23.5 C
Firenze
lunedì, Maggio 12, 2025
Home Blog Page 3073

Performance Monitor – Utilizzo da Postazione Remota

Andrea C.
-
0

Solitamente si “tende” ad utilizzare Performance Monitor direttamente sul server e/o visualizzato in una sessione Terminal.
Tuttavia è possibile utilizzare MMC, su un computer locale Windows 7 o Windows 8.1, per monitorare “più sessioni” di Performance Monitor contemporaneamente, come da immagine:

Performance Monitor da REMOTO Windows 8

Per farlo sono necessarie alcune impostazioni importanti (altrimenti si riceverà l’errore “Accesso Negato”).
Innanzi tutto l’utente da utilizzare, sul Pc locale, deve essere il medesimo del server.
Questo potrebbe essere “leggermente” complesso quando i server utilizzano “Administrator” e il computer locale, con Windows 8, utilizza un account microsoft.
Creare sul server un secondo utente del gruppo Administrators (es. s.fault).
Creare lo stesso utente con la stessa password tra gli utenti (locali) del Pc Windows Client.

A questo punto potremo avviare Performance Monitor ma con l’accorgimento di “tenere” premuto il tasto SHIFT (sinistro) prima di “Cliccare con il tasto destro” del Mouse sull’icona del programma. In questo modo si utilizzerà una nuova voce : Esegui come altro utente.

Esegui come Altro Utente Windows 8

Utilizzare le credenziali, precedentemente create, per la connessione.
Attenzione a come viene impostato il nome del “Computer Locale” nel campo di accesso :

Nome Utente con PC

In seguito Performance Monitor verrà avviato e sarà possibile connettersi al server con la funzione “Connetti ad un altro Computer” via IP

Performance Monitor, Utilizzo Performance Monitor da Windows 7, Connessione Windows Server Performance Monitor, Performance Monitor da Remoto, Performance Monitor da postazione remota, Connessione a Performance Monitor Windows 2012, Connessione a Performance Monitor Windows 2008, Connessione a Dati di Performance Monitor Windows, Connessione a Performance Monitor Windows Server

Monitor Processi di Lavoro in IIS 7.0 (alternativa IISTracer)

Andrea C.
-
0

Su IIS 7.0 è possibile controllare, direttamente dalla consolle, tutti i processi di lavoro del server senza installare tools di terze parti (es. IisTracer).
Questo monitor si utilizza quando ci si accorge che un processo di lavoro utilizza molte risorse sul server Web, o le richieste stanno “richiedendo”molto tempo per essere elaborate. Con questo monitoraggio è possibile visualizzare l’elenco di richieste attuali che “insistono” in un processo di lavoro specifico.

Ad esempio, è possibile che la richiesta di un file particolare provochi un elevato utilizzo della memoria; si possono quindi “reperire” le informazioni sul sito o l’applicazione. E’ possibile che un processo di lavoro richieda molto tempo per elaborare le richieste., in questo caso è  possibile visualizzare quali richieste sono in fase di elaborazione nel processo di lavoro.

Utilizzare la consolle di IIS 7.0 nel modo seguente:

  • Aprire Gestione IIS.
  • Nel riquadro, selezionare il nodo server nella struttura.
  • Nella visualizzazione centrale, scendere fino al gruppo IIS e fare doppio clic su processi di lavoro (in inglese : Worker Processes) .
  • Selezionare un processo di lavoro dalla rete.
  • Fare clic su Visualizza richieste correnti (nel riquadro Azioni).
  • Visualizzare l’elenco delle richieste nella griglia.

IIStracer per iis 7.0, alternativa iistracer, iistracer Windows 2008, iistracer Windows 2012, processi di lavoro iis

Errore – msxml3.dll error ‘800c0005’ – global.asa -2146697211

Andrea C.
-
0

Se il vostro sito web è bloccato con il seguente errore :

msxml3.dll error ‘800c0005’
System error: -2146697211.
/LM/w3svc/***/ROOT/global.asa, line 138

Potrebbe trattarsi di un attacco Hacker. Se il sito web “non utilizza” global.asa, questo file è stato sicuramente introdotto nello spazio del sito web come accesso indesiderato.
Analizzando il server però, questo file “non compare” nella cartella, non è visibile via FTP, non è visibile al prompt dei comandi e non si può intervenire con Deltree o altri sistemi di cancellazione

Il file è stato creato e bloccato utilizzando un’utility chiamata Easy file locker.
E’ probabile che non si troverà questo software installato nel sistema perchè vanta solo di tre file : .exe, 1 DLL e un file .INI di configurazione.
Solitamente il file .INI : xlkfs.ini è ubicato sotto la directory di Windows. Da questo files sarà possibile avere un elenco di tutti i files che sono stati creati/bloccati.

Come Risolvere per il sito web.
Cambiare la cartella.
Se il nostro sito web era ubicato in c:inetpubwww.sito.it, spostare il contenuto in  c:inetpubsito.it.
Il file protetto da Easy file locker non sarà copiato. Aggiornare il informazioni su IIS relative alla nuova cartella.
La vecchia cartella ( c:inetpubwww.sito.it ) può essere cancellata solo con UNLOCKER

Come risolvere il problema per il Server.
Effettuare una ricerca, in tutto il disco C, dei seguenti files : xlkfs.sys, xlkfs.dll e xlkfs.ini
Trovarli e renderli “Non accessibili” con EVERYONE > Full Controll > Denied Access.
Possono essere cancellati ma solo con Unlocker, tuttavia bloccarne l’utilizzo impedirà futuri utilizzi di questo software
Per trovare Easy file locker invece procedere così : cercare di scaricare Easy file locker dal sito web del produttore. Avviare l’installazione.
Quando questa si avvia “cercherà” di aggiornare Easy file locker attualmente installato e, prelevando dal registro la sua cartella di installazione, ci “proporrà” di installare nella medesima cartella. In questo modo abbiamo trovato il .Exe di Easy file locker.
Rimuovendo le DLL e il file .SYS è possibile (ma non sempre capita!) che i file global.asa tornino “visibili”.
Utilizzare xlkfs.ini per cancellarli da tutti i siti web che sono stati modificati

msxml3.dll error 800c0005 global.asa, global.asa System error2146697211, global.asa non presente in cartella, file global.asa non presente, errore su global.asa, global.asa not in folder, global.asa file nascosti, global.asa visualizzazione file di sistema

Disattivazione ASP filesystemobject per singolo sito web

Andrea C.
-
0

FileSystemObject” è ( e sarà sempre!) il più grande problema relativo a defacement, hacker e attacchi sul server.
Sarebbe consigliabile rimuovere questa funzionalità su un server di Hosting ma sappiamo che è “impossibile” in quanto molti sistemi (asp, ecc.) funzionano con letture file e/o scritture su disco, ecc (basta pensare a un contatore accessi con salvataggio su file .txt)
Per limitare il problema … è possibile “scegliere” quali siti web (configurati su IIS) possono utilizzare FileSystemObject.
Per ogni sito web è necessario creare un utente di sistema locale (es. web001) o sul domain controller. Tale utente dovrà essere impostato anche nella sezione “security” di IIS in modo che “il singolo” sito web esegua l’accesso (ai dati) con tale utente (attenzione alle permission Ntfs).

Per “bloccare” FileSystemObject in modo da renderlo disponibile solo a “chi vogliamo”, procedere in questo modo.

  • Creare un Gruppo sul server (es. UtentiFSO)
  • Assegnare al Gruppo gli utenti che dovranno avere accesso a FileSystemObject
  • Modificare i permessi della seguente chiave di registro : HKEY_CLASSES_ROOTScripting.FileSystemObject , in modo da rimuovere “Everyone” o “Autenticated Users”. Consentire il controllo a System, Administrator e UtentiFSO

Dopo questa modifica, FileSystemObject sarà disponibile solo gli utenti del gruppo “UtentiFSO”.
Sarà necessario IISreset per l’applicazione della regola.

NOTA IMPORTANTE:
Gli utenti che “tenteranno” di utilizzare FileSystemObject ma non “abilitati” riceveranno l’errore:

Microsoft OLE DB Provider for ODBC Drivers error ‘800401f3’
[Microsoft][ODBC Microsoft Access Driver]General error Unable to open registry key ‘Temporary (volatile) Jet DSN for process 0x1454 Thread 0x149c DBC 0x1b59fec Jet’.

FileSystemObject, disabilitare FileSystemObject, disattivare FileSystemObject, Windows Server IIS FileSystemObject, deactivate FileSystemObject, disattivare iis FileSystemObject , hacker e FileSystemObject, script con FileSystemObject, impedire utilizzo di FileSystemObject, General error Unable to open registry key ‘Temporary

VbScript – Attivare un Avviso sul cambio di Data di Modifica di un File

Andrea C.
-
0

Il seguente “spezzone” di codice in linguaggio in VbScript ( Windows Script Host ) si utilizza per il monitoraggio della data di modifica di un file.
E’ estremamente semplice ed invia una e-mail al cambiamento della data di modifica (forzata nel codice)

[php]</pre>
strFile = "C:Rootwww.***.itindex.html"

SET objFSO = CREATEOBJECT("Scripting.FileSystemObject")
SET objFile = objFSO.GetFile(strFile)
‘wscript.echo "File Modified: " & CDATE( objFile.DateLastModified)
modifica = CDATE( objFile.DateLastModified)

If modifica <> "24/11/2014 16.13.06" then
Const MAIL_MODE = 2
Const MAIL_SERV = "mail.****"
Const MAIL_PORT = 25

Set objEmail = CreateObject("CDO.Message")
With objEmail
.From = "****"
.To = "****"
.Subject = "[FILE MODIFICATO]"
.Textbody = "TESTO"
.Configuration.Fields.Item("https://schemas.microsoft.com/c­do/configuration/sendusing") = MAIL_MODE
.Configuration.Fields.Item("https://schemas.microsoft.com/c­do/configuration/smtpserver") = MAIL_SERV
.Configuration.Fields.Item("https://schemas.microsoft.com/c­do/configuration/smtpserverport") = MAIL_PORT
.Configuration.Fields.Update
.Send
End With
End If
<pre>
[/php]

Altri script in VbScript che potrebbero interessarti :

[catlist id=218 numberposts=40]

Fonti : Data di Modifica di un File, Vbscript Data di Modifica di un File, Leggere Data di Modifica di un File, Alert su Data di Modifica di un File, Avviso Data di Modifica di un File, Avviso via e-mail cambiamento Data di Modifica di un File, Data di Modifica di un File

Monitoraggio ISAPI su IIS in caso di Server Compromesso (hacked)

Andrea C.
-
0

current isapi extension requestsI valori di ISAPI, nel webServer sono in continuo “movimento” e sarebbe consigliabile effettuare un controllo “periodico”, specialmente se il server web fosse stato “mira” di hacker e/o in caso di applicazioni con connessioni “pesanti” a database o in utilizzo di XML parsing.

Per avere informazioni “maggiori” su ISAPI, vi rimando a questo articolo.

Se il server WEB Iis fosse stato “mira” di “hacker” è possibile che siano generate delle pagine script per catturare contenuti da fonti esterne e/o riscrivere “al volo” pagine htm/html sul server (woolrich, ecc.). Queste pagine, successivamente, saranno richiamate in modo continuo e potrebbero generare un impennata continua di ISAPI nel webserver.

Per effettuare un monitoraggio delle ISAPI a cadenze di tempo prestabilite (Operazioni Pianificate) si può utilizzare il seguente script in VBS : Controllo-Riavvio-suISAPI

Lo script è stato “creato” sulla base di questo articolo e provvederà ad inviare un messaggio e-mail quando il valore ISAPI sarà superiore a una certa soglia per un tot di secondi.
A questo punto si potrà intervenire con IISTRACER

IIS Server Compromesso, Monitoraggio Isapi, Alert isapi, Isapi hacked Server, Monitoraggio server Web Compromesso, Controllo server Web Compromesso, Monitoraggio server iis Compromesso

IIS – Come comportarsi con le estensioni Scriptmap non in utilizzo?

Andrea C.
-
0

Uno dei più grandi “errori” dei sistemisti per WebServer Windows su IIS è sempre stato quello di “consentire” Application Extension che il “cliente” non utilizza ma che sono una vera “manna” per hacker & co. Se i vostri clienti non utilizzano Php, Asp.Net, ecc… è consigliabile rimuovere queste funzionalità dai propri Host e non “lasciarle li” a disposizione, casomai il cliente un giorno “decidesse” di utilizzarle.

Se il cliente deciderà di utilizzare nuovi linguaggi, richiederà l’ABILITAZIONE dello scriptmap solo per il proprio Host, ma fare ciò è ben diverso dal fornire una funzionalità già pre-confezionata a tutti gli utenti del server. Se un altro sito web “subisse” un accesso via FTP, il “malintenzionato” potrebbe caricare un file PHP per fare eventuali danni. Ovviamente la sicurezza sarebbe “garantita” dai corretti permessi NTFS tra le varie cartelle del disco ma ho scoperto che alcuni file in .Aspx utilizzano altri “utenti” che hanno accesso a varie cartelle di sistema.

Pertanto è consiglibile RIMUOVERE eventuali estensioni non utilizzate.

Estensioni ScriptMap Server

per maggiori informazioni potete consultare questo articolo : http://www.serverbay.it/?p=2443

Il tools SCARICABILE da qui : Remove_Scriptmap
ha bisogno del VBS “scriptmap.vbs” per funzionare, incluso (di solito) in c:inetpubAdminiscripts
Remove ScriptMap creerà un file .BAT di questo tipo :

Cscript scriptmap.vbs -n 10117 -d .aspx
REM www.youcloud.it

la riga in REM serve solo per vedere quale sito web è “legato” all’ID riportato nella riga subito superiore.
Nell’esempio proposto, scriptmap rimuove lo script mapping .aspx

Sicurezza Web Server, Sicurezza IIS Web Server, script mapping IIS, rimuovere asp.net IIS, imuovere estensione asp.net IIS, imuovere estensione script IIS, rimuovere scriptmap iis, rimuovere script tutti siti web IIS, iis rimuovere scriptmap, aspx disattivare IIS

Web Application Security – DotDefender

Andrea C.
-
0

Web Application Firewall Un Software da “valutare” a livello di WebServer è sicuramente Web Application Security dotDefender della Applicure. Con questo Web Application Firewall ho risolto il 90% dei problemi di Hacking e Defacement  su Server Windows 2008 e 2003. Personalmente lo reputo “l’unico” componente in grado di bloccare AspXspy in quanto la soluzione proposta nell’utilizzo di UrlScan non è sempre sicura e anche l’Antivirus non riesce sempre a prevenire i problemi.

Questo Web Application Firewall si installa come ISAPI di IIS e ne monitorizza il traffico, sia entrante sia uscente.
E’ corredato di centinaia di regole per il blocco di script, Malware, ecc. ed è in perenne aggiornamento con Applicure.
Purtroppo la demo di funzionamento prevista sul sito web del produttore consente di effettuare solo un azione di “monitoraggio” e non di blocco.

Tuttavia è possibile richiedere a Applicure una licenza DEMO di 30 giorni per verificare l’effettivo funzionamento.

[catlist id=147]

IISTRACER – Attenzione alle dimensioni del file di LOG

Andrea C.
-
0

E’ possibile che, qualche volta, si possa notare un eccessiva lentezza del server o un “accumulo” di ISAPI (Performance Monitor) veramente elevato.
Questa situazione potrebbe dipendere da un sito web che ha pubblicato qualcosa di “molto richiesto” oppure da un attacco che ha generato pagine che vengono “richiamate” continuamente (es PHP mailer, ecc.).

E’ buona regola tenere sotto “controllo” il file di LOG generato da IISTRACER.
Una dimensione eccessiva indica che il server richiede un controllo, in quanto potrebbe verificarsi una delle situazioni descritte sopra

Image2

 

Dimensione_LOG_IIStracer

ASPXspy.aspx – Lcx.Exe – Controllo Remoto del Vostro Server

Andrea C.
-
0

In questo articolo vi racconterò l’esperienza “subita” da un nuovo Trojan per attaccare i WebServer : ASPXspy.aspx
E’ una semplice pagina ASPX e quindi eseguita da Net.Framework. E’ a suo agio con Net.Framework 4.0 e anche con alcune versioni precedenti.
Prima di capire che il problema (del nostro server) derivava da ASPXspy abbiamo impiegato un pò di tempo.
Il primo problema rilevato è stata la presenza di un altro componente LCX.EXE. Questo componente associato a ASPXspy permetteva all’utente di prendere in controllo il server con Desktop Remoto. Anche se il server era protetto da Firewall Locale e da Firewall hardware, LCX e ASPXspy “mappano” una porta locale su un sistema remoto.
Un pò come trasmettere all’esterno la porta 3389 del server. Il Malintenzionato “mappava” la porta su un’altra del proprio server (es. la 56) e poteva connettersi in quanto la “sessione” di desktop remoto era iniziata dal server (di destinazione).
Abbiamo impiegato un pò di tempo a cercare di capire e bloccare Lcx.Exe.
Il malintenzionato “portava” con se anche CMD.EXE in quanto ASPXspy consente di lanciare eseguibili (con privilegi Framework) anche in percorsi diversi.
Successivamente abbiamo rilevato files e cartelle cancellati e anche “utenti” Administrator che erano “creati” nel sistema (GetPass_cmd.exe)
Scansioni con ClamWin o Microsoft Security Essential riuscivano a identificare lo script e a rimuoverlo ma non a “prevenire” il suo inserimento in quanto sono Antivirus che non analizzano il traffico di rete. L’unico Antivirus che riesce a bloccare lo script è Symantec Endpoint in quanto dispone di un modulo per l’analisi del traffico di rete.

Alcuni SCREENSHOT di quello che può fare ASPXspy.

ASPXspy2.aspx    ASPXspy2.aspx    ASPXspy2.aspx

 

Per Bloccare questo componente la soluzione migliore è utilizzare un buon Antivirus che consenta la scansione del traffico di rete in accoppiata con URLSCAN 3.1
Il file di configurazione di Urlscan deve però essere modificato per creare una REGOLA per il blocco del componente.
E’ possibile creare una regola con questa configurazione :

RuleList=ASPXSpy

[ASPXSpy]
AppliesTo=.aspx,.asp,.php,.pl,.cgi,.py,.htm,.html,.css
DenyDataSection=ASPXSpyUrls
ScanAllRaw=0
ScanUrl=1
ScanHeaders=Cookie

[ASPXSpyUrls]
ASPXSpy=

In ALLEGATO un esempio di UrlScan.INI
UrlScan ASPXspy

Lo script è composto di righe di codice come queste :

<%@ Page Language=”C#” Debug=”true” trace=”false” validateRequest=”false” EnableViewStateMac=”false” EnableViewState=”true”%>
<%@ import Namespace=”System.IO”%>
<%@ import Namespace=”System.Diagnostics”%>
<%@ import Namespace=”System.Data”%>
<%@ import Namespace=”System.Management”%>
<%@ import Namespace=”System.Data.OleDb”%>
<%@ import Namespace=”Microsoft.Win32″%>
<%@ import Namespace=”System.Net.Sockets” %>
<%@ import Namespace=”System.Net” %>
<%@ import Namespace=”System.Runtime.InteropServices”%>
<%@ import Namespace=”System.DirectoryServices”%>
<%@ import Namespace=”System.ServiceProcess”%>
<%@ import Namespace=”System.Text.RegularExpressions”%>
<%@ Import Namespace=”System.Threading”%>
<%@ Import Namespace=”System.Data.SqlClient”%>
<%@ import Namespace=”Microsoft.VisualBasic”%>
<%@ Assembly Name=”System.DirectoryServices,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”System.Management,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”System.ServiceProcess,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”Microsoft.VisualBasic,Version=7.0.3300.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a”%>
…….

1...3.0723.0733.074Page 3.073 of 3.074

Ultime dal Nostro BLog

Il presente sito non è collegato in alcun modo, direttamente o indirettamente, alle Fonti delle notizie segnalate né può essere ritenuto responsabile ad alcun titolo dei loro contenuti. Si precisa altresì che le notizie segnalate dall’aggregatore NON sono da intendersi in alcun modo di proprietà del sito GenSys.it, ad eccezione degli articoli e dei documenti pubblicati nel blog.

Contact us: info@gensys.it

© Copyright 2022 - Serverbay.it - Eteon.it