Fabrizioroccapc defacciato?

A partire dal 1 settembre chi visita il mio sito abitualmente si sarà accorto che nella mia homepage manca un banner. Ed è proprio quello di Fabrizio Rocca, il webmaster che durante la notte tra l’uno e il due ha subito un attacco informatico.

Nel suo sito si parla di un deface, ma non è specificato l’autore.

Adesso al posto del suo sito c’è un messaggio che riporta:

“A causa di un deface del sito avvenuto nella notte tra il 1 e il 2 Settembre 2010, la maggior parte dei file del sito sono andati perduti.

Il database per fortuna è ancora integro.

Ora dovrò ricostruire tutto il sito quasi daccapo, percui mi aspetta un lavoro che durerà molte settimane.

Appena finito, sposterò tutto il sito in un nuovo web host.

Grazie a tutti i visitatori e a tutti quelli che mi hanno aiutato.”

Come avranno fatto?

[zingus]

1) Hai considerato la possbilità di chiederlo a fabrizioroccapc?

2) Magari la sua password era "password"

3) CMS buggato e mai aggiornato (perché i cms odierni se li customizzi un minimo diventano impossibili da tenere aggiornati)

1) Hai considerato la possbilità di chiederlo a fabrizioroccapc?

2) Magari la sua password era "password"

3) CMS buggato e mai aggiornato (perché i cms odierni se li customizzi un minimo diventano impossibili da tenere aggiornati)

1: Non ho ricevuto risposta :(
2: Secondo me no, non è mica scemo...
3: MI sembra non usasse cms...

[alemoppo]

se non ha usato un CMS, possono essere dei bug che ha lasciato scrivendo con PHP !

Ciao!

[darkwolf]

In ogni caso, sembra si voglia trasferire (come se fosse stato defacciato a causa dell'hosting).
Quando e se lo defacceranno ancora, capirà che il problema è nello script e non nell'hosting.

[fabrizioroccapc]

E' colpa di un bug nell'uploader.
Il deface è stato fatto sfruttando è piccolissimo bug dell'uploader, ovvero il defacciatore ha inviato un file con estensione .php.html con del codice php che cancella tutti i file (il bello è che avevo bloccato l'invio di file php proprio per questo rischio).

Non stò assolutamente dando la colpa ad Altervista di ciò che è accaduto, è solo che era da tempo che avevo in mente di cambiare host.

Inoltre avevo una password abbastanza lunga con lettere e numeri.

[alemoppo]

beh.. è già capitato che hanno caricato un file che danneggiava tutto... Io di solito, sostituisci il nome aggiungendo un suffisso del tipo *.cancellare o cose simili, in modo che non siano dannosi!..

Ciao!

[darkwolf]

Beh, un *php.html è comunque un html e quindi come hanno fatto ad eseguire del codice php?

[makingweb]

2) Magari la sua password era "password"

oh no! ora che avete scoperto la mia password dovrò modificarla xD

[karl94]

Beh, un *php.html è comunque un html e quindi come hanno fatto ad eseguire del codice php?

Quando attivi PHP5 sul .htaccess, vengono interpretati tutti i files che includono nel nome del file .php, che sia alla fine o meno. Provare per credere.

[andreafallico]

Quando attivi PHP5 sul .htaccess, vengono interpretati tutti i files che includono nel nome del file .php, che sia alla fine o meno. Provare per credere.

E' vero, viene interpretato come php, questo bug l'avevo segnalato a saitfainder ed ho visto che con il nuovo php engine l'hanno risolto.

[darkwolf]

E' vero, viene interpretato come php, questo bug l'avevo segnalato a saitfainder ed ho visto che con il nuovo php engine l'hanno risolto.

Touché, ignoravo la sua esistenza.

[andreafallico]

Ho provato e l'hanno risolto.

[fabrizioroccapc]

Infatti era in php 5, e il defacciatore aveva inviato un file .php.html , poi è bastato che lo aprisse per scatenare l'inferno.

[karl94]

In ogni caso, sembra si voglia trasferire (come se fosse stato defacciato a causa dell'hosting).
Quando e se lo defacceranno ancora, capirà che il problema è nello script e non nell'hosting.

In questo caso però un po' della colpa era di Altervista.

[fabrizioroccapc]

No, la colpa non era di altervista, la colpa è mia che ho fatto una pagina in php, senza aver prima controllato che fosse sicura.

[Gianluca]

La gestione così strutturata delle doppie estensioni non è un bug, è il normale comportamento di Apache: http://httpd.apache.org/docs/2.2/mod/mod_mime.html

Può essere poco noto e, sotto certi punti di vista, discutibile ma così è, e lo è da anni (vedi documentazione di Apache 1.3 http://httpd.apache.org/docs/1.3/mod/mod_mime.html)

Il nuovo phpengine non funziona se richiamato con la doppia estensione, ma questo non è dovuto ad una correzione da parte di AlterVista ma piuttosto dal fatto che viene attivato diversamente.

Ogni applicativo che effettua una validazione sull'upload dovrebbe, per molte ragioni, non basarsi esclusivamente sull'estensione del file.
Lo stesso meccanismo ovviamente si va ad applicare ai files .gif.html, jpeg.html ecc ecc...
In ogni modo per impedire l'esecuzione di files php con doppia estensione è sufficiente inserire in .htaccess qualcosa del genere:

Codice:

<FilesMatch "\.php\."> 
Order Allow,Deny
Deny from All
</FilesMatch>

L'inserimento della direttiva FilesMatch ha tuttavia un impatto non nullo sulle performances e andrebbe aggiunta solo nel caso in cui si stiano facendo girare applicativi che si sospetta possano avere simili problemi di sicurezza.

[andreafallico]

Ma io caricavo(nel mio spazio web) immagini contenenti codice php, senza doppie estensioni.

scusate non ci capisco molto di queste cose, ma per caricarlo avevi un upload di file dal sito?

io ricordo un paio di anni fa tentatori di hackerarmi il sito, fortunatamente altervista alla terza pass errata bloccò il sito e mi arrivò una mail dicendo che l'accesso all'amministrazione era bloccata per tot ore in quanto avevano provato ad entrarmi nel sito e mi diedero pure l'ip e la provenienza, ma ora se riescono a entrare in questo modo non c'è da dormire tranquillo e mi chiedo anche che scopo hanno queste persone a danneggiare il lavoro altrui, insomma nn hanno di meglio da fare?