Ciao, ho scoperto che mi hanno bucato il server passando tramite il servizio HTTP.
Sbirciando sui vari file che ho trovato ho scoperto il nome (in codice), l'indirizzo ip e il s.o. usato (ubuntu edgy) dell'hacker che è riuscito a farmi questo scherzo.
Siccome secondo me l'attacco è stato fatto in maniera abbastanza ingegnosa (almeno per le mie conoscenze), volevo sapere se qualcuno che conosce bene la programmazione in PHP è disposto a darmi una mano a capire come ha fatto a sbattermi dentro questi file e che cosa fanno.
Studiando un po' i sorgenti (php) ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.
Ovviamente, chi è disposto ad aiutarmi riceverà in pvt il file zip con tutti i file incriminati.
Grazie.
Byez.

Studiando un po' i sorgenti php ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.
Controlla il proprietario dei file. Visto che i log sono rimasti, probabilmente non è riuscito ad andare oltre (dai comunque una botta di chkrootkit).

se vuoi ti posso dare una mano a controllare il codice (ovviamente nel tempo libero), comunque, prima di tutto verifica di controllare ogni variabile prima di utilizzarla, soprattutto se si tratta di comandi di sistema o query a db.

puoi mandarmi il codice alla mail che trovi in sign?

Controlla il proprietario dei file. Visto che i log sono rimasti, probabilmente non è riuscito ad andare oltre (dai comunque una botta di chkrootkit).

chkrootkit ed rkhunter sono in cron e vengono eseguiti ogni notte.
Non mi hanno mai segnalato nulla.
Il sospetto mi è nato dopo questo (http://www.hwupgrade.it/forum/showthread.php?t=1411408) caso.
Effettivamente dopo qualche giorno si è ripresentato lo stesso problema e quindi ho iniziato ad indagare un po' più approfonditamente ed ho trovato la sorpresa :mbe:

Dimenticavo, il proprietario dei file è www-data e i permessi sono rw-r--r--, a parte quelli inseriti da lui che sono rwx-r-r.

se vuoi ti posso dare una mano a controllare il codice (ovviamente nel tempo libero), comunque, prima di tutto verifica di controllare ogni variabile prima di utilizzarla, soprattutto se si tratta di comandi di sistema o query a db.

OK grazie, come ti posso inviare il codice?

puoi mandarmi il codice alla mail che trovi in sign?

Grazie, preparo la mail e te la invio :mano:

Ho dei problemi con il server di posta, se riesco a risolverli entro breve bene, altrimenti ti do un altro indirizzo a cui mandarli.

Dimenticavo, il proprietario dei file è www-data e i permessi sono rw-r--r--, a parte quelli inseriti da lui che sono rwx-r-r.

www-data è apache...rw-r--r-- sola lettura, li voleva (logicamente) far diventare eseguibili...se hai tempo vorrei vedere il codice:
bash.lnx@gmail.com

www-data è apache...rw-r--r-- sola lettura, li voleva (logicamente) far diventare eseguibili...se hai tempo vorrei vedere il codice:
bash.lnx@gmail.com

Mail inviata.

Attenzione!!! dopo la segnalazione di W.S. ho controllato i file incriminati con l'antivirus e viene segnalato un "Trojan.PHP.c99shell".

se hai tempo vorrei vedere il codice:
bash.lnx@gmail.com

Ho provato a mandarti la mail, però mi ritorna sempre l'errore: 552 5.7.0 Illegal Attachment z33si2382898ikz.

Probabilmente il server di gmail non accetta attachment infetti :D

Se vuoi ti ordino un Penetration Test :sofico:

Lavoro con gente che fa queste cose di mestiere, mi sto spaventando scoprendo quanto si può fare con l'injenction!
Ma il server è "commerciale" o è un tuo serverino da amatore? Perchè nel secondo caso è alquanto strano che ti abbiano bucato, a meno che tu non abbia una falla grossa come una casa.

Se vuoi ti ordino un Penetration Test :sofico:


E' doloroso? :D


Lavoro con gente che fa queste cose di mestiere, mi sto spaventando scoprendo quanto si può fare con l'injenction!
Ma il server è "commerciale" o è un tuo serverino da amatore? Perchè nel secondo caso è alquanto strano che ti abbiano bucato, a meno che tu non abbia una falla grossa come una casa.

Il mio è un serverino amatoriale, però mi sto convincendo sempre più che abbiano sfruttato una falla del CMS che sto usando.

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

Ho provato a mandarti la mail, però mi ritorna sempre l'errore: 552 5.7.0 Illegal Attachment z33si2382898ikz.

Probabilmente il server di gmail non accetta attachment infetti :D

prova con andrew-88@hotmail.it, grazie

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

non è semplicissimo da spiegare (non è nemmeno difficile in verità, solo che è un po lungo e vario come discorso) come regola d'oro comunque:
- controllare qualsiasi variabile prima di utilizzarla, soprattutto se la si usa in una query o in una exec/system (o eval o simili) e viene ricavata dall'input dell'utente. Verificare che corrisponde a quello che ci si aspetta, un buon modo è ricorrere alle espressioni regolari respingendo qualsiasi input contenente caratteri strani (es stabilire che un nome deve essere composto solo da caratteri alfanumerici evita alla radice l'uso della variabile in modo non controllato)

Come già detto l'argomento è molto vario e a volte non basta controllare l'input ma sicuramente, è l'errore + frequente e pericoloso(qualche ordine di grandezza rispetto agli altri)

Per saperne di più basta cercare in rete, si trova tantissimo materiale:
www.securityfocus.com
o via google tramite qualche keyword come: "sql injection" "XSS" "web auditing" "web vulnerability" "code injection" etc etc

prova con andrew-88@hotmail.it, grazie

Inviato!!

Se vuoi un consiglio, per la prox volta fatti uno scriptino bash in cron che ti controlla periodicamente l'md5 checksum di tutti i file php e che ne ricerca di nuovi ;)

Se vuoi un consiglio, per la prox volta fatti uno scriptino bash in cron che ti controlla periodicamente l'md5 checksum di tutti i file php e che ne ricerca di nuovi ;)


Terrò presente.
La mia preoccupazione è sempre stata rivolta verso il server ssh ed onestamente non avrei mai sospettatto che sarebbero passati attraverso il server web :cry:, anche perchè mi sentivo abbastanza sicuro visto che le pagine web non le avevo fatte io :D

Verificare che corrisponde a quello che ci si aspetta, un buon modo è ricorrere alle espressioni regolari respingendo qualsiasi input contenente caratteri strani




Relativamente all'imput si possono convalidare o meno anche le date ?
Grazie

si, anzi, si devono ;) bisogna tenere conto che l'input può essere creato a mano dall'utente non solo tramite l'applicazione che abbiamo scritto noi, quindi potrebbe arrivarci una data formata da "ciao"... a questo punto la nostra applicazione potrebbe comportarsi in modo imprevisto, se quella variabile la usiamo in qualche funzione particolare potrebbe creare seri problemi fino all'esecuzione di codice o query decise dall'attaccante.

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

Esempio stupidissimo (questa è una SQL injection).

Il tuo script fa una query al database del tipo:

SELECT FROM nome_tabella WHERE nome_utente = 'NOME' AND pass_utente = 'PASS'


dove NOME e PASS sono parametri passati in GET/POST alla pagina web.

Se tu "sbatti" questi parametri nella query senza averli "bonificati", io potrei ad esempio inserire come pass una stringa che vada ad alterare la query che verrà eseguita al database.

Ad esempio se inserisco come pass

' OR nome_utente = 'Pippo


la query diventa

SELECT FROM nome_tabella WHERE nome_utente = 'QUALSIASI_COSA' AND pass_utente
= '' OR nome_utente = 'Pippo'


Quindi in pratica verrà restituito true e potrò loggarmi come utente Pippo senza conoscerne la password.

Questo è un esempio banalissimo e stupidissimo (comunque se ne vedono in giro di pagine vulnerabili a cose come queste), ma è giusto per dare l'idea. In questo caso è una injection SQL, ma potrei provare anche con parametri che venissero passati in PHP a funzioni del tipo system() etc. per eseguire comandi dalla console.

Per prevenire queste cose devi stare molto attento al fatto che i parametri ricevuti in ingresso non contengano caratteri che possano alterare il comportamento dello script o delle query al database eseguite dallo script (ad esempio, tra le altre cose, "bonificando" gli apici con qualche funzione tipo addslashes(stripslashes()) in PHP) oppure che possano nuocere direttamente ad altri utenti (in questo caso devi "bonificare" eventuali parametri che potessero essere visualizzati all'interno della pagina inattivando eventuale codice html etc. in modo da prevenire possibili attacchi di tipo XSS o simili). Nel caso delle funzioni tipo system() (o che comunque possono eseguire comandi dalla console) devi stare anche qui molto attento al fatto che i parametri passati a questa funzione non siano alterabili in modo maligno attraverso lo script.

... comunque il discorso è piuttosto lungo, se cerchi su Google come qualcuno ti ha consigliato probabilmente puoi trovare informazioni più dettagliate :D

<center><b>Owned by b0rizQ</b></center>

A quanto pare l'autore dell'hack per flatnuke è un certo b0rizQ (http://www.google.it/search?hl=it&ie=UTF-8&oe=UTF-8&q=%22owned+by+b0rizQ%22&btnG=Cerca&meta=), codice che l'attaccante a quanto pare ha riciclato.
Probabilmente hanno sfruttato una falla nota di FlatNuke 2.5.8, corretta nel 2.5.8.1.
Se invece utilizzavi quest'ultima versione, allora bisogna contattare i devel di flatnuke e segnalargli la falla.

<center><b>Owned by b0rizQ</b></center>

A quanto pare l'autore dell'hack per flatnuke è un certo b0rizQ (http://www.google.it/search?hl=it&ie=UTF-8&oe=UTF-8&q=%22owned+by+b0rizQ%22&btnG=Cerca&meta=), codice che l'attaccante a quanto pare ha riciclato.
Probabilmente hanno sfruttato una falla nota di FlatNuke 2.5.8, corretta nel 2.5.8.1.
Se invece utilizzavi quest'ultima versione, allora bisogna contattare i devel di flatnuke e segnalargli la falla.

Effettivamente, ho appena avuto la conferma dagli sviluppatori di flatnuke che la versione 2.5.8 (che uso) ha proprio la falla che mi ha messo in questa situazione :(
Almeno ho capito da che parte sono passati!!!

Probabilmente, il tipo che mi ha attaccato è ancora un po' inesperto visto che dai log sono riuscito a risalire alla data e all'ora dell'attacco, al suo nickname e al suo indirizzi IP statico.

Probabilmente, il tipo che mi ha attaccato è ancora un po' inesperto visto che dai log sono riuscito a risalire alla data e all'ora dell'attacco, al suo nickname e al suo indirizzi IP statico.
Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.

Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.

Non credo si tratti di uno zombie, perchè collegandomi con telnet all'unica porta aperta che ho trovato su quel IP, mi risponde Connected to [xxxx] ed il nome corrisponde a quello scritto sui sorgenti dei file php che mi ha sparato dentro al server.
Pensi serva a qualcosa segnalare il fatto alla Polizia Postale? Mi da tanto l'impressione che le segnalazioni non vengano nemmeno guardate!!!!

Pensi serva a qualcosa segnalare il fatto alla Polizia Postale? Mi da tanto l'impressione che le segnalazioni non vengano nemmeno guardate!!!!
Sì; se ha usato il suo ip sono cavoli suoi. Continuo a dubitare comunque (mi puoi mandare l'IP in privato?)

Puoi cercare di avere una idea su quale parte del mondo sia tramite un traceroute sull'ip.

Sì; se ha usato il suo ip sono cavoli suoi. Continuo a dubitare comunque (mi puoi mandare l'IP in privato?)

Puoi cercare di avere una idea su quale parte del mondo sia tramite un traceroute sull'ip.

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Prova a tracciare l'IP con un tracert grafico (sono tutt'altro che infallibili ma potresti farti un'idea... se non sulla città esatta almeno sullo stato di provenienza).

Hei Stefano ...
Ma tu guarda che disavventura ti è capita.
Cavoli ... Ti lascio solo per qualche giorno e cosa mi combini?

Scherzo fratello.

Hai aggioranto Flat 2.5.8.1?

Se la macchina non uno zombie lo puoi inchiodare.
Che dice il trace?

Ciao

Prova a tracciare l'IP con un tracert grafico (sono tutt'altro che infallibili ma potresti farti un'idea... se non sulla città esatta almeno sullo stato di provenienza).

E' Italiano e il suo provider è libero.it :O

Hei Stefano ...
Ma tu guarda che disavventura ti è capita.
Cavoli ... Ti lascio solo per qualche giorno e cosa mi combini?

Scherzo fratello.

Hai aggioranto Flat 2.5.8.1?

Se la macchina non uno zombie lo puoi inchiodare.
Che dice il trace?

Ciao

Dovete stare più attenti, come fate a fidarvi di lasciarmi solo in questo modo? :D :sofico:
Contrariamente a quanto dici, per me più che una disavventura è un'avventura :D
C'è sempre qualcosa da imparare da questi avvenimenti :)

Al 90% sarà un ragazzino brufoloso tra i 12 e i 15 anni che non sapeva come passare il tempo... aggiorna il software e la prossima volta sta più attento (es. aggiorna subito lo script quando esce una nuova release... tra l'altro rimpiazzare il database con flat file in una web application non è in genere proprio il massimo della sicurezza ma va be').

secondo me invece è uno zombie...
(ad ogni modo l'attaccante è sicuramente italiano visti i file ritrovati all'interno della cartella nascosta)

secondo me invece è uno zombie...

Per exploitare una web application? :mbe:

Per exploitare una web application? :mbe:

Cioè nulla è da escludere ma secondo me è alquanto improbabile...

secondo me invece è uno zombie...
(ad ogni modo l'attaccante è sicuramente italiano visti i file ritrovati all'interno della cartella nascosta)

Hai sbagliato posto, per gli zombie si va sulla sezione "Film Horror" :D :sofico:

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Puoi mandare in pvt anche a me?

Siccome tempo fa ho avuto un'esperienza simile vorrei vedere se alcune cose coincidono.

Grazie.

RaouL.

bhe quindi è già tutto risolto? sito patchato e file server rimosso?

Puoi mandare in pvt anche a me?

Siccome tempo fa ho avuto un'esperienza simile vorrei vedere se alcune cose coincidono.

Grazie.

RaouL.

Ti ho mandato tutto in pvt.
Ciao.

bhe quindi è già tutto risolto? sito patchato e file server rimosso?

Il fileserver l'ho rimosso ancora ieri dopo aver fatto qualche prova per capirne il funzionamento, mentre la patch la installo questa sera e poi via alla ricerca di nuovi bachi, fino ad arrivare la dove nessun hacker è mai arrivato prima :D :sofico:

hehehe perfetto :)

Dovete stare più attenti, come fate a fidarvi di lasciarmi solo in questo modo? :D :sofico:
Contrariamente a quanto dici, per me più che una disavventura è un'avventura :D
C'è sempre qualcosa da imparare da questi avvenimenti :)

Sono contento che la rpendi con uno spirito così costruttivo.
Hai tentato il tracing?
Ciao

Hai tentato il tracing?
Ciao

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD :Prrr: :rotfl:

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD :Prrr: :rotfl:

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

Ciao, mi dispiace per la tua disavventura spero nulla di grave, però ti voglio raccontare una cosa. Un paio d'anni fa, dopo un'attacco simile al tuo, presero dati sensibili da un nostro DB. Un sito amatoriale, una sciocchezza alla fine. Fu più un gioco a chi "lamerava" meglio (furono 2 o 3). Beh fu fatta denuncia alla Polizia Postale. Sono stati presi dalla GdF ed hanno passato i guai. Naturalmente se fai una denuncia del genere (che è penale), anche se poi ci ripensi e la vuoi ritirare, andrebbe avanti d'ufficio, e farebbe il suo corso. Non sono stati dei fulmini di guerra, ma t'assicuro che li hanno presi eccome. E per una cazzata del genere si rischia grosso. Questo solo a titolo informativo, se volessi procedere con la denuncia. ;)

Ciao, mi dispiace per la tua disavventura spero nulla di grave, però ti voglio raccontare una cosa. Un paio d'anni fa, dopo un'attacco simile al tuo, presero dati sensibili da un nostro DB. Un sito amatoriale, una sciocchezza alla fine. Fu più un gioco a chi "lamerava" meglio (furono 2 o 3). Beh fu fatta denuncia alla Polizia Postale. Sono stati presi dalla GdF ed hanno passato i guai. Naturalmente se fai una denuncia del genere (che è penale), anche se poi ci ripensi e la vuoi ritirare, andrebbe avanti d'ufficio, e farebbe il suo corso. Non sono stati dei fulmini di guerra, ma t'assicuro che li hanno presi eccome. E per una cazzata del genere si rischia grosso. Questo solo a titolo informativo, se volessi procedere con la denuncia. ;)

Grazie dell'info.
Effettivamente ci sto ancora pensando ma non sono molto convinto per una serie di motivi:

1. Tutto sommato i danni che ho avuto sono molto limitati

2. E se come mi ha già detto qualcuno fosse un ragazzino brufoloso? Essendo anch'io un genitore mi metto nei panni di quegli eventuali genitori che si trovano con la GdF o la Polizia postale in casa senza nemmeno sapere il perchè!!

3. Meno etico ma comunque per me importante; ho visto che si può fare denuncia via web, però entro due giorni bisogna andare a formalizzarla presso l'ufficio della Poliza Postale.
Questo mi impone di andare all'ufficio più vicino che è a Padova e per me vorrebbe dire perdere almeno mezza giornata di lavoro. Ci rimetterei di più così che con il danno che ho subito dall'hacker :rolleyes:


Nzomma!!! Sto ancora meditando ;)

Approvo le tue riflessioni, soprattutto quello da genitore, anche se io non lo sono ;)

Lascia perdere la denuncia, se quello è il suo vero ip è soltanto un lamerozzo, probabilmente un ragazzino brufoloso, nel caso contrario fai soltanto passare dei guai a quel poveretto che non c'entra niente e te la sogni di beccare il vero colpevole.
In entrambi i casi non c'hai guadagnato niente. Prendilo come uno stupido penetration test che ti è servito per imparare qualcosa di nuovo e facci due risate sopra ;)

per quanto lecite mi permetto di dissentire dalle tue riflessioni.

che sia o meno un ragazzino annoiato conta poco, quel che conta è l'atto e l'intrusione in un altrui proprietà non è cosa da prendersi alla leggera.

il fatto che tu abbia avuto danni irrilevanti se non addirittura nulli può sollevarti e rinfrancarti ma di certo non deve arrivare a diventare un'attenuante per questi figuri.

io non ci avrei pensato neanche 10 secondi onestamente, il tuo non sporgere denuncia potrebbe anzi, paradossalmente, incentivare certe azioni future da parte di questa persona che evidentemente si crede pure di essere bravo.

naturalmente tutto quanto esposto sin qui è solo la mia modestissima opinione.

ciao :)

La mia opinione sta a metà strada tra quelle esposte finora.

Se uno lascia il suo IP così in bella mostra lo fa perchè non è in grado di occultarlo oppure perchè non gliene frega niente, al massimo rintracciano una macchina zombie, il che mi fa pensare ad una possibile ripetizione.

Prendiamo un esame il caso 2.
Un rompiballe professionista ha, al suo fianco X macchine zombie.
Esse attaccano per suo conto ma si deve trattare di una schiera di PC comandati da utonti o semi utonti; incapaci di analizzare il loro PC a fondo e di notare anomalie di traffico.
In questo caso, la denuncia sarebbe solo infierire.

Però (e andiamo al caso 1), un utonto non è in grado di usare servizi quali FTP nel 90% dei casi.
In questa occasione una bella lezioncina non ci starebbe male.

Non sono esperto di quastioni legislative.
La denuncia può essere fatta anche dopo qualche tempo?
Intendo dire: tu hai scoperto l'intrusione qualche giorno fa, è possibile denunciarla fra 2 settimane?

Ciao

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD :Prrr: :rotfl:

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

Me l'immagino.
Deve essere qualcosa tipo :lamer:
Ciao

Io concordo appieno con stefanoxjx. Vista l'entità del danno non ne vale la pena.

L'unico motivo che mi viene per procedere è quello di tutelarti da eventuali iniziative di terzi visto che simpaticamente ha usato il tuo server per fare file sharing di materiale illegale. Se la cosa è durata un pò potrebbe non essere una brutta idea, se ti sei accorto e hai risolto in poco tempo allora è inutile.

P.S.: d'ho, è vero, anche l'ftp usa un 220 all'inizio, non solo l'smtp :D

Diciamo pure che ho deciso di non sporgere denuncia.
Un utente del forum mi ha raccontato quello che è successo dopo aver fatto una denuncia (fatto che ovviamente non voglio raccontare perchè lui stesso me l'ha raccontato in pvt) e dal punto di vista umano, non voglio nemmeno pensare di trovarmi in una situazione simile.
Per quanto riguarda il file sharing, posso confermarti che il tutto è durato poco, grazie alle email con i log che ogni mattina mi trovo nella mia casella di posta, inoltre sullo stesso server (il mio :D) è installato anche amule, quindi se stiamo a guardare...............
Avrei fatto sicuramente denuncia se avessi trovato dentro materiale pedopornografico, però ho trovato un paio di banali film e nemmeno completi; tra l'altro nemmeno il genere che mi piace :D :sofico:
Comunque ora mi preparo uno script che mi avviserà quando quel determinato ip si farò vedere nel mio server, se proprio insiste allora potrei cambiare idea.


P.S. Ora il server è pulito e le patch sono installate :yeah:

Sapevo che non avresti agito, sei troppo buono.

Scusa, non ho capito se l'autore delle marachelle è consapevole del fatto che lo hai sgamato.
Se non lo hai fatto, almeno fagli prendere un po' di paura.

Ciao

Sapevo che non avresti agito, sei troppo buono.

Scusa, non ho capito se l'autore delle marachelle è consapevole del fatto che lo hai sgamato.
Se non lo hai fatto, almeno fagli prendere un po' di paura.

Ciao

Sarà sicuramente consapevole del fatto che mi sono accorto che il server è stato bucato, non credo sappia che sono in possesso del suo codice ip e del suo nickname.
Pensavo di lasciare sulla mia pagina web il pulsante che lui utilizzava per attivare l'applicazione però collegarlo ad una pagina html che gli facesse capire che sono in grado di fargli passare dei guai.
Un messaggio del tipo:


Eilà pirla dal nickname xxxxx con codice ip 222.222.222.222.
Sappi che ho già esposto denuncia nei tuoi confronti.
Preparati la Vaselina :D

Sarà sicuramente consapevole del fatto che mi sono accorto che il server è stato bucato, non credo sappia che sono in possesso del suo codice ip e del suo nickname.
Pensavo di lasciare sulla mia pagina web il pulsante che lui utilizzava per attivare l'applicazione però collegarlo ad una pagina html che gli facesse capire che sono in grado di fargli passare dei guai.
Un messaggio del tipo:


Eilà pirla dal nickname xxxxx con codice ip 222.222.222.222.
Sappi che ho già esposto denuncia nei tuoi confronti.
Preparati la Vaselina :D


S T A N D I N G
O V A T I O N

Ciao

Altro che denuncia, fallo cacare addosso :ave: :cool:

:D :D :D bellissimo!
tieni conto però che non è detto che quello sia il suo ip e non l'ip di un altro server che ha bucato e che quel nick potrebbe essere un nick condiviso da tutta la crew per l'upload dei file nel servizio distribuito...in effetti tra file di configurazione e sorgenti ci son diversi nick/passwd... cmq bellissima l'idea :D

Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.
In quest'ultimo caso segnalalo a Dylan Dog ;):Prrr:

Ciao, ho scoperto che mi hanno bucato il server passando tramite il servizio HTTP.
Sbirciando sui vari file che ho trovato ho scoperto il nome (in codice), l'indirizzo ip e il s.o. usato (ubuntu edgy) dell'hacker che è riuscito a farmi questo scherzo.
Siccome secondo me l'attacco è stato fatto in maniera abbastanza ingegnosa (almeno per le mie conoscenze), volevo sapere se qualcuno che conosce bene la programmazione in PHP è disposto a darmi una mano a capire come ha fatto a sbattermi dentro questi file e che cosa fanno.
Studiando un po' i sorgenti (php) ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.
Ovviamente, chi è disposto ad aiutarmi riceverà in pvt il file zip con tutti i file incriminati.
Grazie.
Byez.

Come ti sei accorto del buco? cosa si deve cercare nei log file? e in quali log file?

Come ti sei accorto del buco? cosa si deve cercare nei log file? e in quali log file?

Oddio, è passato del tempo e non mi ricordo come mi sono accorto del buco, però di solito verifico il file auth.log e i file .log di apache.
Inoltre quando so di non avere molte connessioni aperte, verifico le connessioni esistenti con netstat -a e quelle che mi sembrano sospette verifico che provenienza hanno.
Dopo che mi hanno bucato il server, ho imparato anche a cercare se nel disco (ma sopratutto su /var/www/) ci sono cartelle o file nascosti come effettivamente avevo riscontrato quellla volta che me lo avevano bucato.
Spero di esserti stato utile.
Ciao.

Scriptino che controlla ricorsivamente il checksum ogni tot e passa la paura ;)

Scriptino che controlla ricorsivamente il checksum ogni tot e passa la paura ;)

Un esempietto per newbie aspiranti amministratori di reti casalinghe? :D

find ./ -type f > ~/files
numrighe=`wc -l ~/files | awk '{ print $1 }'`
riga=0
while [ $riga -lt $numrighe ]; do
let riga+=1
file=$(cat ~/files | sed -n -e ${riga}p)
[...]
done

Questo è un modo molto semplice (ci sono modi più puliti per farlo, ma ho fatto un copia-incolla da un mio script) per trovare tutti i file contenuti in una directory (e relative sottodirectory) e processarli uno alla volta. A questo punto devi fare il checksum md5 e verificare se corrisponde con quello precedentemente backuppato e controllare l'eventuale presenza di nuovi file. Naturalmente ci sono directory dove la presenza di nuovi file può essere concessa, altre dove non lo è. C'è da lavorarci parecchio per fare una cosa fatta bene, ma una volta fatto dormi sonni tranquilli e puoi perfino implementare l'invio tramite sms qualora ci sia qualcosa di sospetto ;)

md5deep?

posso chiederti che misure di sicurezza avevi adottato sul server? :)

posso chiederti che misure di sicurezza avevi adottato sul server? :)

Se lo stai chiedendo a me, posso dirti che ho adottato le seguenti misure di sicurezza:

1. Firewall
2. Scansione programmata con chkrootkit e rkhunter
3. Spulciatina almeno una volta la settimana sui file di log

Tutto questo non è servito perchè l'attaccante è entrato tramite una falla di sicurezza che c'era su FlatNuke.
Quindi:

1. Il firewall non è servito perchè comunque è passato per la porta 80 che era aperta per poter raggiungere la pagina web
2. La scansione con chkrootkit e rkhunter non sono servite perchè non ha installato nessun rootkit
3. Rileggendo i vecchi post, mi è venuto in mente che mi aveva insospettito il fatto che in due giorni si era bloccato due volte il servizio apache e rilanciandolo vedevo un comportamento diverso dal solito.
Da li ho iniziato ad approfondire la cosa ed ho scoperto l'inghippo :D

md5deep?
Non lo conoscevo, semplifica ulteriormente le cose :)

Se lo stai chiedendo a me, posso dirti che ho adottato le seguenti misure di sicurezza:

1. Firewall
2. Scansione programmata con chkrootkit e rkhunter
3. Spulciatina almeno una volta la settimana sui file di log

Tutto questo non è servito perchè l'attaccante è entrato tramite una falla di sicurezza che c'era su FlatNuke.
Quindi:

1. Il firewall non è servito perchè comunque è passato per la porta 80 che era aperta per poter raggiungere la pagina web
2. La scansione con chkrootkit e rkhunter non sono servite perchè non ha installato nessun rootkit
3. Rileggendo i vecchi post, mi è venuto in mente che mi aveva insospettito il fatto che in due giorni si era bloccato due volte il servizio apache e rilanciandolo vedevo un comportamento diverso dal solito.
Da li ho iniziato ad approfondire la cosa ed ho scoperto l'inghippo :D

per il firewall che soluzione hai adottato? (ti sto chiedendo numi perché avrei intenzioni simili :D )

per il firewall che soluzione hai adottato? (ti sto chiedendo numi perché avrei intenzioni simili :D )

iptables

iptables

ah ok, pensavo qualcosa di più arzigovolato :D :)

hai chiuso tutte le porte escluso quelle di tua necessità?

hai chiuso tutte le porte escluso quelle di tua necessità?
Sì, è sicuramente l'approccio più sicuro.

ah ok, pensavo qualcosa di più arzigovolato :D :)


Le cose troppo arzigovolate non mi piacciono molto :)


hai chiuso tutte le porte escluso quelle di tua necessità?


Esatto, ho chiuso tutte le porte ed aperto solo quelle indispensabili per far funzionare i servizi che necessitano essere raggiunti da internet.

Poi il problema è sempre il solito, se uno dei servizi ai quali hai aperto la porta presenta una vulnerabilità, sei fregato!!!!!