44 messaggi dal 04 giugno 2001
Problema di sicurezza. Hanno portato via dal mio sito un database access e si sono divertiti a cambiare le password a tutti i miei utenti... Ma non ho trovato il modo di rifarlo. Mi spiego : il database è situato al di fuori del web e in particolare con il seguente sistema:

File system
\ [Root del sito FTP]
|
\WEB\ [root del sito WEB]
|
\_dbmx_19M\ [dir per il database]
|
\LOGFILES\ [dir per log IIS]

La cartella PUB ha i diritti di scrittura da parte dei utenti internet (IUSR) mentre WEB no.... La connessione viene effettuata con (ASP) server.mappath(../pub/database.mdb). Il sistema ha Win2000 Sever patcato settimanalmente perche utilizza SUS server remoto e si autoriavvia ogni fine settimana. IIS è protetta da URL Scan, IIS LockDown con profilo ASP.

La root di IIS è diversa dalla originale. Non vengono utilizzate le estensioni frontpage. Ho perso una settimana a seguire il meglio di MSDN per "blindare" il tutto ma mi ritrovo comunque con la dura realta .....

I log che ho estrapolato da IIS sono strani. Vi è un accesso alla home del sito (ho omesso IP ecc....):

2003-05-29 20:13:10 [IP UTENTE] - W3SVC47 SERVER [IP SERVER] GET /Default.asp - 200 0 0 331 94 HTTP/1.0 www.sitoweb.it Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98;+Win+9x+4.90) - -

fino a qui tutto quadra ma subito dopo ho la seguente riga:

2003-05-29 20:13:01 [IP UTENTE] - W3SVC47 SERVER [IP SERVER] 80 GET /dbmx19M/database.mdb - 404 3 4184 351 0 HTTP/1.0 www.sitoweb.it Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98;+Win+9x+4.90) - -

ma come è possibile che qualcuno ha indovinato la cartella dbmx19M ? Chiaro è senza gli underscore ma la riga successiva no:

2003-05-29 20:12:48 [IP UTENTE] - W3SVC47 SERVER [IP SERVER] 80 GET /_dbm_x19M/database.mdb - 404 3 4184 353 0 HTTP/1.0 www.sitoweb.it Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98;+Win+9x+4.90) - -

Interpretando i log ho visto he l'utente in questione ha ottenuto errore 404 ma come è possibile che è riuscito a risalire alla posizione del database ???????

Non solo come è riuscito, qualche giorno dopo, a recuperarlo (a questo proposito mi sono accorto che sempre lo stesso IP si è connesso con nomi dei miei utenti e si è "divertito")....

Qualche idea a proposito ???

Marczewski Rafal
ha sfruttato qualche errore nei tuoi script, tipo (ad esempio) ha inserito un parametro che ha mandato in errore una query o il tuo script, risalendo al path del db.
o ancora più semplicemente, è capitato su una pagina che da sola ha mostrato l'errore e quindi è stato ancora più facile.

la soluzione migliore è personalizzare la pagina di errore 500-100, così l'utente vede un "errore, scusate" e tu admin logghi l'errore su db, te lo fai mandare via mail o quello che ritieni più comodo.
in unoscript@lgiorno c'è un esempio abbastanza recente.

Daniele Bochicchio | ASPItalia.com | Libri
Chief Operating Officer@iCubed
Microsoft Regional Director & MVP
44 messaggi dal 04 giugno 2001
Sono d'accordo ma me ne sarei accorto dai log. Dovrei avere qualche errore 500 nei log relativo ad una pagina asp. Questo non avviene.

....visto che non ho la più pallida idea di cosa sia lascio il tutto nelle mani della polizia postale.....

Ciao

Marczewski Rafal

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.