Vi bucano il sito della ditta per cui lavorate, e che avete fatto voi... che fate?

[lnessuno]

Quote:

Originariamente inviato da StErMiNeiToR

bhe il problema non è tanto del lamer ma bensi tuo in quanto un lavoro deve essere perfetto soprattuto per quanto riguarda la sicurezza. è una grossa deficienza, molto grossa perche se il tuo lavoro avesse portato danni ingenti alla tua azienda l'avresti presa nel culo di brutto e sarebbe stato anche piu che giusto.

lo sai vero che un programma, in quanto tale, non è mai perfetto?


non è un sito in html puro, ci sono delle applicazioni php dietro non da poco... è ovvio che di bachi ce ne siano! oltretutto sono da solo a gestirlo, è materialmente impossibile sapere tutto quello che c'è da sapere sulla programmazione + sull'hacking...

fammi indovinare, non fai il programmatore vero?

[fabio80]

Quote:

Originariamente inviato da juninho85

io t'avrei licenziato

sottoscrivo

[Fil9998]

IMHO da profano...

pulizia del sistema

trappolone

se ritorna

denuncia

cioè .... non glielo ordina il dottore di bucare sistemi.
Io nonlo so fare e non mi interesserebbe un caxxo saperlo fare... non capisco chi ci si diverte.

Ammenochè non sia a "scopo di esercitazione/studio" nel qual caso avrebbe dovuto avvertirti del buco..



IMHO

[-kurgan-]

Quote:

Originariamente inviato da Pot

bhè allora se metti phpbb su un sito aziendale sei veramente fuori di testa.. ma veramente .. è una delle cose più bucate esistenti sullafaccai della terra... ormai trovi gli exploit pure nel cesso.. tanto che la ricerca " powered by phpbb" è filtrata da google

qualsiasi forum in php ha bachi, phpbb ha più exploit solo perchè è più diffuso e la gente normalmente non ha voglia di aggiornarlo (succede con qualsiasi cosa, pure con i sistemi operativi).

[VegetaSSJ5]

sono del mestiere ma non ho mai fatto una cosa del genere nè ho mai imparato a farlo, anche se mi piacerebbe ogni tanto fare qualche scherzetto...

[trokij]

Anche io non avrei detto nulla al capo ma mi sarei vendicato occhioxocchio

[gurutech]

Quote:

Originariamente inviato da lnessuno

ola... ho un quesito da porvi:
Controllate... niente, sembra che nessuno si sia mai posto lo stesso problema... così andate a vedere le statistiche del sito aziendale, ... e notate qualcosa di strano: un file hack-qualcosa.php, con un sacco di hits! [...]
scoprite 2 cose: il file non è opera del famigerato acaro, ma è uno script preconfezionato scaricato da un sito russo;
[...]
ecco, fondamentalmente questo è ciò che è avvenuto... voi cosa avreste fatto al posto mio?

da quel che ho capito era un classico XSS (Cross Site Scripting). La prima volta che è successo a me (a casa però) ho rintracciato il gruppo a cui faceva capo il tipo e gli ho scritto una mail. Poi, visto che non sono un programmatore, ho cercato di difendermi sul lato sistemistico: tutte le volte che nella URL compare un ? seguito da http o :// (intenzione di richiamare lo script da qualche altra parte) lo rimando ad un altro simpatico sito.

Codice:

RewriteEngine on
RewriteLog /var/log/apache/rewrite.log
RewriteLogLevel 2
RewriteCond %{THE_REQUEST} php[^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*([:][/][/]|%3a%2f%2f) [NC]
RewriteRule . http://www.fuckyou.com/ [R]

da qui in poi ho scoperto diversa gente che non si fa i 'zzi suoi, qualcuno ho provato anche a segnalarlo ai provider e agli autori dei siti bucati sul quale erano caricati gli script di attacco, ma le richieste sono sempre finite su /dev/null

[Piccolo Lord]

Link

[Piccolo Lord]

Comunque, giusto qualche commento, se mi è permesso, su alcuni dei vostri post:

Quote:

Originariamente inviato da lnessuno

scoprite 2 cose: il file non è opera del famigerato acaro, ma è uno script preconfezionato scaricato da un sito russo; scoprite inoltre che con quello script l'acaro poteva fare ciò che voleva del vostro sito, perchè era come se fosse stato davanti al suo pc di casa... insomma avrebbe potuto fare danni anche abbastanza grossi.

Il fatto che il tizio abbia utilizzato uno "script preconfezionato", come lo chiami tu, non vuol dire assolutamente nulla. E' divertente come molti - senza magari conoscere un'h della materia, parlino di "lamer", "ragazzino annoiato che non essendo in grado di fare qualcosa con le sue mani, ha usato uno script preso altrove". Questo, ripeto, non significa una mazza. Molti di quegli "script preconfezionati" altro non sono che una sorta di "batch" per semplificare, automatizzare e velocizzare una serie di operazioni che altrimenti andrebbero fatte "manualmente" o che invece non possono essere eseguite da remoto, ma soltanto sul sistema target. Il fatto che venga utilizzato uno script per fare determinate cose, NON vuol dire che il tizio non sappia crearsi da sé degli strumenti né tantomeno che il tizio in questione sia un "lamer".

Altrimenti, qualunque programmatore (cioé tutti) che usa nelle sue applicazioni parti di codice prodotto da terzi, sarebbe un "programmatore lamer".
E quante volte ciò avviene per non perdere tempo, spesso anche per delle stupidate che in quanto tali sarebbero semplici ma richiederebbero tempo?
Ma poi, come fate a etichettare "lamer" in due secondi, con questa superficialità, senza saperne di più sulla persona e su quello che essa ha fatto? Sapete fare di meglio? Se no, prima di pensare che il tizio sia un lamer, al vostro posto cercherei di capire cosa e come ha fatto. No?
IMHO il fatto stesso che egli sia riuscito, comunque, a fare qualcosa su un sistema di terzi, vuol dire qualcosa che a mio avviso è tutt'altro che una "lamerata" (tanto per usare termini che vi piacciono molto).
Non è da tutti e non è una passeggiata fare questo genere di cose, e per di più aggiungo che proprio il fatto che il tipo non abbia lasciato "segni evidenti del suo passaggio" come modifiche visuali al sito ecc, denota - sempre IMHO - una certa professionalità, al contrario. Se si fosse trattato del "ragazzino annoiato ecc.ecc.", egli tutto eccitato quasi all'orgasmo ti avrebbe almeno modificato qualche contenuto, lasciato una firma, cambiato la home o chessòio. Una persona con altre intenzioni invece può starsene buono ed osservare, perché se si tratta (è solo un esempio) di un sito di ecommerce, magari interfacciato con una intranet aziendale, avrebbe molto più senso aspettare e cercare un modo per rubare informazioni o numeri di carte di credito, ecc, ecc, ecc.
E' proprio la mancanza di segni "visuali" che dovrebbe preoccupare maggiormente in questi casi

Passando all'altra domanda: come avrei agito io? Semplicemente, a meno che ci siano dati realmente sensibili e problemi tali da rendergli possibile il recupero di questi dati direttamente sul mio sito (es. numeri di carte di credito, il discorso è che gateway viene usato per i pagamenti, e come), farei finta di niente, non toccherei niente per non farlo insospettire e cercherei di capire come beccarlo, se possibile. Dopo un tempo ragionevole, cambierei servizio di hosting o riprogetterei la sicurezza dei miei server in caso di propri.
Alternativa: puoi passare direttamente al "dopo un tempo ragionevole", senza aspettare e fregandotene.

Quote:

Originariamente inviato da Pot

imparerei a programmare meglio

sono solo di aiuto e di stimolo queste cose. fino a che non hai perso dati personali e non hai subito danni naturalmente.

poi naturalmente non avrei detto un cacchio di nulla al capo.. mi spaice però sono cose da informatici.. mica da manager che non sanno accendere nemmeno il portatile. Cmq se è stato furbo è passato da un honeypot.. quindi puoi denunciare chi vui ma....

Cosa ti dà la certezza che il tutto sia dipeso da lack in programmazione?
[..]

Quote:

Originariamente inviato da paditora

Bè io di ste cose non ne capisco molto.
Cmq io avrei preso il suo ip e gli avrei fatto un po' di casini sul suo pc
Chessò un mega formattone o un bel virus.
E poi magari una bella scritta a schermo pieno che il suo ip era finito in mano alla polizia.

Credi davvero che sia così semplice fare quello che ipotizzi, ad una persona che ha fatto ad un sito aziendale quello che lnessuno ci ha detto?
Ah, vabbeh... ma per voi è un lamer, dimenticavo

Quote:

Originariamente inviato da lnessuno

come detto già da qualcuno, a volte non basta saper programmare bene... come ha detto phcv, anche a me probabilmente sono entrati da phpbb... poi ovvio potrebbero anche essere delle debolezze nel mio codice (nulla di più semplice, non ho mai avuto a che fare con acari e sporcizia varia, ho messo qualche protezione ma non credo sia niente di impossibile da oltrepassare)

in ogni caso fare l'acaro non è un obbligo morale, penso che se venisse mai beccato avrebbe una buona serie di motivi per cui essere preoccupato...

se poi è stato furbo... meglio per lui. ma bucare il sito di un'azienda non è come bucare un sito personale, potevano esserci dei dati importantissimi, e anche se lui non avesse trovato/preso niente poteva far passare seri guai a qualcuno...

insomma: fermo restando che è una testa di cazzo, la domanda era se l'avreste denunciato o no... poi di dati importanti non ce ne sono... non vitali, almeno, ma è il fatto stesso ad essere grave.

Domanda: avete dei server propri? Se sì, gestite direttamente i firewall? Se sì, avete abilitato il logging come si deve sui firewall? E' la prima cosa che chiedono e verificano, se non ci sono, ti dicono ciao ciao.

Quote:

Originariamente inviato da Alan Ice

ma ke te ne fotte? Denucialo.Sarà un nerd schifoso ciccicione e brufoloso di 15 anni che nn c'ha un cazzo da fare

Mi fate ridere
schifoso ciccione e brufoloso di 15 anni...

Quote:

Originariamente inviato da Pot

bhè allora se metti phpbb su un sito aziendale sei veramente fuori di testa.. ma veramente .. è una delle cose più bucate esistenti sullafaccai della terra... ormai trovi gli exploit pure nel cesso.. tanto che la ricerca " powered by phpbb" è filtrata da google

cmq c'è solo da imparare... ripeto, non si può pensare di essere superblindati.

Per tutti quelli che dicono : prendi l'ip e poi gli fai il culo:
a) 99% è passato da un honeypot
b) 99% prima di andare nell'honeypot si è proxato con un proxy giamaican
ciao
Alessio

Quote:

Originariamente inviato da gurutech

da quel che ho capito era un classico XSS (Cross Site Scripting). cut

Altrettanto divertente è l'uso che alcuni di voi fanno di certi termini... vabbeh, lascio perdere.

[lnessuno]

lord quello che dici è tutto vero, però non mi sa di gran furbata entrare in un sito, dare un'occhiata e lasciare tutti i files li in bella vista... avrebbe potuto segnarsi su un foglietto di carta qual era la backdoor, guardare quello che voleva guardare e cancellare ogni segno del suo passaggio... invece ha lasciato anche un file di log creato dallo stesso script che ha utilizzato, oltre allo script stesso. a me personalmente non sembra una gran furbata, poi magari fa parte dello spirito hacker lasciare segni evidenti del proprio passaggio...

cmq il sito non è ospitato presso un nostro server (figurati dove sono io non siamo nemmeno coperti dall'adsl, stiamo attivando una linea un pò più veloce per sostituire una isdn utilizzando l'umts per l'upload e il satellitare per il download )

[Lorekon]

OT
- x Pot cosa significa esattamente "honeypot"?
Wikipedia mi dà una definizione che non spiega quel che hai scritto

- Idem per per "proxy giamaican" (il proxy lo conosco, mi mancha il "giamaican" )

- per Piccolo Lord: molto interssante, però QUANDO LA SMETTI DI CAMBIARE NICK 3 VOLTE AL GIORNO???
non capisco mai che sei tu
eventualmente gradita un alista di tuoi nick in priv
(il vizio te l'ha attaccato lucio mi sa)

/OT