il file di log segnala degli accessi FTP che non hanno niente a che vedere con me

[giochi3]

Ciao, da qualche anno ho un piccolo sito su altervista.

Da qualche tempo ho notato che sul log di download generato da una semplice pagina in PHP (non scritta da me, ma oramai, bene o male, l'ho capita: non c'è scritto niente di strano) c'erano alcune stringhe che a occhio mi sembravano un accesso ftp (con tanto di nome utente e password) che puntano a pagine PHP di alcuni siti. Non mi ero sbagliato per niente: ho provato a fare il copia incolla di una di queste linee (una sola) su browser e con stupore mi sono ritrovato nel sorgente di una pagina php con cui non centravo nulla!

Ho dato un occhio al web per vedere di cosa trattassero qui siti, uno era un hotel, uno un rivenditore di patatine mi pare ecc. (ad ogni modo non sono siti italiani, e neppure gli indirizzi ip che hanno fatto la richiesta tramite la mia pagina php "sono italiani").

Speravo che il problema sparisse ma l'altro giorno è riapparso...

Secondo voi cosa significa ? può essere una cosa "pericolosa" ? come dovrei comportarmi?

Grazie Anticipatamente a chi vorrà aiutarmi.

[giochi3]

Nessuno ha voglia di aiutarmi ?
----

qualora servisse spiego meglio la situazione: in pratica quando si scarica un file dal mio sito viene avviata una pagina chiamata download.php (tutti i link di download puntano a tale pagina...). Questa pagina prima di avvia il download e poi memorizza alcuni dati (es: filename e data) in un file di log.

esempio di link al un download:
http://percorso_sito/download.php?get=filename.zip

la pagina "download":
1) legge il dato dopo il punto interrogativo e lo mette in una variabile
2) con qualche concatenazione (ovvero tramite il punto) crea una stringa contenente vari dati (es: filename, data). All'interno della stringa è usato il "\t" come divisore tra un dato e l'altro...credo sia il tabulatore.
3) la stringa viene poi "appesa" al file di log, un semplice txt.
qualora il file richiesto sia non disponibile (o digitato non correttamente) viene stampato su html un testo di errore, mediante il comando echo.

ecco come sono fatte le linee incriminate (o oscurato i dati lasciando intatta la struttura della linea).

ftp://nome_sito:nome_utente@www.nome...io/pagina.php? 25/03/2016 01:30:16 indirizzo_ip

quelle normali invece sono una cosa tipo:

nome_gioco.zip 25/03/2016 01:30:16 indirizzo_ip

PS:
nell' openpost mi ero sbagliato, la password non c'è scritta...che so, forse avevo beccato un caso particolare in cui non era stata settata....

[darkwolf]

Il tuo script ha seri problemi di sicurezza...

*download.php?get=<script>alert('test')</script>

viene passato e, eseguito!

insomma, posso passare qualunque cosa su quella variabile, senza alcun controllo.

devi rivedere completamente il tuo script.

giusto per farti capire, posso scaricarmi persino i sorgenti dello stesso download.php:

Codice:

view-source:http://***.altervista.org/***/download.php?get=download.php

o salire di livello e scaricarmi il tuo index2.php

Codice:

view-source:http:/***.altervista.org/***/download.php?get=../index2.php

e, spulciando più a fondo, riesco a leggermi i tuoi log...

[giochi3]

in un altro forum mi hanno consigliato di acconsentire il download solo di zip e exe...l'ho fatto in quanto, pensandoci, anche a me sembra una buona idea. Qualche altro consiglio per migliorare la sicurezza?...senza essere Bill Gates (o chiunque abbia inventato il PHP).

[darkwolf]

io avrei messo i file "da download", e solo i file, in una specifica directory. quindi permesso a download.php di scaricare solo i file presenti in quella directory (tutte le estensioni - ma senza poter navigare a livelli superiori).
in ogni caso, anche così, seppur un po' limitante come estensioni possibili, te la sei sbrigata