Ho letto a volte, su questo forum, di tentativi di hackers di intrufolarsi su siti in Drupal. E' un tema interessante, e mi piacerebbe approfondirlo. La prima domanda che mi pongo è la seguente:
Come riconoscere i tentativi di hackeraggio sul sito ?
La risposta, finora trovata, è quella di verificare periodicamente il log di Drupal.
Ogni tanto vedo una serie continua di pagine non trovate generate dallo stesso numero ip (non è google) e le pagine sono più o meno le seguenti (questo accesso viene dal Giappone):
http://giovanninews.com/art-of-illusion /xmlrpc.php
In pratica, l' indirizzo di una pagina corretta, seguita da uno spazio e quindi sempre da /xmlrpc.php.
E' questo un tentativo di hacker o qualche mia configurazione configurazione errata di Drupal ?
Hackers sul sito ?
Lun, 09/11/2009 - 12:15
#1
Hackers sul sito ?
bella domanda....
i tentavi di "intrufolarsi" sono all'ordine del giorno, penso che tenendolo aggiornato per quanto possibile almeno negli aggiornamenti critici e qualche password sufficentemente complesse tengano alla larga un buon numero di "hackers".... penso personalmente che il rischio cresca esponenzialmente in relazione all'importanza e visibilità che un sito, per intenderci nessun'hacker si sentierebbe appagato o soddiusfato di aver bucato il sito di un povero cristo! che magari manco si accorge di lui... è come sentirsi ignorati.
D'altro canto le cose più pericolse sono l'inizione tramite exploit di codice maligno e facciano diventare il tuo sito o ancora peggio il tuo serve una rampa di lancio per spam e/o siti dall'utilità solitamente incentrata a creare click non leciti...
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
Provo a rispondermi da solo.
xmlrpc.php è descritto all' indirizzo http://php.html.it/articoli/leggi/920/xmlrpc-far-dialogare-server-e-prog...
In pratica potrebbe essere un motore di ricerca (non Google) che scansionando le pagine contenute nella sitemap del sito non riceve una corretta risposta dal php del mio server ?
per un periodo ho trovato delle visite anomale con google analitcs quindi non eventuali Bot o crawler a "blocchi" di 12 visite si alcuni siti presenti sul mio hsoting, la cosa curiosa è che venivano tutti dalla stessa zona ed era come se "migrassero" sui miei siti,ogni giorno avveniva questa cosa su un sito diverso... poi anno smesso... secondo mio punto di vista è tenere gli occhi aperti e controllare i log...
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
Comunque, l' errore da me rilevato, è proprio relativo ad una risposta errata del mio server php. Se si ripresenta spesso, mi sa tanto che dovrò rompere le scatole al mio hosting.
Ve lo racconto giusto per informazione storica,
In passato il file xmlrpc.php di drupal era baggato ed era una rampa di lancio per gli attacchi. Quando dico in passato mi riferisco a drupal 4.x se comunque il tuo file xmlrpc.php viene messo nelle sitemap cio non è normale.
Quando poi diciamo che hanno provato ad attaccare un sito drupal difficilmente diciamo che sono riusci a bucarlo. Drupal in fin dei conti è tra i CMF/CMS più sicuri e il secury team è veramente pronto e efficiente.
Uccio
Il mio sito con drupal
Il file xmlrpc.php non è nella sitemap, ma come detto nel primo post, vi erano una ventina di pagine consecutive non trovate alle quali si era tentato l' accesso dallo stesso ip (per questo ho pensato al crowler di un motore di ricerca). Le pagine sono nella sitemap, ma non sono state trovate perchè alla fine dell' indirizzo è stato appunto inserito %20xmlrpc.php (%20 sarebbe lo spazio). Per cui, la pagina con %20xmlrpc.php, è stata cercata dal client che ha aggiunto %20xmlrpc.php oppure è una risposta errata del mio server php ad un client (in questo caso il motore di ricerca) che ha cercato una ventina di pagine consecutivamente con l' indirizzo esatto ?
Ecco queste sono perle di saggezza storiche che per chi ha solo visto la 4.x senza informarsi più di tanto... fà bene a sapersi, grazie Uccio questa mi mancava.
Slice2Theme Servizio per la conversione di Design in markup HTML e/o temi.
WeBrain Solution | Pillsofbits Of Bits
Potrebbe un cracker di basso rango, tipo "Script Kiddie", che non avendo imparato il mistiere, ha fatto l'errore di mettere uno spazio prima del
xmlrpc.php...My 2 cents
John
Più imparo, più dubito.
mmmh... mi sa tanto che mi devo rimettere a studiare. Comunque finora non si sono più visti.