ola... ho un quesito da porvi:

è una bella giornata (del cazzo) di metà dicembre, o quasi.

come al solito non state facendo nul... state controllando che non ci siano dei bug esageratamente vistosi nell'applicazione intranet che avete sviluppato / state sviluppando, quando ad un certo punto vi viene un dubbio su un pezzo di codice e decidete che è meglio guardare su internet se c'è un modo più veloce per fare la stessa cosa.

Controllate... niente, sembra che nessuno si sia mai posto lo stesso problema... così andate a vedere le statistiche del sito aziendale, che fra l'altro avete realizzato voi stessi... classifica dei files con più hits... e notate qualcosa di strano: un file hack-qualcosa.php, con un sacco di hits! :eek: vi chiedete come sia possibile, visto che il sito funziona perfettamente e non avevate notato niente... pare strano che qualcuno abbia bucato un sito e non abbia fatto nulla... così decidete di scaricare il file, per vedere cosa si può combinare con quella roba.

scoprite 2 cose: il file non è opera del famigerato acaro, ma è uno script preconfezionato scaricato da un sito russo; scoprite inoltre che con quello script l'acaro poteva fare ciò che voleva del vostro sito, perchè era come se fosse stato davanti al suo pc di casa... insomma avrebbe potuto fare danni anche abbastanza grossi.

insomma... in sostanza i fatti sono questi:

- nessun danno visibile, ha "solo" cambiato i permessi di tutti i files presenti nel sito
- non è un gran che come hacker, ha lasciato non solo tutte le sue tracce, ma anche tutti i mezzi che ha utilizzato, compresi i log creati da quello script
- probabilmente è solo un ragazzino annoiato che ha sfruttato qualche debolezza da qualche parte e, non essendo in grado di fare qualcosa con le sue mani, ha usato uno script preso altrove (uno script-kiddie si chiama, giusto?)

ovviamente non potevo tenere la cosa nascosta... ho dovuto dirlo ai capi... gli ho esposto i fatti così come li ho detti qua sopra, aggiungedo che volendo era possibile fare una denuncia, ma non ne valeva la pena considerando che non ha fatto danni. il vostro titolare dice, senza pensarci un secondo, di preparare i dati per fare la denuncia...


ecco, fondamentalmente questo è ciò che è avvenuto... voi cosa avreste fatto al posto mio? l'avreste detto al capo? avreste cercato di non fargli fare denuncia, o avreste insistito affinchè venisse fatta giustizia? o avreste cercato di creare una "trappola" per l'acarino in modo da spaventarlo la prossima volta che tornava? (non è difficile, è uno script php piuttosto semplice, con un pò di codice perl al suo interno)


insomma... è solo curiosità, voi come avreste agito? :p

io dirò dopo cosa ho fatto, btw :p

Buttandola lì... E non avendo nemmeno letto tutto il post... Aprirei una nuova discussione nella sezione adeguata... :sofico: :sofico: :D

denuncia alla polizia postale, poi vedi l'acarino come si macchia le mutande ...

Buttandola lì... E non avendo nemmeno letto tutto il post... Aprirei una nuova discussione nella sezione adeguata... :sofico: :sofico: :D



non è una discussione tecnica, leggi prima di rispondere a caso :rolleyes:

a me hanno bucato una macchina tempo fa... fortunatamente non di clienti ma una mia che tenevo qui a casa per testing/puttanate varie..da un bug su phpBB che avevo installato per il forum di un amico e poi me ne ero diemnticato.... bucato in modo stupidissimo.. lasciate tracce e tutto...alla fine non sapevo se denunciare o cosa... non ho fatto nulla... forse anche per mancanza di voglia... di grave successo QUASI nulla.... installati 2-3 bot connessi ad irc...ma non riuscivano neppure a collegarsi causa firewall che bloccava tutto verso l'esterno.. unica cosa "grave"... con netstat vedevi delle connessioni http verso ebay e paypal... però anche lì.. me ne sono accorto praticamente subito quindi fatto niente di grave... in ogni caso ho l'immagine del disco.. così se proprio dovessero esserci problemi posso dimostrare qualcosa..

Come direbbe il mio professore di reti... Non aspettatevi una risposta amichevole... :Perfido:

imparerei a programmare meglio;)

sono solo di aiuto e di stimolo queste cose. fino a che non hai perso dati personali e non hai subito danni naturalmente.

poi naturalmente non avrei detto un cacchio di nulla al capo.. mi spaice però sono cose da informatici.. mica da manager che non sanno accendere nemmeno il portatile. Cmq se è stato furbo è passato da un honeypot.. quindi puoi denunciare chi vui ma....

Bè io di ste cose non ne capisco molto.
Cmq io avrei preso il suo ip e gli avrei fatto un po' di casini sul suo pc :sofico:
Chessò un mega formattone o un bel virus.
E poi magari una bella scritta a schermo pieno che il suo ip era finito in mano alla polizia.

imparerei a programmare meglio;)

sono solo di aiuto e di stimolo queste cose. fino a che non hai perso dati personali e non hai subito danni naturalmente.

poi naturalmente non avrei detto un cacchio di nulla al capo.. mi spaice però sono cose da informatici.. mica da manager che non sanno accendere nemmeno il portatile. Cmq se è stato furbo è passato da un honeypot.. quindi puoi denunciare chi vui ma....


come detto già da qualcuno, a volte non basta saper programmare bene... come ha detto phcv, anche a me probabilmente sono entrati da phpbb... poi ovvio potrebbero anche essere delle debolezze nel mio codice (nulla di più semplice, non ho mai avuto a che fare con acari e sporcizia varia, ho messo qualche protezione ma non credo sia niente di impossibile da oltrepassare:p)

in ogni caso fare l'acaro non è un obbligo morale, penso che se venisse mai beccato avrebbe una buona serie di motivi per cui essere preoccupato... :p

se poi è stato furbo... meglio per lui. ma bucare il sito di un'azienda non è come bucare un sito personale, potevano esserci dei dati importantissimi, e anche se lui non avesse trovato/preso niente poteva far passare seri guai a qualcuno...

insomma: fermo restando che è una testa di cazzo, la domanda era se l'avreste denunciato o no... poi di dati importanti non ce ne sono... non vitali, almeno, ma è il fatto stesso ad essere grave.

secondo me hai fatto bene a parlarne ai capi
non so se io, ipotetico capo di un'azienda, denuncerei il fatto. sono più per il sì che per il no

cmq tanto meglio, hai scoperto di avere una falla e non è successo niente di irreparabile. almeno puoi correrei ai ripari prima che uno poco di buono decida di fare danni sul serio

imparerei a programmare meglio;)



difficilmente intromissioni di questo tipo (cioè di piccoli siti) avvengono sfruttando bachi di applicazioni sviluppate ad hoc, è molto più semplice che gli abbiano bucato il phpbb o qualsiasi altro applicativo "standard", anche perchè generalmente per le piattaforme molto utilizzzate esistono dei test di vulnerabilità da eseguire in automatico e degli script preconfezionati per sfruttarle.

secondo me hai fatto bene a parlarne ai capi
non so se io, ipotetico capo di un'azienda, denuncerei il fatto. sono più per il sì che per il no

cmq tanto meglio, hai scoperto di avere una falla e non è successo niente di irreparabile. almeno puoi correrei ai ripari prima che uno poco di buono decida di fare danni sul serio



questo si... cmq la denuncia per ora non è partita, ho segato via il tutto e anche la possibile backdoor, lunedì provo a vedere di risolverla e poi rimetto online... se però vedo che continua ad entrare allora sono già d'accordo con i titolari che verranno presi provvedimenti...

come detto già da qualcuno, a volte non basta saper programmare bene... come ha detto phcv, anche a me probabilmente sono entrati da phpbb... poi ovvio potrebbero anche essere delle debolezze nel mio codice (nulla di più semplice, non ho mai avuto a che fare con acari e sporcizia varia, ho messo qualche protezione ma non credo sia niente di impossibile da oltrepassare:p)

in ogni caso fare l'acaro non è un obbligo morale, penso che se venisse mai beccato avrebbe una buona serie di motivi per cui essere preoccupato... :p

se poi è stato furbo... meglio per lui. ma bucare il sito di un'azienda non è come bucare un sito personale, potevano esserci dei dati importantissimi, e anche se lui non avesse trovato/preso niente poteva far passare seri guai a qualcuno...

insomma: fermo restando che è una testa di cazzo, la domanda era se l'avreste denunciato o no... poi di dati importanti non ce ne sono... non vitali, almeno, ma è il fatto stesso ad essere grave.


da quanto tempo era bucato il sito?
bhe io dipende se era un vero hacker mi avrebbe avvisato lui delle falle nel sistema...
cmq alla fine io non lo avrei denunciato la curiosita' e' una brutta bestia ma finche non fai danni...

da quanto tempo era bucato il sito?
bhe io dipende se era un vero hacker mi avrebbe avvisato lui delle falle nel sistema...
cmq alla fine io non lo avrei denunciato la curiosita' e' una brutta bestia ma finche non fai danni...


si l'ho pensata allo stesso modo infatti. il sito era bucato da mercoledì... io mercoledì ero in ferie così non potevo saperlo, giovedì era tutto chiuso... notato ieri insomma :D

succede spesso..... la denuncia e' d'obbligo se hai i dati, ammesso che siano giusti :P

ma ke te ne fotte? Denucialo.Sarà un nerd schifoso ciccicione e brufoloso di 15 anni che nn c'ha un cazzo da fare :fagiano:

ma ke te ne fotte? Denucialo.Sarà un nerd schifoso ciccicione e brufoloso di 15 anni che nn c'ha un cazzo da fare :fagiano:
esatto. denuncia punto e basta.

basta essere troppo buoni, tanto non ci guadagni nulla.

.
io t'avrei licenziato :D

difficilmente intromissioni di questo tipo (cioè di piccoli siti) avvengono sfruttando bachi di applicazioni sviluppate ad hoc, è molto più semplice che gli abbiano bucato il phpbb o qualsiasi altro applicativo "standard", anche perchè generalmente per le piattaforme molto utilizzzate esistono dei test di vulnerabilità da eseguire in automatico e degli script preconfezionati per sfruttarle.
bhè allora se metti phpbb su un sito aziendale sei veramente fuori di testa.. ma veramente .. è una delle cose più bucate esistenti sullafaccai della terra... ormai trovi gli exploit pure nel cesso.. tanto che la ricerca " powered by phpbb" è filtrata da google ;)

cmq c'è solo da imparare... ripeto, non si può pensare di essere superblindati.

Per tutti quelli che dicono : prendi l'ip e poi gli fai il culo:
a) 99% è passato da un honeypot
b) 99% prima di andare nell'honeypot si è proxato con un proxy giamaican ;)
ciao
Alessio

come detto già da qualcuno, a volte non basta saper programmare bene... come ha detto phcv, anche a me probabilmente sono entrati da phpbb... poi ovvio potrebbero anche essere delle debolezze nel mio codice (nulla di più semplice, non ho mai avuto a che fare con acari e sporcizia varia, ho messo qualche protezione ma non credo sia niente di impossibile da oltrepassare:p)

in ogni caso fare l'acaro non è un obbligo morale, penso che se venisse mai beccato avrebbe una buona serie di motivi per cui essere preoccupato... :p

se poi è stato furbo... meglio per lui. ma bucare il sito di un'azienda non è come bucare un sito personale, potevano esserci dei dati importantissimi, e anche se lui non avesse trovato/preso niente poteva far passare seri guai a qualcuno...

insomma: fermo restando che è una testa di cazzo, la domanda era se l'avreste denunciato o no... poi di dati importanti non ce ne sono... non vitali, almeno, ma è il fatto stesso ad essere grave.

bhe il problema non è tanto del lamer ma bensi tuo in quanto un lavoro deve essere perfetto soprattuto per quanto riguarda la sicurezza. è una grossa deficienza, molto grossa perche se il tuo lavoro avesse portato danni ingenti alla tua azienda l'avresti presa nel culo di brutto e sarebbe stato anche piu che giusto.

bhe il problema non è tanto del lamer ma bensi tuo in quanto un lavoro deve essere perfetto soprattuto per quanto riguarda la sicurezza. è una grossa deficienza, molto grossa perche se il tuo lavoro avesse portato danni ingenti alla tua azienda l'avresti presa nel culo di brutto e sarebbe stato anche piu che giusto.



lo sai vero che un programma, in quanto tale, non è mai perfetto?


non è un sito in html puro, ci sono delle applicazioni php dietro non da poco... è ovvio che di bachi ce ne siano! oltretutto sono da solo a gestirlo, è materialmente impossibile sapere tutto quello che c'è da sapere sulla programmazione + sull'hacking...

fammi indovinare, non fai il programmatore vero?

io t'avrei licenziato :D


sottoscrivo :O

IMHO da profano...

pulizia del sistema

trappolone

se ritorna

denuncia

cioè .... non glielo ordina il dottore di bucare sistemi.
Io nonlo so fare e non mi interesserebbe un caxxo saperlo fare... non capisco chi ci si diverte.

Ammenochè non sia a "scopo di esercitazione/studio" nel qual caso avrebbe dovuto avvertirti del buco..



IMHO

bhè allora se metti phpbb su un sito aziendale sei veramente fuori di testa.. ma veramente .. è una delle cose più bucate esistenti sullafaccai della terra... ormai trovi gli exploit pure nel cesso.. tanto che la ricerca " powered by phpbb" è filtrata da google ;)


qualsiasi forum in php ha bachi, phpbb ha più exploit solo perchè è più diffuso e la gente normalmente non ha voglia di aggiornarlo (succede con qualsiasi cosa, pure con i sistemi operativi).

sono del mestiere ma non ho mai fatto una cosa del genere nè ho mai imparato a farlo, anche se mi piacerebbe ogni tanto fare qualche scherzetto... :Perfido:

Anche io non avrei detto nulla al capo ma mi sarei vendicato occhioxocchio :lamer:

ola... ho un quesito da porvi:
Controllate... niente, sembra che nessuno si sia mai posto lo stesso problema... così andate a vedere le statistiche del sito aziendale, ... e notate qualcosa di strano: un file hack-qualcosa.php, con un sacco di hits! [...]
scoprite 2 cose: il file non è opera del famigerato acaro, ma è uno script preconfezionato scaricato da un sito russo;
[...]
ecco, fondamentalmente questo è ciò che è avvenuto... voi cosa avreste fatto al posto mio?

da quel che ho capito era un classico XSS (Cross Site Scripting). La prima volta che è successo a me (a casa però) ho rintracciato il gruppo a cui faceva capo il tipo e gli ho scritto una mail. Poi, visto che non sono un programmatore, ho cercato di difendermi sul lato sistemistico: tutte le volte che nella URL compare un ? seguito da http o :// (intenzione di richiamare lo script da qualche altra parte) lo rimando ad un altro simpatico sito.

RewriteEngine on
RewriteLog /var/log/apache/rewrite.log
RewriteLogLevel 2
RewriteCond %{THE_REQUEST} php[^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*([:][/][/]|%3a%2f%2f) [NC]
RewriteRule . http://www.fuckyou.com/ [R]


da qui in poi ho scoperto diversa gente che non si fa i 'zzi suoi, qualcuno ho provato anche a segnalarlo ai provider e agli autori dei siti bucati sul quale erano caricati gli script di attacco, ma le richieste sono sempre finite su /dev/null

Link

Comunque, giusto qualche commento, se mi è permesso, su alcuni dei vostri post:


scoprite 2 cose: il file non è opera del famigerato acaro, ma è uno script preconfezionato scaricato da un sito russo; scoprite inoltre che con quello script l'acaro poteva fare ciò che voleva del vostro sito, perchè era come se fosse stato davanti al suo pc di casa... insomma avrebbe potuto fare danni anche abbastanza grossi.

Il fatto che il tizio abbia utilizzato uno "script preconfezionato", come lo chiami tu, non vuol dire assolutamente nulla. E' divertente come molti - senza magari conoscere un'h della materia, parlino di "lamer", "ragazzino annoiato che non essendo in grado di fare qualcosa con le sue mani, ha usato uno script preso altrove". Questo, ripeto, non significa una mazza. Molti di quegli "script preconfezionati" altro non sono che una sorta di "batch" per semplificare, automatizzare e velocizzare una serie di operazioni che altrimenti andrebbero fatte "manualmente" o che invece non possono essere eseguite da remoto, ma soltanto sul sistema target. Il fatto che venga utilizzato uno script per fare determinate cose, NON vuol dire che il tizio non sappia crearsi da sé degli strumenti né tantomeno che il tizio in questione sia un "lamer".

Altrimenti, qualunque programmatore (cioé tutti) che usa nelle sue applicazioni parti di codice prodotto da terzi, sarebbe un "programmatore lamer".
E quante volte ciò avviene per non perdere tempo, spesso anche per delle stupidate che in quanto tali sarebbero semplici ma richiederebbero tempo?
Ma poi, come fate a etichettare "lamer" in due secondi, con questa superficialità, senza saperne di più sulla persona e su quello che essa ha fatto? Sapete fare di meglio? Se no, prima di pensare che il tizio sia un lamer, al vostro posto cercherei di capire cosa e come ha fatto. No?
IMHO il fatto stesso che egli sia riuscito, comunque, a fare qualcosa su un sistema di terzi, vuol dire qualcosa che a mio avviso è tutt'altro che una "lamerata" (tanto per usare termini che vi piacciono molto).
Non è da tutti e non è una passeggiata fare questo genere di cose, e per di più aggiungo che proprio il fatto che il tipo non abbia lasciato "segni evidenti del suo passaggio" come modifiche visuali al sito ecc, denota - sempre IMHO - una certa professionalità, al contrario. Se si fosse trattato del "ragazzino annoiato ecc.ecc.", egli tutto eccitato quasi all'orgasmo ti avrebbe almeno modificato qualche contenuto, lasciato una firma, cambiato la home o chessòio. Una persona con altre intenzioni invece può starsene buono ed osservare, perché se si tratta (è solo un esempio) di un sito di ecommerce, magari interfacciato con una intranet aziendale, avrebbe molto più senso aspettare e cercare un modo per rubare informazioni o numeri di carte di credito, ecc, ecc, ecc.
E' proprio la mancanza di segni "visuali" che dovrebbe preoccupare maggiormente in questi casi :D

Passando all'altra domanda: come avrei agito io? Semplicemente, a meno che ci siano dati realmente sensibili e problemi tali da rendergli possibile il recupero di questi dati direttamente sul mio sito (es. numeri di carte di credito, il discorso è che gateway viene usato per i pagamenti, e come), farei finta di niente, non toccherei niente per non farlo insospettire e cercherei di capire come beccarlo, se possibile. Dopo un tempo ragionevole, cambierei servizio di hosting o riprogetterei la sicurezza dei miei server in caso di propri.
Alternativa: puoi passare direttamente al "dopo un tempo ragionevole", senza aspettare e fregandotene. :D

imparerei a programmare meglio;)

sono solo di aiuto e di stimolo queste cose. fino a che non hai perso dati personali e non hai subito danni naturalmente.

poi naturalmente non avrei detto un cacchio di nulla al capo.. mi spaice però sono cose da informatici.. mica da manager che non sanno accendere nemmeno il portatile. Cmq se è stato furbo è passato da un honeypot.. quindi puoi denunciare chi vui ma....

Cosa ti dà la certezza che il tutto sia dipeso da lack in programmazione?
[..]

Bè io di ste cose non ne capisco molto.
Cmq io avrei preso il suo ip e gli avrei fatto un po' di casini sul suo pc :sofico:
Chessò un mega formattone o un bel virus.
E poi magari una bella scritta a schermo pieno che il suo ip era finito in mano alla polizia.


Credi davvero che sia così semplice fare quello che ipotizzi, ad una persona che ha fatto ad un sito aziendale quello che lnessuno ci ha detto?
Ah, vabbeh... ma per voi è un lamer, dimenticavo :asd:

come detto già da qualcuno, a volte non basta saper programmare bene... come ha detto phcv, anche a me probabilmente sono entrati da phpbb... poi ovvio potrebbero anche essere delle debolezze nel mio codice (nulla di più semplice, non ho mai avuto a che fare con acari e sporcizia varia, ho messo qualche protezione ma non credo sia niente di impossibile da oltrepassare:p)

in ogni caso fare l'acaro non è un obbligo morale, penso che se venisse mai beccato avrebbe una buona serie di motivi per cui essere preoccupato... :p

se poi è stato furbo... meglio per lui. ma bucare il sito di un'azienda non è come bucare un sito personale, potevano esserci dei dati importantissimi, e anche se lui non avesse trovato/preso niente poteva far passare seri guai a qualcuno...

insomma: fermo restando che è una testa di cazzo, la domanda era se l'avreste denunciato o no... poi di dati importanti non ce ne sono... non vitali, almeno, ma è il fatto stesso ad essere grave.


Domanda: avete dei server propri? Se sì, gestite direttamente i firewall? Se sì, avete abilitato il logging come si deve sui firewall? E' la prima cosa che chiedono e verificano, se non ci sono, ti dicono ciao ciao.

ma ke te ne fotte? Denucialo.Sarà un nerd schifoso ciccicione e brufoloso di 15 anni che nn c'ha un cazzo da fare :fagiano:


Mi fate ridere :D
schifoso ciccione e brufoloso di 15 anni... :sbonk:

bhè allora se metti phpbb su un sito aziendale sei veramente fuori di testa.. ma veramente .. è una delle cose più bucate esistenti sullafaccai della terra... ormai trovi gli exploit pure nel cesso.. tanto che la ricerca " powered by phpbb" è filtrata da google ;)

cmq c'è solo da imparare... ripeto, non si può pensare di essere superblindati.

Per tutti quelli che dicono : prendi l'ip e poi gli fai il culo:
a) 99% è passato da un honeypot
b) 99% prima di andare nell'honeypot si è proxato con un proxy giamaican ;)
ciao
Alessio
da quel che ho capito era un classico XSS (Cross Site Scripting). cut


Altrettanto divertente è l'uso che alcuni di voi fanno di certi termini... vabbeh, lascio perdere. :D

lord quello che dici è tutto vero, però non mi sa di gran furbata entrare in un sito, dare un'occhiata e lasciare tutti i files li in bella vista... avrebbe potuto segnarsi su un foglietto di carta qual era la backdoor, guardare quello che voleva guardare e cancellare ogni segno del suo passaggio... invece ha lasciato anche un file di log creato dallo stesso script che ha utilizzato, oltre allo script stesso. a me personalmente non sembra una gran furbata, poi magari fa parte dello spirito hacker lasciare segni evidenti del proprio passaggio...

cmq il sito non è ospitato presso un nostro server (figurati dove sono io non siamo nemmeno coperti dall'adsl, stiamo attivando una linea un pò più veloce per sostituire una isdn utilizzando l'umts per l'upload e il satellitare per il download :D)

OT
- x Pot cosa significa esattamente "honeypot"?
Wikipedia mi dà una definizione che non spiega quel che hai scritto :fagiano:

- Idem per per "proxy giamaican" (il proxy lo conosco, mi mancha il "giamaican" :D )

- per Piccolo Lord: molto interssante, però QUANDO LA SMETTI DI CAMBIARE NICK 3 VOLTE AL GIORNO??? :D
non capisco mai che sei tu :stordita:
eventualmente gradita un alista di tuoi nick in priv :D
(il vizio te l'ha attaccato lucio mi sa)

/OT