Grazie a chi mi risponderá!

Saluti da Copenhagen

[#!/bin/sh]

Quote:

Originariamente inviato da toniocartonio
1) Ma davvero é cosí semplice prendere possesso in remoto di un server windows?? Cioé, basta richiamare via browser "cmd.exe" per fare quello che ti pare su un server winzozz (mmm... se cosí fosse, si potrebbe organizzare un paio di giorni di vacanza al lavoro )

2) Premettendo che cerco di aggiornare il sistema del server (Linux Mandrake 9.1 / ADVX con Apache 2) il piú spesso possibile, quali possibili rischi di attacchi "hacker" potrei avere (per hacker qui intendo il piskello quattordicenne sfigato smanettone che pensa sia figo buttare giú i server piú stupidi della terra per puro divertimento )? Eheheh... probabilmente i rischi sono minimi (grazie al pinguino), peró una piccola lezione di sicurezza non puó far male

Grazie a chi mi risponderá!

Saluti da Copenhagen

Premetto che sull'argomento ne so molto poco e quindi quello che dico è limitato alle mie conoscenze. Per prendere controllo di un server, vengono sfruttati gli eventuali bug presenti in un software che ci gira sopra. La prima cosa da fare è quindi cercare di rendersi conto di sistema operativo e che software (versione e release) girano sul server. Una voltra fatto questo, beh si cerca un po se c'e' un metodo per bucare il servizio. Purtroppo quest'ultima fase puo' essere facile se si conoscono i posti giusti dove cercare, mentre la fase piu' difficile è quella precedente, cioè quella di indagine, che mi sa che il soggetto in questione ha saltato à piè pari, avendo cercato di applicare na techinca per un server windows a un server linux. I rischi che puoi correre sono molteplici. Quello + banale è che l'attaccante una volta avuta una shell di root, usi il tuo sistema per fare danni altrove, che potrebbe essere molto poco piacevole, in quanto si rischia di essere incolpati di ciò che non si è fatto....

[toniocartonio]

beh... ovviamente chi ha provato a entrare é un puro cretino, visto che non ha nemmeno guardato i banneroni grossi come casa mia che inneggiano a Linux

Quello che mi chiedevo é piuttosto se esiste una possibilitá di prendere controllo di una macchina linux via browser in maniera cosí semplice...

Penso di sapere giá la risposta (ed é rassicurante ), peró chiedere conferma non guasta, perché ovviamente anche su un sistema solido un banale errore di configurazione puó aprire un portone

[#!/bin/sh]

Beh la risposta è dipende. Dipende come sempre dal software che usi: se usi una versione di apache buggata per cui è stra noto un metodo con cui sfondare, allora la rispota è si. diversamente la riposta è no. sicuramente se tieni aggiornata la tua distribuzione, riduci di molto questo rischio. un altro metodo è l'approccio debian: usare solo versioni stra collaudate dei software. Uno sceglie cosa usare. Ci sono poi altri approcci diversi come quello di distribuzioni compilate interamente con tecniche anti buffer overflow.

[Pardo]

Era uno dei tanti che programmano un affarino x scannare tutti gli ip cercando se ci funziona una certa vulnerabilita`. Ce ne sono anche di tuttofare da downloadare, tipo nss..
O magari e` un vecchio worm..

Cmq la risposta "se e` possibile" e` e sara` sempre si, anche apache ha la sua storia di vulnerabilita` come tutti gli altri..

poi non ho mai usato apache seriamente ma molti servizi in linux possono girare con uid di utente quindi se pure uno ottiene la shell deve sbattersi ulteriormente x trovare un altro exploit e r00tarsi.
Da li` l'importanza di avere una visione globale della sicurezza nel sistema non solo sui servizi cominciando dalle regole fondamentali tipo non lasciare eseguibili suid in giro, ridurre al minimo i permessi su file di configurazione e eseguibili vari, eliminare qualunque programma inutile visto che una volta ke uno e` dentro al sistema non ha piu` quei 4 servizi aperti da bucare ma un universo di roba..

ma a parte tutto cio` effettivamente su un server sarebbe meglio usare debian o magari openBSD :-D
le altre distribuzioni vanno bene x divertirsi ma x la sicurezza non e` bene avere sempre la roba + recente

[toniocartonio]

sí... in effetti con il senno di poi una debian avrebbe fatto piú bella figura... la scelta della Mdk é sta dettata dal fatto di voler usare Apache 2 e non volermi sbattere piú di tanto a configurare il tutto... anche se poi faccio tutto via webmin (che a mio avviso sembra funzionare meglio su debian), e mi manca un po´ il buon vecchio apt (che uso con piacere sul laptop).

Dal punto di vista della sicurezza conto sul fatto che il pacchetto server ADVX di Mandrake é indirizzato ad una utenza business, per cui a patto di prendere sempre le patch aggiornate, non dovrei correre grossi rischi (é ovvio che qualsiasi connessa alla rete é potenzialmente vulnerabile... l´unica soluzione per stare tranquilli é staccare il filo )

Ho in programma di fare un piccolo upgrade di ram, e se avró il tempo proveró a vedere se vale la pena passare a debian anche x il serverino

[VICIUS]

Quote:

Originariamente inviato da toniocartonio
sí... in effetti con il senno di poi una debian avrebbe fatto piú bella figura... la scelta della Mdk é sta dettata dal fatto di voler usare Apache 2 e non volermi sbattere piú di tanto a configurare il tutto... anche se poi faccio tutto via webmin (che a mio avviso sembra funzionare meglio su debian), e mi manca un po´ il buon vecchio apt (che uso con piacere sul laptop).

Dal punto di vista della sicurezza conto sul fatto che il pacchetto server ADVX di Mandrake é indirizzato ad una utenza business, per cui a patto di prendere sempre le patch aggiornate, non dovrei correre grossi rischi (é ovvio che qualsiasi connessa alla rete é potenzialmente vulnerabile... l´unica soluzione per stare tranquilli é staccare il filo )

Ho in programma di fare un piccolo upgrade di ram, e se avró il tempo proveró a vedere se vale la pena passare a debian anche x il serverino

non è che sia poi cosi difficile da installare debian
basta un:

apt-get install apache php4 proftpd

e hai pronto un server con apache, php4 e proftpd come server ftp.

So che per apache 1.3 c'è un modulo apposta per i D.O.S. e cose del genere. Se vuoi aumentare la sicurezza puoi anche mettere php in secure-mode che limita un po le capacita del php ma se non ricordo male tu hai una 10-mbit che puo fare molti danni in giro specialmente se incominciano afar girare sul tuo server uno script che manda dei ping in conitinuazione. poi si potrebbe limitare l'accesso al server ftp solo con nome utente e password. evitando accessi anonimi. poi se si vuole stare sicuri si puo guardare se si riesce a chrootare i veri servizi.

ciao

[toniocartonio]

all´ftp si accede solo con username e password, ed ogni utente ha la sua root nella partizione del server web (/var/www/html/username).

In realtá a suo tempo quando ci giocavo sul laptop avevo Debian (ok... knoppix installata... peró la sostanza é quella ) e girava alla grande apache 1.3.27 con php, mysql e proftpd... fino al giorno in cui non ho deciso di volet installare apache2 invece

cmq per ora ogni intervento superiore all´ordinaria amministrazione é fuori questione... non ho proprio il tempo adesso.

[kingv]

[OT]
francesco mi mandi un pvt e mi dici dove hai comprato il dominio a nove dollari?
grazie

[/OT]

[bico]

Quote:

Originariamente inviato da kingv
[OT]
francesco mi mandi un pvt e mi dici dove hai comprato il dominio a nove dollari?
grazie

[/OT]

magari anche a me

[maxithron]

Diciamo che.....:

Se vuoi difenderti con efficaica paranoica, in prima persona dovresti cercare di "autoviolarti" per avere un'idea dei servizi che anche se non sono buggati magari non sono configurati al 100%.

Poi....considera che è vero che una moltitudine di persone scaricano software per scannare IP e ca@@ate varie sentendosi "posseduti" da Kevin Mitnick....ma spesso:

non hanno un minimo di base di conoscenza
se gli chiediamo cos'è un buffer overflow ci rispondono che è il loro piatto francese preferito
quando arrivano a scrivere nmap e whois, si sentono dei grandi
(ma forse all'inizio tutti ci sentivamo così....beata adolescenza...)

Cmq....quando ho cercato di violarti l'ultima volta....ehm

[toniocartonio]

per chi vuole sapere dove ho comprato il dominio... fatevi un giro sul mio sito (http://www.francescoinsvezia.net )... L'informazione con relativo link é nel secondo post dall'alto ("3 giorni all'alba" del 18 Agosto 2003)

E giá che ci siete, firmate il guestbook e date un'occhiata alla foto

Update: ok... adesso é il terzo post dall'alto... ho aggiunto una news da scompisciarsi dalle risate!!

[maxithron]

sono io che ho problemi ho il tuo sito soffre un pò di sovrapposizioni?

[pagostino]

Molto carino il tuo portale di php-nuke, molto personalizzato.
Complimenti
Ciao

[toniocartonio]

Quote:

Originariamente inviato da maxithron
sono io che ho problemi ho il tuo sito soffre un pò di sovrapposizioni?

mmm... strano l'ho testato il più possibile e non ho mai avuto problemi con:
Mozilla 1.4
MozillaFirebird (su win e linux)
Konqueror
IE 5
IE 6

Tutti alla risoluzione 1024x768 (però non penso sia quello il problema...)

Dammi un po' di dati sul tuo sistema, così provo a vedere cosa può essere.

Ciao

Francesco

p.s. ma il link x il dominio lo hai trovato?

[maxithron]

Aspetta...forse è perchè utilizzo 1280x1024 con due monitor.....aspè che ne stacco uno...........un attimo! lo devo anche disabilitare e.......OK!! E venne fuor a riveder le stelle....!