Se abbiamo “necessità” di bloccare l’accesso a un file specifico, su IIS (Windows) possiamo utilizzare questa istruzione:
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence=”xmlrpc.php” />
</denyUrlSequences>
</requestFiltering>
</security>
blocco file iis, blocco file Web.Config, bloccare file Web.Config, impedire accesso file iis 2008, blocco file con Web.Config
Se il nostro server è stato inserito in blacklist per la presenza del “CryptPHP PHP malware”
è necessario eseguire alcune operazioni prima di “tentare” una rimozione del server dalla blacklist.
Innanzi tutto è necessario sapere che il CryptPHP PHP malware è solitamente nascosto in un file di nome “social.png”. Il nome del file è variabile (es. social01.png) pertanto non può essere “cercato” per nome.
Il contenuto del files è sempre “criptato”.
esempio :
$this->SntMBKFkfTlUzXyNVQed = ‘—–BEGIN PUBLIC KEY—–
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
I sistemi più attaccati sono quelli Linux, solitamente dove sono presenti installazioni di Joomla e WordPress.
Questo file “social*.png” è quasi sempre “posizionato” nelle cartelle dei temi grafici e/o di alcuni plugin.
La rimozione deve essere fatta sul server.
Su Linux è possibile analizzare il sistema con queste stringhe di ricerca più o meno simili (la seconda è più precisa):
find /home/ -name social.png -size 32k -exec rm -rf {} ;
find /home/ -type f -iname “social*.png” -exec grep -E -o ‘php.{0,80}’ {} ; -print
una volta identificati i files dovranno essere rimossi manualmente dalle posizioni indicate.
Per semplificare la rimozione è possibile installare un software Antivirus sul server.
Su server Windows, il files è riconosciuto (ad esempio) da Symantec Endpoint (vedi)
CryptoPHP Removal, Rimuovere CryptoPHP, Trovare file CryptoPHP, Come identificare CryptoPHP, Come rimuovere social.png CryptoPHP, CryptoPHP search windows folder
Se il WEB Server utilizza il 100% della CPU:
è possibile controllare i processi attivi. Uno di questi potrebbe essere php-cgi.exe.
In questo caso è possibile che un sito web sia stato “hackerato” e/o “preso di mira” da un attacco Ddos.
Per risolvere il problema :
Se non fosse possibile utilizzare IISTRACER :
php-cgi.exe, php-cgi.exe Cpu, php-cgi.exe 100% Cpu
Solitamente si “tende” ad utilizzare Performance Monitor direttamente sul server e/o visualizzato in una sessione Terminal.
Tuttavia è possibile utilizzare MMC, su un computer locale Windows 7 o Windows 8.1, per monitorare “più sessioni” di Performance Monitor contemporaneamente, come da immagine:
Per farlo sono necessarie alcune impostazioni importanti (altrimenti si riceverà l’errore “Accesso Negato”).
Innanzi tutto l’utente da utilizzare, sul Pc locale, deve essere il medesimo del server.
Questo potrebbe essere “leggermente” complesso quando i server utilizzano “Administrator” e il computer locale, con Windows 8, utilizza un account microsoft.
Creare sul server un secondo utente del gruppo Administrators (es. s.fault).
Creare lo stesso utente con la stessa password tra gli utenti (locali) del Pc Windows Client.
A questo punto potremo avviare Performance Monitor ma con l’accorgimento di “tenere” premuto il tasto SHIFT (sinistro) prima di “Cliccare con il tasto destro” del Mouse sull’icona del programma. In questo modo si utilizzerà una nuova voce : Esegui come altro utente.
Utilizzare le credenziali, precedentemente create, per la connessione.
Attenzione a come viene impostato il nome del “Computer Locale” nel campo di accesso :
In seguito Performance Monitor verrà avviato e sarà possibile connettersi al server con la funzione “Connetti ad un altro Computer” via IP
Performance Monitor, Utilizzo Performance Monitor da Windows 7, Connessione Windows Server Performance Monitor, Performance Monitor da Remoto, Performance Monitor da postazione remota, Connessione a Performance Monitor Windows 2012, Connessione a Performance Monitor Windows 2008, Connessione a Dati di Performance Monitor Windows, Connessione a Performance Monitor Windows Server
Su IIS 7.0 è possibile controllare, direttamente dalla consolle, tutti i processi di lavoro del server senza installare tools di terze parti (es. IisTracer).
Questo monitor si utilizza quando ci si accorge che un processo di lavoro utilizza molte risorse sul server Web, o le richieste stanno “richiedendo”molto tempo per essere elaborate. Con questo monitoraggio è possibile visualizzare l’elenco di richieste attuali che “insistono” in un processo di lavoro specifico.
Ad esempio, è possibile che la richiesta di un file particolare provochi un elevato utilizzo della memoria; si possono quindi “reperire” le informazioni sul sito o l’applicazione. E’ possibile che un processo di lavoro richieda molto tempo per elaborare le richieste., in questo caso è possibile visualizzare quali richieste sono in fase di elaborazione nel processo di lavoro.
Utilizzare la consolle di IIS 7.0 nel modo seguente:
IIStracer per iis 7.0, alternativa iistracer, iistracer Windows 2008, iistracer Windows 2012, processi di lavoro iis
Se il vostro sito web è bloccato con il seguente errore :
msxml3.dll error ‘800c0005’
System error: -2146697211.
/LM/w3svc/***/ROOT/global.asa, line 138
Potrebbe trattarsi di un attacco Hacker. Se il sito web “non utilizza” global.asa, questo file è stato sicuramente introdotto nello spazio del sito web come accesso indesiderato.
Analizzando il server però, questo file “non compare” nella cartella, non è visibile via FTP, non è visibile al prompt dei comandi e non si può intervenire con Deltree o altri sistemi di cancellazione
Il file è stato creato e bloccato utilizzando un’utility chiamata Easy file locker.
E’ probabile che non si troverà questo software installato nel sistema perchè vanta solo di tre file : .exe, 1 DLL e un file .INI di configurazione.
Solitamente il file .INI : xlkfs.ini è ubicato sotto la directory di Windows. Da questo files sarà possibile avere un elenco di tutti i files che sono stati creati/bloccati.
Come Risolvere per il sito web.
Cambiare la cartella.
Se il nostro sito web era ubicato in c:inetpubwww.sito.it, spostare il contenuto in c:inetpubsito.it.
Il file protetto da Easy file locker non sarà copiato. Aggiornare il informazioni su IIS relative alla nuova cartella.
La vecchia cartella ( c:inetpubwww.sito.it ) può essere cancellata solo con UNLOCKER
Come risolvere il problema per il Server.
Effettuare una ricerca, in tutto il disco C, dei seguenti files : xlkfs.sys, xlkfs.dll e xlkfs.ini
Trovarli e renderli “Non accessibili” con EVERYONE > Full Controll > Denied Access.
Possono essere cancellati ma solo con Unlocker, tuttavia bloccarne l’utilizzo impedirà futuri utilizzi di questo software
Per trovare Easy file locker invece procedere così : cercare di scaricare Easy file locker dal sito web del produttore. Avviare l’installazione.
Quando questa si avvia “cercherà” di aggiornare Easy file locker attualmente installato e, prelevando dal registro la sua cartella di installazione, ci “proporrà” di installare nella medesima cartella. In questo modo abbiamo trovato il .Exe di Easy file locker.
Rimuovendo le DLL e il file .SYS è possibile (ma non sempre capita!) che i file global.asa tornino “visibili”.
Utilizzare xlkfs.ini per cancellarli da tutti i siti web che sono stati modificati
msxml3.dll error 800c0005 global.asa, global.asa System error2146697211, global.asa non presente in cartella, file global.asa non presente, errore su global.asa, global.asa not in folder, global.asa file nascosti, global.asa visualizzazione file di sistema
“FileSystemObject” è ( e sarà sempre!) il più grande problema relativo a defacement, hacker e attacchi sul server.
Sarebbe consigliabile rimuovere questa funzionalità su un server di Hosting ma sappiamo che è “impossibile” in quanto molti sistemi (asp, ecc.) funzionano con letture file e/o scritture su disco, ecc (basta pensare a un contatore accessi con salvataggio su file .txt)
Per limitare il problema … è possibile “scegliere” quali siti web (configurati su IIS) possono utilizzare FileSystemObject.
Per ogni sito web è necessario creare un utente di sistema locale (es. web001) o sul domain controller. Tale utente dovrà essere impostato anche nella sezione “security” di IIS in modo che “il singolo” sito web esegua l’accesso (ai dati) con tale utente (attenzione alle permission Ntfs).
Per “bloccare” FileSystemObject in modo da renderlo disponibile solo a “chi vogliamo”, procedere in questo modo.
Dopo questa modifica, FileSystemObject sarà disponibile solo gli utenti del gruppo “UtentiFSO”.
Sarà necessario IISreset per l’applicazione della regola.
NOTA IMPORTANTE:
Gli utenti che “tenteranno” di utilizzare FileSystemObject ma non “abilitati” riceveranno l’errore:
Microsoft OLE DB Provider for ODBC Drivers error ‘800401f3’
[Microsoft][ODBC Microsoft Access Driver]General error Unable to open registry key ‘Temporary (volatile) Jet DSN for process 0x1454 Thread 0x149c DBC 0x1b59fec Jet’.
FileSystemObject, disabilitare FileSystemObject, disattivare FileSystemObject, Windows Server IIS FileSystemObject, deactivate FileSystemObject, disattivare iis FileSystemObject , hacker e FileSystemObject, script con FileSystemObject, impedire utilizzo di FileSystemObject, General error Unable to open registry key ‘Temporary
Il seguente “spezzone” di codice in linguaggio in VbScript ( Windows Script Host ) si utilizza per il monitoraggio della data di modifica di un file.
E’ estremamente semplice ed invia una e-mail al cambiamento della data di modifica (forzata nel codice)
[php]</pre>
strFile = "C:Rootwww.***.itindex.html"
SET objFSO = CREATEOBJECT("Scripting.FileSystemObject")
SET objFile = objFSO.GetFile(strFile)
‘wscript.echo "File Modified: " & CDATE( objFile.DateLastModified)
modifica = CDATE( objFile.DateLastModified)
If modifica <> "24/11/2014 16.13.06" then
Const MAIL_MODE = 2
Const MAIL_SERV = "mail.****"
Const MAIL_PORT = 25
Set objEmail = CreateObject("CDO.Message")
With objEmail
.From = "****"
.To = "****"
.Subject = "[FILE MODIFICATO]"
.Textbody = "TESTO"
.Configuration.Fields.Item("https://schemas.microsoft.com/cdo/configuration/sendusing") = MAIL_MODE
.Configuration.Fields.Item("https://schemas.microsoft.com/cdo/configuration/smtpserver") = MAIL_SERV
.Configuration.Fields.Item("https://schemas.microsoft.com/cdo/configuration/smtpserverport") = MAIL_PORT
.Configuration.Fields.Update
.Send
End With
End If
<pre>
[/php]
Altri script in VbScript che potrebbero interessarti :
[catlist id=218 numberposts=40]
Fonti : Data di Modifica di un File, Vbscript Data di Modifica di un File, Leggere Data di Modifica di un File, Alert su Data di Modifica di un File, Avviso Data di Modifica di un File, Avviso via e-mail cambiamento Data di Modifica di un File, Data di Modifica di un File
I valori di ISAPI, nel webServer sono in continuo “movimento” e sarebbe consigliabile effettuare un controllo “periodico”, specialmente se il server web fosse stato “mira” di hacker e/o in caso di applicazioni con connessioni “pesanti” a database o in utilizzo di XML parsing.
Per avere informazioni “maggiori” su ISAPI, vi rimando a questo articolo.
Se il server WEB Iis fosse stato “mira” di “hacker” è possibile che siano generate delle pagine script per catturare contenuti da fonti esterne e/o riscrivere “al volo” pagine htm/html sul server (woolrich, ecc.). Queste pagine, successivamente, saranno richiamate in modo continuo e potrebbero generare un impennata continua di ISAPI nel webserver.
Per effettuare un monitoraggio delle ISAPI a cadenze di tempo prestabilite (Operazioni Pianificate) si può utilizzare il seguente script in VBS : Controllo-Riavvio-suISAPI
Lo script è stato “creato” sulla base di questo articolo e provvederà ad inviare un messaggio e-mail quando il valore ISAPI sarà superiore a una certa soglia per un tot di secondi.
A questo punto si potrà intervenire con IISTRACER
IIS Server Compromesso, Monitoraggio Isapi, Alert isapi, Isapi hacked Server, Monitoraggio server Web Compromesso, Controllo server Web Compromesso, Monitoraggio server iis Compromesso
Uno dei più grandi “errori” dei sistemisti per WebServer Windows su IIS è sempre stato quello di “consentire” Application Extension che il “cliente” non utilizza ma che sono una vera “manna” per hacker & co. Se i vostri clienti non utilizzano Php, Asp.Net, ecc… è consigliabile rimuovere queste funzionalità dai propri Host e non “lasciarle li” a disposizione, casomai il cliente un giorno “decidesse” di utilizzarle.
Se il cliente deciderà di utilizzare nuovi linguaggi, richiederà l’ABILITAZIONE dello scriptmap solo per il proprio Host, ma fare ciò è ben diverso dal fornire una funzionalità già pre-confezionata a tutti gli utenti del server. Se un altro sito web “subisse” un accesso via FTP, il “malintenzionato” potrebbe caricare un file PHP per fare eventuali danni. Ovviamente la sicurezza sarebbe “garantita” dai corretti permessi NTFS tra le varie cartelle del disco ma ho scoperto che alcuni file in .Aspx utilizzano altri “utenti” che hanno accesso a varie cartelle di sistema.
Pertanto è consiglibile RIMUOVERE eventuali estensioni non utilizzate.
per maggiori informazioni potete consultare questo articolo : http://www.serverbay.it/?p=2443
Il tools SCARICABILE da qui : Remove_Scriptmap
ha bisogno del VBS “scriptmap.vbs” per funzionare, incluso (di solito) in c:inetpubAdminiscripts
Remove ScriptMap creerà un file .BAT di questo tipo :
Cscript scriptmap.vbs -n 10117 -d .aspx
REM www.youcloud.it
la riga in REM serve solo per vedere quale sito web è “legato” all’ID riportato nella riga subito superiore.
Nell’esempio proposto, scriptmap rimuove lo script mapping .aspx
Sicurezza Web Server, Sicurezza IIS Web Server, script mapping IIS, rimuovere asp.net IIS, imuovere estensione asp.net IIS, imuovere estensione script IIS, rimuovere scriptmap iis, rimuovere script tutti siti web IIS, iis rimuovere scriptmap, aspx disattivare IIS
Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.
Contact us: info@gensys.it
© Copyright 2022 - Serverbay.it - Eteon.it
