Attacco al sito

[proglinux]

Ho ricevuto un attacco al mio sito
http://proglinux.altervista.org
dove oggi hanno uploadato i seguenti file risultanti da mie autoemail:

Codice:

----------------------------
- emoticons.php.fla IP: 151.30.198.182
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 18:48:49
---------------------------------------
- emoticons.php.fla	IP: 151.30.205.82 
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 08:57:02
-----------------------------
- back.php.pl : IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 08:02:18
------------------------------
- back.php IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:58:43
------------------------------
- back.php.shtml IP: 151.30.205.82 
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:42:02
-----------------------------
- SCR_linux_su_un_sistema_con_partizione_di_recovery_e_bios_bacato.shtml IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:37:39
-----------------------------
- emoticons.php.pjpeg IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:24:49
---------------------------
- textarea> .pdf IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:18:24
----------------------------
- print ('Y: '.$_SERVER['REMOTE_ADDR'].'.'); ?> .pdf IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:15:48
-----------------------------
gbfgbbfb  IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:05:51
-----------------------------
- file_03.gif IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 07:05:30
-----------------------------
- emoticons.php.fla IP: 151.30.205.82
Browser Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; FDM; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
Data 04 Feb 2010 - 06:42:08
--------------------------

Purtroppo non ho potuto leggere questi file, perche' mentre prendevo alcune precauzioni, forse sono stati cancellati.
Ho inviato una denuncia antispam, che altro posso fare?

[darkwolf]

L'ip risulta essere appartenente a Libero/Infostrada e quindi un ip italiano (da ip2location=inaffidabile / risulta romano).
-
Come capirai questo non è certo un "problema" tecnico e quindi la sezione è errata.
L'unico consiglio che posso darti è: verifica la sicurezza del tuo sito / dei tuoi script.
-
La mail ti è stata autoinviata dal tuo stesso sito (suppongo da uno script di upload) e quindi dovrebbe essere facile capire dov'è che sta il problema.
-
Detto ciò, dato che l'ip è italiano / non proxato, puoi provare a comunicare il tutto a chi di competenza (polpost).

[proglinux]

L'ip risulta essere appartenente a Libero/Infostrada e quindi un ip italiano (da ip2location=inaffidabile / risulta romano).
-
Come capirai questo non è certo un "problema" tecnico e quindi la sezione è errata.
L'unico consiglio che posso darti è: verifica la sicurezza del tuo sito / dei tuoi script.
-
La mail ti è stata autoinviata dal tuo stesso sito (suppongo da uno script di upload) e quindi dovrebbe essere facile capire dov'è che sta il problema.
-
Detto ciò, dato che l'ip è italiano / non proxato, puoi provare a comunicare il tutto a chi di competenza (polpost).

Avevo gia' visto che l'IP 151.30.205.82 e l'ultimo arrivat 151.30.198.182 sono di libero.it e che provengono da Roma: i file sono stati inviati tramite l'upload gratuito (che testa l'header dei file e sostituisce i tag).
Sai dirmi come contattare la POLPOST?
Grazie per l'interessamento.

[darkwolf]

Ti prego di perdonarmi ma.....
L'area upload è accessibile a tutti (cioè ci sono entrati via url o hanno "forzato" il sistema per accedervi)? Chi invia un file attraverso quest'area può poi eliminarli (utile a capire se hanno avuto un qualche accesso oppure no)? Tale directory è opportunamente protetta (già il fatto che abbiano uppato file php mi porta a pensare di no)? I file inviati in quest'area possono essere eseguiti (cioè se invio un file php riesco a vederne l'output nel browser)?
-
Per evitare di farti perdere tempo insomma.... qual'è stato l'abuso?

[proglinux]

Ti prego di perdonarmi ma.....
L'area upload è accessibile a tutti (cioè ci sono entrati via url o hanno "forzato" il sistema per accedervi)? Chi invia un file attraverso quest'area può poi eliminarli (utile a capire se hanno avuto un qualche accesso oppure no)? Tale directory è opportunamente protetta (già il fatto che abbiano uppato file php mi porta a pensare di no)? I file inviati in quest'area possono essere eseguiti (cioè se invio un file php riesco a vederne l'output nel browser)?
-
Per evitare di farti perdere tempo insomma.... qual'è stato l'abuso?

sono entrati via url (l'accesso e' un'area comune)
Chi invia un file attraverso quest'area non può poi eliminarl(viene cambiato nome e altre cose)
I file inviati in quest'area non possono essere eseguiti( vengono visualizzati in una textarea e ne e' consentito il prelievo previo inzippamento del file online)
Cio' nostante mi avevano cambiato l'htaccess!
Per la polizia postale ... la procedura online vuole troppe informazioni, forse anche il numero delle scarpe..
Vedro' di contattarla di persona.

[darkwolf]

Capito
Testa la sicurezza di quest'area comunque e vedi di verificare il tuo sito (magari confrontandolo con l'ultimo backup, se hanno modificato l'htaccess è possibile abbiano fatto anche altro).

[proglinux]

Capito
Testa la sicurezza di quest'area comunque e vedi di verificare il tuo sito (magari confrontandolo con l'ultimo backup, se hanno modificato l'htaccess è possibile abbiano fatto anche altro).

Scusa il ritardo, ma la famiglia impone gli orari per la cena ....
La cosa per la verita' non mi preoccupa molto: mi fa solo rabbia perche' io cerco solo di diffondere quel poco che so attraverso questo sito e quello di webutil; non vendo niente e non curo nemmeno la pubblicita' e spesso fornisco aiuto ed anche i sorgenti a chi me li richiede.
Pazienza, togliero' le aree comuni ed il danno non sara' solo mio.
Di nuovo grazie e se ci saranno risvolti te li comunichero' in privato.

[darkwolf]

Ok, se puoi manda anche la parte interessata dello script sospetto e vedrò di testarmelo un po' in locale

[proglinux]

L'attacco subito dal mio sito e' stato effettuato iniettando la C99.php ( una shell creata dal Captain Crunch Security Team ccteam.ru) per eseguire dei comandi su una shell buggata direttamente in unicode su una barra dell'indirizzo ed una volta uppata è un ottima backdoor.
Nel mio caso, tra gli altri, il file in questione era tn_config.php(versione 1.0 pre-release build #12) che, guarda caso, nel suo sorgente ringrazia alcuni membri di altervista cosi':

Codice:

if ($act == "about") {echo "<center><b>Credits:</b><br>
Idea, leading and coding by tristram[CCTeaM].<br><br>
<b>FullFreeez</b><br />
<a href=\"http://opencosmo.altervista.org\">OpenCosmo Security Team</a> <br />
<a href=\"http://panzera.wordpress.com\">Panzera Security Blog</a><br />
";}

E si, perche' su pastebin.com/pastebin.php?dl=m483cf8f3 si puo' scaricare:

/ *
************************************************** **************
* FullFreeez
* Panzera Security Blog e OpenCosmo Security Team
*
* Questa и la shell C99. Tradotta in Italiano e potenziata.
************************************************** **************
* /
/ / A partire chiamate .....

Inoltre, per chi non lo sapesse, su ivan25.altervista.org/upload_files fornisce in Restricted area-126055 il file
tn_config.php "c99shell 1.0 pre-release build #12"

ed in luminaris.altervista.org potete trovare ccteam_ru.php che spiega:

Codice:

<div class="msgtext"><strong>Che cos’è una shell C99 e a cosa serve? </strong>E’ una shell creata in PHP, usata per sfruttare il bug dell’autoiniezione.<br><br><strong>Cosa permette di fare?</strong>
Inserendo la shell C99 in un sito vulnerabile, ci ritroveremo davanti
ad un pannello con tutti i file del sito web (come in FTP), ci
permetterà di modificarli, eliminarli, o fare altro, come fossimo degli
admin!<br><br>Usiamo Google per cercare il sito-vittima! Andate su Google e cercate inurl:index.php?lk=<br><br><strong>Dove funziona il bug?</strong> Possiamo sfruttare il bug nella sezione My_Egallery o nella Index.<br><br>Hostiamo la shell C99! facciamo finta di averla hostata su ...

Meditate gente!