Quasi mezzo milione i server col buco

Questa la stima del numero di server IIS ancora vulnerabili ad attacchi che sfruttino le porte lasciate aperte da worm come Code Red II. E fra questi moltissimi i siti di e-commerce


Web – Secondo una recente indagine eseguita dal noto osservatorio Netcraft, sarebbero quasi mezzo milione i server equipaggiati con Internet Information Server (IIS) e vulnerabili ad attacchi che ne potrebbero gravemente compromettere la sicurezza.

L’analisi, pubblicata insieme all’ormai tradizionale Web Survey condotta mensilmente da Netcraft, mostra come in quasi il 13% dei siti con IIS vi si trovi installata una nota back door che consente ad un cracker di prendere il pieno controllo del sistema.

Il programma che installa la back door si chiama root.exe e viene installato da due diffusi worm: Sadmind/IIS , risalente allo scorso maggio, e Code Red II , uscito allo scoperto agli inizi di agosto.

Entrambi questi worm, una volta infettato un server Windows NT, si incaricano di rinominare la shell di sistema, cmd.exe , in root.exe e piazzarla in una cartella accessibile dal Web: questo consente a chiunque di eseguire comandi di sistema attraverso un semplice browser Web.

Il risultato di questa rilevazione appare ancor più preoccupante se si considera che nell’indagine sono stati presi in considerazione soltanto i server Web IIS su cui gira il protocollo di sicurezza SSL, generalmente installato sui siti di e-commerce. Questo significa, secondo quanto riporta Netcraft, che centinaia di migliaia di server commerciali potrebbero facilmente essere esposti a furti di numeri di carte di credito ed altri dati sensibili riguardanti le transazioni on-line.

Dai dati forniti da Netcraft emerge poi che in molti dei server presi in esame sono state installate le patch di sicurezza senza prima controllare che nel sistema non fosse già presente una back door: in molti casi, dunque, si è soltanto tappato il buco lasciando aperta una voragine.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    EHEHE
    eccoli che arrivano:altro che hackerz!!!a quando un defaced con un belR00T3D BY GdF CREWAHAHHAHAHA
  • Anonimo scrive:
    carnivore??
    potete spiegarmi cos'e' carnivore?
    • Anonimo scrive:
      Re: carnivore??
      - Scritto da: pippo
      potete spiegarmi cos'e' carnivore?Un sistema di intercettazione, un pc con una cheda di rete o un modem "passante" che, collegato al provider permetterebbe di monitorare tutto quello che tu fai in rete.Anche se non so bene come possa fare se tengo aperti 4 telnet, 3 browser, 1 paio di FTP; come faccia a distinguere i pacchetti dei vari programmi.
      • Anonimo scrive:
        Re: carnivore??
        ho trovato info su http://www.robertgraham.com/pubs/carnivore-faq.htmlgrazie mille!
      • Anonimo scrive:
        Re: carnivore??
        come fare a discriminare una connessione da un altra? facile... basta fare come il tuo pc quando deve decidere a quale connessione appartengono i pacchetti che riceve: guarda l'accoppiata ip/porta sia del mittente che del destinatario e cosi` ha un sistema univoco per sapere come gestire le connessioni
  • Anonimo scrive:
    scusate se insisto ma...
    ... come vedete non c'è bisogno di Carnivore e di invasione della privacy per beccare qualcuno.non so se habbiano torto o ragione... ma l'osservazione resta in ogni caso.Carnivore o no, riescono comunque a lavorare e a sequestrare roba.
  • Anonimo scrive:
    mantovashop e' un dilemma...
    Come ha fatto la Guardia di Finanza a sequestrare un sito che ha sede a Londra ???--- Ping a www.mantovashop.net ---C:\
    ping www.mantovashop.netEsecuzione di Ping www.mantovashop.net [212.78.71.53] con 32 byte di dati:Risposta da 212.78.71.53: byte=32 durata=110ms TTL=243--- Ricerca sul RIPE dell'IP 212.78.71.53 ---inetnum: 212.78.71.0 - 212.78.71.255netname: VI-NEWNET1descr: Virtual Internet Ltd - L3descr: Londoncountry: GBadmin-c: JB1690-RIPEtech-c: JB1690-RIPEstatus: ASSIGNED PAmnt-by: JDB1-RIPE-MNTchanged: jon@vi.net 20000320source: RIPECome si evince dai risultati il server e' a Londra, come avrà fatto la GdF a sequestrare sto' sito ??? Sequestro virtuale con accesso via FTP per bloccare le pagine e sostituire la homepage con quella attualmente presente ???Non si configura un abuso di territorialità da parte della GdF ??Boh... ho sempre delle perplessità nell'interpretazione delle leggi italiane.....
    • Anonimo scrive:
      Re: mantovashop e' un dilemma...
      Mi sa che hai fatto un po` di confusione!Fai un whois su allwhois.com per avere i dati piu` esatti.francesco
Chiudi i commenti