Mi hanno bucato il server.......

[stefanoxjx]

Ciao, ho scoperto che mi hanno bucato il server passando tramite il servizio HTTP.
Sbirciando sui vari file che ho trovato ho scoperto il nome (in codice), l'indirizzo ip e il s.o. usato (ubuntu edgy) dell'hacker che è riuscito a farmi questo scherzo.
Siccome secondo me l'attacco è stato fatto in maniera abbastanza ingegnosa (almeno per le mie conoscenze), volevo sapere se qualcuno che conosce bene la programmazione in PHP è disposto a darmi una mano a capire come ha fatto a sbattermi dentro questi file e che cosa fanno.
Studiando un po' i sorgenti (php) ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.
Ovviamente, chi è disposto ad aiutarmi riceverà in pvt il file zip con tutti i file incriminati.
Grazie.
Byez.

[ilsensine]

Quote:

Originariamente inviato da stefanoxjx

Studiando un po' i sorgenti php ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.

Controlla il proprietario dei file. Visto che i log sono rimasti, probabilmente non è riuscito ad andare oltre (dai comunque una botta di chkrootkit).

[W.S.]

se vuoi ti posso dare una mano a controllare il codice (ovviamente nel tempo libero), comunque, prima di tutto verifica di controllare ogni variabile prima di utilizzarla, soprattutto se si tratta di comandi di sistema o query a db.

[darkbasic]

puoi mandarmi il codice alla mail che trovi in sign?

[stefanoxjx]

Quote:

Originariamente inviato da ilsensine

Controlla il proprietario dei file. Visto che i log sono rimasti, probabilmente non è riuscito ad andare oltre (dai comunque una botta di chkrootkit).

chkrootkit ed rkhunter sono in cron e vengono eseguiti ogni notte.
Non mi hanno mai segnalato nulla.
Il sospetto mi è nato dopo questo caso.
Effettivamente dopo qualche giorno si è ripresentato lo stesso problema e quindi ho iniziato ad indagare un po' più approfonditamente ed ho trovato la sorpresa

Dimenticavo, il proprietario dei file è www-data e i permessi sono rw-r--r--, a parte quelli inseriti da lui che sono rwx-r-r.

[stefanoxjx]

Quote:

Originariamente inviato da W.S.

se vuoi ti posso dare una mano a controllare il codice (ovviamente nel tempo libero), comunque, prima di tutto verifica di controllare ogni variabile prima di utilizzarla, soprattutto se si tratta di comandi di sistema o query a db.

OK grazie, come ti posso inviare il codice?

[stefanoxjx]

Quote:

Originariamente inviato da darkbasic

puoi mandarmi il codice alla mail che trovi in sign?

Grazie, preparo la mail e te la invio

[darkbasic]

Ho dei problemi con il server di posta, se riesco a risolverli entro breve bene, altrimenti ti do un altro indirizzo a cui mandarli.

[-AnDrEw-88-]

Quote:

Originariamente inviato da stefanoxjx

Dimenticavo, il proprietario dei file è www-data e i permessi sono rw-r--r--, a parte quelli inseriti da lui che sono rwx-r-r.

www-data è apache...rw-r--r-- sola lettura, li voleva (logicamente) far diventare eseguibili...se hai tempo vorrei vedere il codice:
[email protected]

[stefanoxjx]

Quote:

Originariamente inviato da -AnDrEw-88-

www-data è apache...rw-r--r-- sola lettura, li voleva (logicamente) far diventare eseguibili...se hai tempo vorrei vedere il codice:
[email protected]

Mail inviata.

Attenzione!!! dopo la segnalazione di W.S. ho controllato i file incriminati con l'antivirus e viene segnalato un "Trojan.PHP.c99shell".

[stefanoxjx]

Quote:

Originariamente inviato da -AnDrEw-88-

se hai tempo vorrei vedere il codice:
[email protected]

Ho provato a mandarti la mail, però mi ritorna sempre l'errore: 552 5.7.0 Illegal Attachment z33si2382898ikz.

Probabilmente il server di gmail non accetta attachment infetti

[Scoperchiatore]

Se vuoi ti ordino un Penetration Test

Lavoro con gente che fa queste cose di mestiere, mi sto spaventando scoprendo quanto si può fare con l'injenction!
Ma il server è "commerciale" o è un tuo serverino da amatore? Perchè nel secondo caso è alquanto strano che ti abbiano bucato, a meno che tu non abbia una falla grossa come una casa.

[stefanoxjx]

Quote:

Originariamente inviato da Scoperchiatore

Se vuoi ti ordino un Penetration Test

E' doloroso?

Quote:

Lavoro con gente che fa queste cose di mestiere, mi sto spaventando scoprendo quanto si può fare con l'injenction!
Ma il server è "commerciale" o è un tuo serverino da amatore? Perchè nel secondo caso è alquanto strano che ti abbiano bucato, a meno che tu non abbia una falla grossa come una casa.

Il mio è un serverino amatoriale, però mi sto convincendo sempre più che abbiano sfruttato una falla del CMS che sto usando.

[Traxsung]

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

[-AnDrEw-88-]

Quote:

Originariamente inviato da stefanoxjx

Ho provato a mandarti la mail, però mi ritorna sempre l'errore: 552 5.7.0 Illegal Attachment z33si2382898ikz.

Probabilmente il server di gmail non accetta attachment infetti

prova con [email protected], grazie

[W.S.]

Quote:

Originariamente inviato da Traxsung

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

non è semplicissimo da spiegare (non è nemmeno difficile in verità, solo che è un po lungo e vario come discorso) come regola d'oro comunque:
- controllare qualsiasi variabile prima di utilizzarla, soprattutto se la si usa in una query o in una exec/system (o eval o simili) e viene ricavata dall'input dell'utente. Verificare che corrisponde a quello che ci si aspetta, un buon modo è ricorrere alle espressioni regolari respingendo qualsiasi input contenente caratteri strani (es stabilire che un nome deve essere composto solo da caratteri alfanumerici evita alla radice l'uso della variabile in modo non controllato)

Come già detto l'argomento è molto vario e a volte non basta controllare l'input ma sicuramente, è l'errore + frequente e pericoloso(qualche ordine di grandezza rispetto agli altri)

Per saperne di più basta cercare in rete, si trova tantissimo materiale:
www.securityfocus.com
o via google tramite qualche keyword come: "sql injection" "XSS" "web auditing" "web vulnerability" "code injection" etc etc

[stefanoxjx]

Quote:

Originariamente inviato da -AnDrEw-88-

prova con [email protected], grazie

Inviato!!

[darkbasic]

Se vuoi un consiglio, per la prox volta fatti uno scriptino bash in cron che ti controlla periodicamente l'md5 checksum di tutti i file php e che ne ricerca di nuovi

[stefanoxjx]

Quote:

Originariamente inviato da darkbasic

Se vuoi un consiglio, per la prox volta fatti uno scriptino bash in cron che ti controlla periodicamente l'md5 checksum di tutti i file php e che ne ricerca di nuovi

Terrò presente.
La mia preoccupazione è sempre stata rivolta verso il server ssh ed onestamente non avrei mai sospettatto che sarebbero passati attraverso il server web , anche perchè mi sentivo abbastanza sicuro visto che le pagine web non le avevo fatte io

[nessunopiu]

Quote:

Originariamente inviato da W.S.

Verificare che corrisponde a quello che ci si aspetta, un buon modo è ricorrere alle espressioni regolari respingendo qualsiasi input contenente caratteri strani

Relativamente all'imput si possono convalidare o meno anche le date ?
Grazie