Mi hanno bucato il server.......

[W.S.]

si, anzi, si devono bisogna tenere conto che l'input può essere creato a mano dall'utente non solo tramite l'applicazione che abbiamo scritto noi, quindi potrebbe arrivarci una data formata da "ciao"... a questo punto la nostra applicazione potrebbe comportarsi in modo imprevisto, se quella variabile la usiamo in qualche funzione particolare potrebbe creare seri problemi fino all'esecuzione di codice o query decise dall'attaccante.

Quote:

Originariamente inviato da Traxsung

interessante... ma perchè chi è del mestiere (nel senso che è molto molto bravo in php) non ci mostra qualche esempio pratico??
Sarebbe didattico... per lo meno chi deve creare degli script si metti in parte al riparo da questi attacchi

Esempio stupidissimo (questa è una SQL injection).

Il tuo script fa una query al database del tipo:

Codice:

SELECT FROM nome_tabella WHERE nome_utente = 'NOME' AND pass_utente = 'PASS'

dove NOME e PASS sono parametri passati in GET/POST alla pagina web.

Se tu "sbatti" questi parametri nella query senza averli "bonificati", io potrei ad esempio inserire come pass una stringa che vada ad alterare la query che verrà eseguita al database.

Ad esempio se inserisco come pass

Codice:

' OR nome_utente = 'Pippo

la query diventa

Codice:

SELECT FROM nome_tabella WHERE nome_utente = 'QUALSIASI_COSA' AND pass_utente
 = '' OR nome_utente = 'Pippo'

Quindi in pratica verrà restituito true e potrò loggarmi come utente Pippo senza conoscerne la password.

Questo è un esempio banalissimo e stupidissimo (comunque se ne vedono in giro di pagine vulnerabili a cose come queste), ma è giusto per dare l'idea. In questo caso è una injection SQL, ma potrei provare anche con parametri che venissero passati in PHP a funzioni del tipo system() etc. per eseguire comandi dalla console.

Per prevenire queste cose devi stare molto attento al fatto che i parametri ricevuti in ingresso non contengano caratteri che possano alterare il comportamento dello script o delle query al database eseguite dallo script (ad esempio, tra le altre cose, "bonificando" gli apici con qualche funzione tipo addslashes(stripslashes()) in PHP) oppure che possano nuocere direttamente ad altri utenti (in questo caso devi "bonificare" eventuali parametri che potessero essere visualizzati all'interno della pagina inattivando eventuale codice html etc. in modo da prevenire possibili attacchi di tipo XSS o simili). Nel caso delle funzioni tipo system() (o che comunque possono eseguire comandi dalla console) devi stare anche qui molto attento al fatto che i parametri passati a questa funzione non siano alterabili in modo maligno attraverso lo script.

... comunque il discorso è piuttosto lungo, se cerchi su Google come qualcuno ti ha consigliato probabilmente puoi trovare informazioni più dettagliate

[darkbasic]

Codice:

<center><b>Owned by b0rizQ</b></center>

A quanto pare l'autore dell'hack per flatnuke è un certo b0rizQ, codice che l'attaccante a quanto pare ha riciclato.
Probabilmente hanno sfruttato una falla nota di FlatNuke 2.5.8, corretta nel 2.5.8.1.
Se invece utilizzavi quest'ultima versione, allora bisogna contattare i devel di flatnuke e segnalargli la falla.

[stefanoxjx]

Quote:

Originariamente inviato da darkbasic

Codice:

<center><b>Owned by b0rizQ</b></center>

A quanto pare l'autore dell'hack per flatnuke è un certo b0rizQ, codice che l'attaccante a quanto pare ha riciclato.
Probabilmente hanno sfruttato una falla nota di FlatNuke 2.5.8, corretta nel 2.5.8.1.
Se invece utilizzavi quest'ultima versione, allora bisogna contattare i devel di flatnuke e segnalargli la falla.

Effettivamente, ho appena avuto la conferma dagli sviluppatori di flatnuke che la versione 2.5.8 (che uso) ha proprio la falla che mi ha messo in questa situazione
Almeno ho capito da che parte sono passati!!!

Probabilmente, il tipo che mi ha attaccato è ancora un po' inesperto visto che dai log sono riuscito a risalire alla data e all'ora dell'attacco, al suo nickname e al suo indirizzi IP statico.

[ilsensine]

Quote:

Originariamente inviato da stefanoxjx

Probabilmente, il tipo che mi ha attaccato è ancora un po' inesperto visto che dai log sono riuscito a risalire alla data e all'ora dell'attacco, al suo nickname e al suo indirizzi IP statico.

Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.

[stefanoxjx]

Quote:

Originariamente inviato da ilsensine

Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.

Non credo si tratti di uno zombie, perchè collegandomi con telnet all'unica porta aperta che ho trovato su quel IP, mi risponde Connected to [xxxx] ed il nome corrisponde a quello scritto sui sorgenti dei file php che mi ha sparato dentro al server.
Pensi serva a qualcosa segnalare il fatto alla Polizia Postale? Mi da tanto l'impressione che le segnalazioni non vengano nemmeno guardate!!!!

[ilsensine]

Quote:

Originariamente inviato da stefanoxjx

Pensi serva a qualcosa segnalare il fatto alla Polizia Postale? Mi da tanto l'impressione che le segnalazioni non vengano nemmeno guardate!!!!

Sì; se ha usato il suo ip sono cavoli suoi. Continuo a dubitare comunque (mi puoi mandare l'IP in privato?)

Puoi cercare di avere una idea su quale parte del mondo sia tramite un traceroute sull'ip.

[stefanoxjx]

Quote:

Originariamente inviato da ilsensine

Sì; se ha usato il suo ip sono cavoli suoi. Continuo a dubitare comunque (mi puoi mandare l'IP in privato?)

Puoi cercare di avere una idea su quale parte del mondo sia tramite un traceroute sull'ip.

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Quote:

Originariamente inviato da stefanoxjx

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Prova a tracciare l'IP con un tracert grafico (sono tutt'altro che infallibili ma potresti farti un'idea... se non sulla città esatta almeno sullo stato di provenienza).

[tutmosi3]

Hei Stefano ...
Ma tu guarda che disavventura ti è capita.
Cavoli ... Ti lascio solo per qualche giorno e cosa mi combini?

Scherzo fratello.

Hai aggioranto Flat 2.5.8.1?

Se la macchina non uno zombie lo puoi inchiodare.
Che dice il trace?

Ciao

[stefanoxjx]

Quote:

Originariamente inviato da ekerazha

Prova a tracciare l'IP con un tracert grafico (sono tutt'altro che infallibili ma potresti farti un'idea... se non sulla città esatta almeno sullo stato di provenienza).

E' Italiano e il suo provider è libero.it

[stefanoxjx]

Quote:

Originariamente inviato da tutmosi3

Hei Stefano ...
Ma tu guarda che disavventura ti è capita.
Cavoli ... Ti lascio solo per qualche giorno e cosa mi combini?

Scherzo fratello.

Hai aggioranto Flat 2.5.8.1?

Se la macchina non uno zombie lo puoi inchiodare.
Che dice il trace?

Ciao

Dovete stare più attenti, come fate a fidarvi di lasciarmi solo in questo modo?
Contrariamente a quanto dici, per me più che una disavventura è un'avventura
C'è sempre qualcosa da imparare da questi avvenimenti

Al 90% sarà un ragazzino brufoloso tra i 12 e i 15 anni che non sapeva come passare il tempo... aggiorna il software e la prossima volta sta più attento (es. aggiorna subito lo script quando esce una nuova release... tra l'altro rimpiazzare il database con flat file in una web application non è in genere proprio il massimo della sicurezza ma va be').

[darkbasic]

secondo me invece è uno zombie...
(ad ogni modo l'attaccante è sicuramente italiano visti i file ritrovati all'interno della cartella nascosta)

Quote:

Originariamente inviato da darkbasic

secondo me invece è uno zombie...

Per exploitare una web application?

Quote:

Originariamente inviato da ekerazha

Per exploitare una web application?

Cioè nulla è da escludere ma secondo me è alquanto improbabile...

[stefanoxjx]

Quote:

Originariamente inviato da darkbasic

secondo me invece è uno zombie...
(ad ogni modo l'attaccante è sicuramente italiano visti i file ritrovati all'interno della cartella nascosta)

Hai sbagliato posto, per gli zombie si va sulla sezione "Film Horror"

[RaouL_BennetH]

Quote:

Originariamente inviato da stefanoxjx

Sicuramente è Italiano, anche perchè i commenti nel codice PHP sono in Italiano.
Ora ti mando un po' di info in pvt.
Grazie.
Ciao.

Puoi mandare in pvt anche a me?

Siccome tempo fa ho avuto un'esperienza simile vorrei vedere se alcune cose coincidono.

Grazie.

RaouL.

[W.S.]

bhe quindi è già tutto risolto? sito patchato e file server rimosso?

[stefanoxjx]

Quote:

Originariamente inviato da RaouL_BennetH

Puoi mandare in pvt anche a me?

Siccome tempo fa ho avuto un'esperienza simile vorrei vedere se alcune cose coincidono.

Grazie.

RaouL.

Ti ho mandato tutto in pvt.
Ciao.