Interpretare un log...

Eheheheh... qualche geniaccio ha pensato bene di "hackerarmi" webportal su trywebportal.altervista.org entrando con l'account di amministrazione di prova, modificando il titolo del sito in "Hacked WebPortal" e cancellandomi il file index.php. Devo dire che certa gente è davvero stupida...
Qualcuno sa come fare a rintracciare qualcuno grazie a questo log?

01/02/2006 17:05:47 - 151.38.216.205 - /actions.php - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) - http://trywebportal.altervista.org/index.php?m=3 - POST BEGIN - uname="admin", pass="admin", action="login", redirect="/index.php?m=3" - POST END - SESSION BEGIN - - SESSION END - COOKIE BEGIN - Q="q1=AACAAAAAAAAAAA--&q2=Q4NEcQ--", PHPSESSID="b33ca8bc2ab4b91460dbe44cb319950e" - COOKIE END - FILES BEGIN - - FILES END - LOG END

01/02/2006 17:05:59 - 151.38.216.205 - /content/ - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) - http://trywebportal.altervista.org/i...p?m=3&f=addgal - POST BEGIN - - POST END - SESSION BEGIN - lang="it" - SESSION END - COOKIE BEGIN - Q="q1=AACAAAAAAAAAAA--&q2=Q4NEcQ--", PHPSESSID="b33ca8bc2ab4b91460dbe44cb319950e", login="1:admin:21232f297a57a5a743894a0e4a801fc3:0" - COOKIE END - FILES BEGIN - - FILES END - LOG END

01/02/2006 17:07:31 - 151.38.216.205 - /actions.php?action=modify_main_vars&module=14 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) - http://trywebportal.altervista.org/i...m=14&f=general - POST BEGIN - title_site="Hacked WebPortal", desc_site="", language="it", email_info="ivano.culmine@email.it", email_owner="***@***" - POST END - SESSION BEGIN - - SESSION END - COOKIE BEGIN - Q="q1=AACAAAAAAAAAAA--&q2=Q4NEcQ--", PHPSESSID="b33ca8bc2ab4b91460dbe44cb319950e", login="1:admin:21232f297a57a5a743894a0e4a801fc3:0" - COOKIE END - FILES BEGIN - - FILES END - LOG END

01/02/2006 17:09:01 - 151.38.216.205 - /actions.php?module=14&fload=admin_fm&action=delete &num=1&fmdir=.&file0=index.php - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) - http://trywebportal.altervista.org/i...ile0=index.php - POST BEGIN - - POST END - SESSION BEGIN - - SESSION END - COOKIE BEGIN - Q="q1=AACAAAAAAAAAAA--&q2=Q4NEcQ--", PHPSESSID="b33ca8bc2ab4b91460dbe44cb319950e", login="1:admin:21232f297a57a5a743894a0e4a801fc3:0" - COOKIE END - FILES BEGIN - - FILES END - LOG END

Inoltre, qualcuno saprebbe dirmi a quale script potrebbe appartenere questo cookie?

Q="q1=AACAAAAAAAAAAA--&q2=Q4NEcQ--"

Vorrei proprio capire chi è questo grande hacker...

P.S.: Scusatemi se ho sbagliato sezione, ma non sapevo dove postare... grazie

Scusa un paio di domande:
Ma il log lo ha generato webportal? Quindi lo dovresti aver scritto tu lo script dei log no?
Cosa significa l'ultima tua domanda? Penso tu sappia cosa sono i cookie, e quindi non c'entra nulla lo script che li genera. Inoltre la stringa postata non mi pare un cookie!

Non me ne intendo di log, ma quelli riportati da te non mi pare che servino a molto. Mostrano info sul client (browser) il file dove si naviga, la query string, la session e una strana stringa "login".

EDIT: scusa poi, ma anche tu che lasci un portale e l'amministrazione aperta a chiunque, non mi pare una mossa molto intelligente!


Ciaooooo!!!!!

Si, è il logger di WebPortal che ha generato quelle righe e l'ho scritto io, quindi so esattamente cosa sono... C'è l'indirizzo IP e la data e ora della visione della pagina... il resto sono informazioni che servono a capire cosa ha fatto.

Che si può fare?

[makpaolo]

l'indirizzo IP è di una conessione di "infostrada"
http://www.dnsstuff.com/tools/whois....151.38.216.205

puoi:
->contattare infostrada e con il log vedere se possono fare qualcosa (non lo faranno mai o moooolto difficilmente)
->Con il tuo log, ed eventualmente quello di Altervista (prova a chiederlo all'abuse) segnalare la cosa alla polizia postale.

altre strade non ce ne sono.

AH scusa, avevo capito male la tua richiesta, avevo capito che chiedevi cosa significassero quei log! heheh

Cmq ripeto che se tu stesso lasci queste possibilità (avevo anche io provato ad entrare come admin quando avevi aperto il topic dedicato all'annuncio) non ti puoi stupire se succedono queste cose, anzi io mi stupisco che non ti abbiano fatto di peggio e che non l'abbiano fatto prima!!!
Non dico che te lo sei meritato (non è un un danno così grave poi, ti basta ricaricare la pagina cancellata), ma insomma....

Se vuoi un consiglio spassionato, togli il login di admin e poi magari se vuoi far testare il pannello di controllo al pubblico disabilita il salvataggio delle impostazioni (ti basta eliminare le funzioni mysql_query "INSERT" e "UPDATE" e le funzioni che riguardano i file fisici), io ho fatto così per la demo dell'amministrazione del deForum.


Ciaoooooo!!!!!!

Eheheh... in effetti è durato parecchio... anch'io mi sono stupito che non l'abbiano fatto prima... eheh... a dir la verità, mi dispiace solo che probabilmente chiunque l'abbia fatto, probabilmente ora si sente un hacker... e mi dispiace ancora di più che ho chiesto varie volte a molte persone di tentare di "bucare" il mio CMS, ma questa è la prima volta che qualcuno fa veramente qualcosa... peccato che non era quello che volevo...

cmq credo proprio che disabiliterò qualche funzione.... :-D giusto per risparmiarmi qualche scocciatura

P.S.: non mi va di rivolgermi alla polizia... magari è solo un bambino. Anche se potrebbe servirgli a capire che la prossima volta doveva prendere più precauzioni o magari dovrebbe interessarsi a cose più serie che cancellarmi la index.php in questo modo a dir poco banale :-)

Comunque grazie di tutto

Guarda, di logica non potrebbe essere nemmeno minimamente perseguibile, perché di fatto ha fatto qualcosa che poteva; tu hai dato questa possibilità, lasciando intenzionalmente (anche pubblicizandolo) l'accesso all'admin, e quindi chiunque poteva fare quello che voleva, visto che era autorizzato da te.
Se ci penso un attimo arrivi alla mia stessa conclusione.

PS: bucare un sito su cui hai pienamente il controllo perchè questo è stato voluto, non è bucare! :D


Ciaooooo!!!!

PS: bucare un sito su cui hai pienamente il controllo perchè questo è stato voluto, non è bucare! :D

Intendo, per trovare eventuali bug di sicurezza e correggerli... infatti bucare era tra virgolette...