| Autore |
 Discussione  |
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
 Inserito il - 12/05/2005 : 09:41:05
|
Ciao ragazzi,
qualcuno di voi per caso sa darmi informazioni relative a questa dicitura? grazie!
64.62.168.23 Gigabot/2.0
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 12/05/2005 : 09:56:59
|
| se non mi sbaglio, dovrebbe essere lo spider del motore di ricerca gigabot[.com]. Niente di particolare, secondo me. Se ne vuoi sapere di piu` sui bot, potresti guardare quello di google |
 |
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 12/05/2005 : 10:06:23
|
| Secondo te è possibile risalire all'ip vero? |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 12/05/2005 : 10:48:05
|
| Cosa intendi? indirizzo ip vero di chi? Guardando in rete, quasi tutti i riferimenti a gigabot hanno un indirizzo che cambia solo per l'ultima componente. |
|
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 12/05/2005 : 10:53:15
|
| nel senso che mi hanno fatto un accesso illegale con la dicitura che ho scritto sopra..volevo sapere se era possibile riasalire a chi ha fatto tale accesso.. |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 12/05/2005 : 11:10:54
|
in questo caso non ti so come aiutare, in quanto se e` vero che e` facilmente modificabile il proprio useragent, modificare il proprio ip non lo e` altrettanto. Il fatto e` che se effettivamente chi ha fatto l'accesso e` lo spider, dovrebbe esserci un modo per impedirne l'accesso, mi sembra tramite il file robots.txt nelle directory del web-server. Pero`, generalmente, gli spider non fanno accessi strani. Dipende da cosa intendi per non autorizzato.
PS: il motore di ricerca ufficiale e` gigablast[.com], non gigabot[.com]. Tra l'altro, gigablast[.com] ha un ip che appartiene alla stessa sottorete di quello che hai postato. |
|
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 12/05/2005 : 11:46:53
|
| semplice, un tizio mi ha bucato l'area protetta del sito, (ancora non ho capito come ha fatto, sinceramente sono proprio curioso!), poi ha cancellato modificato i dati, ma ovviamnete si sarà protetto il suo ip reale, volevo sapere se era possibile in qualche modo rintracciare il suo ip.. |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 13/05/2005 : 09:02:23
|
Come prima cosa dovresti incrociare per bene i dati relativi al momento della modifica dei dati con i log del server, anche se penso che questo lo hai gia` fatto. Mentre fai questa operazione, controlla se ci sono richieste ravvicinate alla stessa pagina dallo stesso ip, in quanto (a quanto ne so) gli spider dovrebbero richiedere una sola volta ogni pagina. Inoltre dovresti controllare se e` stata modificata (o aggiunta) qualche pagina al tuo sito e incrociare i tempi di modifica/aggiunta con quelli dei log. Ovviamente, se oltre ad un server web hai anche un accesso via ssh o ftp, dovresti anche incrociare i dati dei tempi di modifica con i log di questi programmi. Non guardare solamente i log vicini a quando hai scoperto l'intrusione, ma anche a distanza di tempo.
Comunque non credo che sia stato gigabot a farti le modifiche, ma che sia solo passato a indicizzarti il sito quando supponi che ti abbiano bucato.
Per quanto riguarda il modo con cui ti hanno bucato il sito, come prima cosa dovresti controllare eventuali bug noti del programma che usi per generare le pagine per vedere se ne sei affetto e per cosa possono essere usati. Inoltre controlla se i permessi sono a posto (possibilita` di caricare documenti, modifica o esecuzione di codici, ...) e, soprattutto, vieta tutto cio` di cui non puoi fare a meno. |
Modificato da - ori in data 13/05/2005 09:08:59 |
|
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 13/05/2005 : 10:24:14
|
monitorirò tutto il possibile..
un'altra curiosità, è possibile scaricare un intero sito (compreso di database), quando quest'ultimo è posizionato nella cartella giusta (vale a dire la cartella fatta apposta per contenere il db!)? |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 13/05/2005 : 10:59:40
|
Per quel che ne so io, se mirrori un sito non riesci a scaricare anche il db, ma solo le pagine che vengono generate con i dati del db. Se uno volesse mirrorare il sito e il db, penso che debba lavorare via ftp (anche via tunneling ssh) per accedere alle directory sul disco e scaricarsi tutto senza interpretazione. Oppure deve caricare una pagina che gli permetta di accedere direttamente al disco.
Ovviamente tutte queste operazioni, se non espressamente autorizzate, sono illegali a parte il mirroring senza accesso non autorizzato al sito, che dovrebbe essere permesso sempre se il sito non dichiari che il materiale contenuto e` protetto da copyright. |
|
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 14/05/2005 : 10:50:43
|
una cosa che mi sfugge è che i robots o spider se ne stanno li a scannare la rete..giusto? è possibile sfruttare fisicamente uno di questi per accedere ad un sito? cioè' un utente puo' usare un robots o spider per vedere un sito?
se qualcuno di vuoi ha qualche riferimento in proposito vorrei studiarmi la cosa, grazie in anticipo |
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 14/05/2005 : 15:13:00
|
Che io sappia, uno spider si limita a rihiedere le pagine in automatico, eventualmente seguendo i link: uno spider non dovrebbe riuscire ad accedere ad aree protette, dato che non possiede le credenziali di accesso.
Chiunque può usare uno spider o un programma più ampio come wget per "vedere" un sito (es. farne un mirror in locale sul proprio pc), ma non riuscirà a scaricare le pagine per cui è prevista l'autenticazione.
Può essere che il tuo sito sia stato violato sfruttando una qualche vulnerabilità della struttura che lo supporta: codice php/asp (es. forum, cms, wiki), vulnerabilità note del server Web, errori di configurazione dei server Web o di database...
Gli exploit in giro sono talmente tanti che è difficile venire a capo di un'intrusione, quindi per ridurre il campo di indagine ti direi di verificare se le versioni del software che regge il sito presentano vulnerabilità note e partire da lì.
Di più non so, purtroppo
Ciao |
|
|
|
Gaz7line
Starting Member
Città: Milano
7 Messaggi |
Inserito il - 17/05/2005 : 10:20:02
|
uno spider o robots non puo' di certo accedere ad areee protette, fin qui ci siamo, il "mio nemico" passami il termine accede alla mia area protetta, ok, ma quando lo vado a loggare risulta come se fosse uno spider ex.:(66.249.64.4 Googlebot/2.1 +htt*://[www].google[.com]/bot.html) o (64.62.168.23 Gigabot/2.0), come se lui si mascherasse dietro questo! Dico con certezza che è lui perchè fisicamente mi buca il db..ed altri acccessi non ci sono poichè il sito non è effettivamente attivo!
Volevo chiarirmi le idee di come si sfrutta uno spider per visitare un sito, cioè per fare come sopra vi ho descritto.. grazie mille
|
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 17/05/2005 : 11:03:49
|
Prova a mettere nel tuo webserver il file robots.txt in modo tale che vieti agli spider di indicizzarti il sito e guarda cosa succede. Poi, in che senso ti buca fisicamente il db ed il sito non e` effettivamente attivo?
Per quel che ne so, gli spider partono dalla home page e iniziano a seguire i link. Non e` che per caso hai dei bug nella gestione della parte protetta che vengono exploitati dal semplice seguire i link verso l'area protetta senza avere le credenziali? |
|
|
| |
Discussione |
|
info su ip
Forum Bloccato
