Come possono avere nascosto IP e hostname?

Scusate per il titolo, forse non è molto azzeccato.
Ieri mi ero messo ad esaminare i dettagli dei visitatori sul mio sito, monitorato con php-stats. Ho notato che c'era un utente che ha cercato di craccare il sito:

Ha cercato di passare come parametro allo script una pagina esterna (che ho guardato, è su un sito di hacker brasiliani, che ad occhio e crocie, guardando il codice, serve per agire indisturbati sul server del malcapitato.
Fortunatamente il mio script non include una pagina passata con quel parametro, e in ogni caso le connessioni esterne sono bloccate qui su AV.

Dopo questa introduzione la domanda è questa: come hanno fatto a far figurare 127.0.0.1 come ip e localhost.localdomain come hostname?!?
Ma non dovrebbe essere la macchina su cui è in esecuzione lo script a visualizzare quei dati? E' un bug di php-stats?

secondo te, perchè si chiamano Hacker?
qui ci vorrebbe evcz... e ti spiega subito tutto!

Io un'idea c'è l'ho, ma non la posto perchè secondo me è stupida!

Dunque, se bene ho capito hai detto che, a giudicare dal codice, loro si connettono tramite un server che gli consente di agire indisturbati. Se bene ricordo qui alla SUN abbiamo avuto un problema simile qualche tempo fa, e si spiegò con una sorta di router che forniva all'esterno un IP e un hostname del tutto assurdi. Ti voglio ricordare, comunque, che tu ti connetti a Internet tramite un server che ti fornisce anche l'IP e l'hostname all'esterno, qualunque sia il tuo gestore, quindi se il server, usato come una sorta d proxy, lo configuri bene è anche capace che ti viene fuori una cosa del genere.
Spero di essere stato chiaro...

Ti voglio ricordare, comunque, che tu ti connetti a Internet tramite un server che ti fornisce anche l'IP e l'hostname all'esterno, qualunque sia il tuo gestore, quindi se il server, usato come una sorta d proxy, lo configuri bene è anche capace che ti viene fuori una cosa del genere.

Sì, ma come? 127.0.0.1 è l'indirizzo ip della macchina su cui risiede il mio sito, quindi dovrebbe essere riuscito a controllarla, ma allora perché prendersi la briga di cercare di crackare con uno script esterno?

... ma allora perché prendersi la briga di cercare di crackare con uno script esterno?

Questa è una bella domanda... Dubito che qualcuno ti sappia mai rispondere: gli hacker non hanno perché, hanno solo percome (non si chiedono come mai fanno una tal cosa, si chiedono solo come farla e poi la fanno, punto). Non credo che siano mentalità che si possono definire "normali"...

probabilemnte si trattava di ip spoofing...vedi, detta cn poche parole, qnd io apro una connessione tcp verso un server sn io ke gli dico qual è il mio ip e lui nn lo può verificare in nessun modo...qualunque cs io gli dica...

però :P

In ogni caso tentando così vanno solo incontro a ulteriori difficoltà, a causa del fatto che non conoscono come è fatto il mio script, che tra l'altro è inattaccabile con quel sistema.
@soulhome: mi potresti spiegare più dettagliatamente la faccenda?

bhè...nn è molto semplice...se l'argomento t'interessa molto ti batsa fare una ricerca su google e magari dare un okkiata alla RFC1180(frs riesci a trovarla anke in ita)..cmq...in pratica qnd si apre una connessione tra 2 pc tra le prime informazioni ke vengono inviate x aprire al connessione vi sn ip sorgente e destinatario, i vari pakketti prima di arrivare al destinatario 'attraversno' diversi nodi xcui è impossibile risalire al vero 'mittente', l'unico problema risiede nel fatto ke bisogna fare tutto 'alla cieca' xkè, ovviamente, la vittima invierà tutte le risposte all'ip falso e ki sferra l'attacco generalmente nn ha modo di sapere cs risponde effettivamente l'host vittima...può sl andare a intutito...x realizzare praticamente una cs del genre o (soluzione molto lamer) usi un programmino ke trovi già bello e fatto su internet oppure ti studi bene il tcp e i protocolli e crei manualmente i pacchetti o crei un programma ke lo faccia x te(volendo potrebbe bastare anke io php...)

si, ma che ti facciano comparire nell'IP 127.0.0.1? La pagina web dovrà pur avere un Ip valido per mandare i pacchetti contenenti l'html del sito no?

bhè...127.0.0.1 è un ip...il server la sua risposta la invia...ovviamente nn la leggerà nessuno...xò se il client continua a comunicare cn lui cm se ricevesse tutto il server nn se ne accorge...

si ma non riuscirà mai a crackarlo per sapere la password o altro se non leggerà mai la risposta

bhè...se le cs fossero così facili sai qnt server down c sarebbero? l'ip spoofing è una tecnica ke può tornare utile soprattutto nel caso di attacchi DOS, o in poche altre circostanze...in qst caso, se l'attacco fosse andato a buon fine x craccare il sito sarebbe bastato uploadare anke una sola pagina php con un contenuto tale da effettuare tutte le operazioni del caso...nn so cs intendesse dvvr fare l'autore dell'attacco in qstione...ma x craccare il sito se sfrutti un bug di un cms o simile nn hai bisogno di pass ecc

Grazie mille a tutti. Questo mi invita a controllare ancora di più la sicurezza dei miei script, se no ho visto che danni potrebbe fare un malintenzionato.

La mia perplessità è questa: la classe B 127.0.0.0 /24 è, secondo lo standard, dedicata ad uso di testing della propria NIC. Per questa ragione non capisco come possano essere inoltrati pacchetti con un tale indirizzo di destinazione...

ma qll nn era la destinazione die pakketti...ma l'ip da cui provenivano...

ma qll nn era la destinazione die pakketti...ma l'ip da cui provenivano...

Ops, mi sono confuso... Comunque il ragionamento dovrebbe valere lo stesso: non è un indirizzo mittente valido, perciò dovrebbe essere scartato sin dal primo hop.