31 Maggio 2022, 16:19
FIDO/W3C: autenticazione senza password
Leggi la notizia sul sito web dell’ Autore
Autore : Redazione news
FIDO/W3C: autenticazione senza password
Web Application Security – dotDefender V5.15 per Windows 2012 e 2012 R2.
Dotdefender ha (finalmente) reso disponibile per il Download ed eventuali test, la versione V5.15 per Windows 2012 e 2012 R2.
A differenza delle versioni successive, in cui vi erano problemi con l’installer tra l’applicazione su IIS e l’installazione delle librerie C++, questa versione si installa e funziona correttamente anche su Windows 2012 e Windows 2012 R2.
Il software può essere scaricato (per TEST) dal sito web del produttore.
https://www.applicure.com/download-latest
Per chi ancora non fosse a conoscenza di questo Software, dotDefender è un software basato su Web Application Firewall installato su Apache o Microsoft IIS Server; fornisce una protezione robusta contro gli attacchi rivolti applicazioni Web.
dotDefender utilizza motori multipli di sicurezza per raggiungere la protezione ottimale:
– Pattern Recognition: Questo motore utilizza regole per rilevare alcuni modelli che potrebbero indicare un attacco e si occupa con l’attacco in base alla configurazione.
– Protezione di Sessione: Il motore di protezione sessione si concentra sulla sessione utente livello, si occupano di sessione di spoofing e le inondazioni del server HTTP con richieste (Denial of Service).
– Firma Knowledgebase: Questo motore utilizza le firme per rilevare nota attacchi, come scanner di vulnerabilità, bot
– Upload di file “Dannosi”: Protegge le cartelle di upload sul server
– Server Masking e perdita di informazioni: mimetizza server e applicazioni contro la perdita di informazioni sensibili.
dotDefender, dotDefender Windows 2012, Sicurezza IIS Windows 2012 r2, Web Application Firewall Windows 2012, Web Application Firewall Windows, Web Application Firewall Windows 2012 iis, Web Application Firewall Windows IIS 8.0, Sicurezza Hosting Windows 2012
WebCruiser – Web Vulnerability Scanner
WebCruiser Web Vulnerability Scanner è uno strumento di test di penetrazione web efficace che vi aiuterà nella verifica del sito web. WebCruiser supporta la scansion per sito web,come POC (Proof of concept) per SQL Injection, Cross Site Scripting, Local Inclusion File, Isolamento inclusione di file, di reindirizzamento e altre vulnerabilità web.
La caratteristica più tipica del WebCruiser, a confronto con altri Scanner Web, è che si concentra sulle vulnerabilità ad alto rischio,ed è possibile digitalizzare un tipo designato di vulnerabilità, un URL designato, o una parte di pagina , mentre altri software di solito non lo faranno .
Tra le nuove caratteristiche ad oggi: Ottimizzazione per Content-Type: multipart / form-data. e SQL Injection per PostgreSQL e SQLite.
Demo : https://vulnweb.janusec.com/
Download : https://www.janusec.com/download/WebCruiser.zip
Web Vulnerability Scanner, penetration tool, server scanner, sito web Vulnerability Scanner, Scanner vulnerabilità sito web
Bloccare l’accesso a un file con Web.Config
Se abbiamo “necessità” di bloccare l’accesso a un file specifico, su IIS (Windows) possiamo utilizzare questa istruzione:
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence=”xmlrpc.php” />
</denyUrlSequences>
</requestFiltering>
</security>
blocco file iis, blocco file Web.Config, bloccare file Web.Config, impedire accesso file iis 2008, blocco file con Web.Config
Rimuovere CryptPHP PHP malware – BlackList
Se il nostro server è stato inserito in blacklist per la presenza del “CryptPHP PHP malware”
è necessario eseguire alcune operazioni prima di “tentare” una rimozione del server dalla blacklist.
Innanzi tutto è necessario sapere che il CryptPHP PHP malware è solitamente nascosto in un file di nome “social.png”. Il nome del file è variabile (es. social01.png) pertanto non può essere “cercato” per nome.
Il contenuto del files è sempre “criptato”.
esempio :
$this->SntMBKFkfTlUzXyNVQed = ‘—–BEGIN PUBLIC KEY—–
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
I sistemi più attaccati sono quelli Linux, solitamente dove sono presenti installazioni di Joomla e WordPress.
Questo file “social*.png” è quasi sempre “posizionato” nelle cartelle dei temi grafici e/o di alcuni plugin.
La rimozione deve essere fatta sul server.
Su Linux è possibile analizzare il sistema con queste stringhe di ricerca più o meno simili (la seconda è più precisa):
find /home/ -name social.png -size 32k -exec rm -rf {} ;
find /home/ -type f -iname “social*.png” -exec grep -E -o ‘php.{0,80}’ {} ; -print
una volta identificati i files dovranno essere rimossi manualmente dalle posizioni indicate.
Per semplificare la rimozione è possibile installare un software Antivirus sul server.
Su server Windows, il files è riconosciuto (ad esempio) da Symantec Endpoint (vedi)
CryptoPHP Removal, Rimuovere CryptoPHP, Trovare file CryptoPHP, Come identificare CryptoPHP, Come rimuovere social.png CryptoPHP, CryptoPHP search windows folder
IIS + php-cgi.exe + 100% CPU
Se il WEB Server utilizza il 100% della CPU:
è possibile controllare i processi attivi. Uno di questi potrebbe essere php-cgi.exe.
In questo caso è possibile che un sito web sia stato “hackerato” e/o “preso di mira” da un attacco Ddos.
Per risolvere il problema :
- Rimuovere temporaneamente la rete al server, in modo da eseguire un IISreset o direttamente un riavvio.
- Se il server dispone di PHP in cartelle multiple (ved esempio in immagine allegata) “rinominare” tutte le cartelle in –OLD
- Fornire nuovamente la RETE al server
- Installare sul server una versione DEMO di IISTRACER oppure, se su server Windows 2008/2013 seguire questa guida.
- IIstracer provvederà a mostrare quale sito internet sta effettuando/ricevendo più richieste.
- Disabilitare il singolo sito web e ripristinare le cartelle PHP
Se non fosse possibile utilizzare IISTRACER :
- Se il server dispone di PHP in cartelle multiple (ved esempio in immagine allegata) “rinominare” le cartelle al nome originale UNA ALLA VOLTA. In questo modo sarà possibile trovare l’installazione interessata.
- Se si dispone di 1 sola installazione di PHP, abilitare il LOG da php.ini; potrebbe portare a un risultato.
- In extremis analizzare i Log di IIS con un programma di ricerca, per identificare il file di .log più grande generato sul server.
php-cgi.exe, php-cgi.exe Cpu, php-cgi.exe 100% Cpu
Performance Monitor – Utilizzo da Postazione Remota
Solitamente si “tende” ad utilizzare Performance Monitor direttamente sul server e/o visualizzato in una sessione Terminal.
Tuttavia è possibile utilizzare MMC, su un computer locale Windows 7 o Windows 8.1, per monitorare “più sessioni” di Performance Monitor contemporaneamente, come da immagine:
Per farlo sono necessarie alcune impostazioni importanti (altrimenti si riceverà l’errore “Accesso Negato”).
Innanzi tutto l’utente da utilizzare, sul Pc locale, deve essere il medesimo del server.
Questo potrebbe essere “leggermente” complesso quando i server utilizzano “Administrator” e il computer locale, con Windows 8, utilizza un account microsoft.
Creare sul server un secondo utente del gruppo Administrators (es. s.fault).
Creare lo stesso utente con la stessa password tra gli utenti (locali) del Pc Windows Client.
A questo punto potremo avviare Performance Monitor ma con l’accorgimento di “tenere” premuto il tasto SHIFT (sinistro) prima di “Cliccare con il tasto destro” del Mouse sull’icona del programma. In questo modo si utilizzerà una nuova voce : Esegui come altro utente.
Utilizzare le credenziali, precedentemente create, per la connessione.
Attenzione a come viene impostato il nome del “Computer Locale” nel campo di accesso :
In seguito Performance Monitor verrà avviato e sarà possibile connettersi al server con la funzione “Connetti ad un altro Computer” via IP
Performance Monitor, Utilizzo Performance Monitor da Windows 7, Connessione Windows Server Performance Monitor, Performance Monitor da Remoto, Performance Monitor da postazione remota, Connessione a Performance Monitor Windows 2012, Connessione a Performance Monitor Windows 2008, Connessione a Dati di Performance Monitor Windows, Connessione a Performance Monitor Windows Server
Monitor Processi di Lavoro in IIS 7.0 (alternativa IISTracer)
Su IIS 7.0 è possibile controllare, direttamente dalla consolle, tutti i processi di lavoro del server senza installare tools di terze parti (es. IisTracer).
Questo monitor si utilizza quando ci si accorge che un processo di lavoro utilizza molte risorse sul server Web, o le richieste stanno “richiedendo”molto tempo per essere elaborate. Con questo monitoraggio è possibile visualizzare l’elenco di richieste attuali che “insistono” in un processo di lavoro specifico.
Ad esempio, è possibile che la richiesta di un file particolare provochi un elevato utilizzo della memoria; si possono quindi “reperire” le informazioni sul sito o l’applicazione. E’ possibile che un processo di lavoro richieda molto tempo per elaborare le richieste., in questo caso è possibile visualizzare quali richieste sono in fase di elaborazione nel processo di lavoro.
Utilizzare la consolle di IIS 7.0 nel modo seguente:
- Aprire Gestione IIS.
- Nel riquadro, selezionare il nodo server nella struttura.
- Nella visualizzazione centrale, scendere fino al gruppo IIS e fare doppio clic su processi di lavoro (in inglese : Worker Processes) .
- Selezionare un processo di lavoro dalla rete.
- Fare clic su Visualizza richieste correnti (nel riquadro Azioni).
- Visualizzare l’elenco delle richieste nella griglia.
IIStracer per iis 7.0, alternativa iistracer, iistracer Windows 2008, iistracer Windows 2012, processi di lavoro iis
Errore – msxml3.dll error ‘800c0005’ – global.asa -2146697211
Se il vostro sito web è bloccato con il seguente errore :
msxml3.dll error ‘800c0005’
System error: -2146697211.
/LM/w3svc/***/ROOT/global.asa, line 138
Potrebbe trattarsi di un attacco Hacker. Se il sito web “non utilizza” global.asa, questo file è stato sicuramente introdotto nello spazio del sito web come accesso indesiderato.
Analizzando il server però, questo file “non compare” nella cartella, non è visibile via FTP, non è visibile al prompt dei comandi e non si può intervenire con Deltree o altri sistemi di cancellazione
Il file è stato creato e bloccato utilizzando un’utility chiamata Easy file locker.
E’ probabile che non si troverà questo software installato nel sistema perchè vanta solo di tre file : .exe, 1 DLL e un file .INI di configurazione.
Solitamente il file .INI : xlkfs.ini è ubicato sotto la directory di Windows. Da questo files sarà possibile avere un elenco di tutti i files che sono stati creati/bloccati.
Come Risolvere per il sito web.
Cambiare la cartella.
Se il nostro sito web era ubicato in c:inetpubwww.sito.it, spostare il contenuto in c:inetpubsito.it.
Il file protetto da Easy file locker non sarà copiato. Aggiornare il informazioni su IIS relative alla nuova cartella.
La vecchia cartella ( c:inetpubwww.sito.it ) può essere cancellata solo con UNLOCKER
Come risolvere il problema per il Server.
Effettuare una ricerca, in tutto il disco C, dei seguenti files : xlkfs.sys, xlkfs.dll e xlkfs.ini
Trovarli e renderli “Non accessibili” con EVERYONE > Full Controll > Denied Access.
Possono essere cancellati ma solo con Unlocker, tuttavia bloccarne l’utilizzo impedirà futuri utilizzi di questo software
Per trovare Easy file locker invece procedere così : cercare di scaricare Easy file locker dal sito web del produttore. Avviare l’installazione.
Quando questa si avvia “cercherà” di aggiornare Easy file locker attualmente installato e, prelevando dal registro la sua cartella di installazione, ci “proporrà” di installare nella medesima cartella. In questo modo abbiamo trovato il .Exe di Easy file locker.
Rimuovendo le DLL e il file .SYS è possibile (ma non sempre capita!) che i file global.asa tornino “visibili”.
Utilizzare xlkfs.ini per cancellarli da tutti i siti web che sono stati modificati
msxml3.dll error 800c0005 global.asa, global.asa System error2146697211, global.asa non presente in cartella, file global.asa non presente, errore su global.asa, global.asa not in folder, global.asa file nascosti, global.asa visualizzazione file di sistema
Disattivazione ASP filesystemobject per singolo sito web
“FileSystemObject” è ( e sarà sempre!) il più grande problema relativo a defacement, hacker e attacchi sul server.
Sarebbe consigliabile rimuovere questa funzionalità su un server di Hosting ma sappiamo che è “impossibile” in quanto molti sistemi (asp, ecc.) funzionano con letture file e/o scritture su disco, ecc (basta pensare a un contatore accessi con salvataggio su file .txt)
Per limitare il problema … è possibile “scegliere” quali siti web (configurati su IIS) possono utilizzare FileSystemObject.
Per ogni sito web è necessario creare un utente di sistema locale (es. web001) o sul domain controller. Tale utente dovrà essere impostato anche nella sezione “security” di IIS in modo che “il singolo” sito web esegua l’accesso (ai dati) con tale utente (attenzione alle permission Ntfs).
Per “bloccare” FileSystemObject in modo da renderlo disponibile solo a “chi vogliamo”, procedere in questo modo.
- Creare un Gruppo sul server (es. UtentiFSO)
- Assegnare al Gruppo gli utenti che dovranno avere accesso a FileSystemObject
- Modificare i permessi della seguente chiave di registro : HKEY_CLASSES_ROOTScripting.FileSystemObject , in modo da rimuovere “Everyone” o “Autenticated Users”. Consentire il controllo a System, Administrator e UtentiFSO
Dopo questa modifica, FileSystemObject sarà disponibile solo gli utenti del gruppo “UtentiFSO”.
Sarà necessario IISreset per l’applicazione della regola.
NOTA IMPORTANTE:
Gli utenti che “tenteranno” di utilizzare FileSystemObject ma non “abilitati” riceveranno l’errore:
Microsoft OLE DB Provider for ODBC Drivers error ‘800401f3’
[Microsoft][ODBC Microsoft Access Driver]General error Unable to open registry key ‘Temporary (volatile) Jet DSN for process 0x1454 Thread 0x149c DBC 0x1b59fec Jet’.
FileSystemObject, disabilitare FileSystemObject, disattivare FileSystemObject, Windows Server IIS FileSystemObject, deactivate FileSystemObject, disattivare iis FileSystemObject , hacker e FileSystemObject, script con FileSystemObject, impedire utilizzo di FileSystemObject, General error Unable to open registry key ‘Temporary
