ho trovato una c99shell.php v.1.0 pre-release build #9 nella chat

[Arbalest]

non sono un esperto ma credo proprio che sia un virus o almenio così mi segnala avast
me lo sono ritrovato nella cartella upload della chat nel mio sito ancora in costruzione
solo una persona sa che sto costruendo un sito ed in più è esperta di queste cose quindi so per certo chi ha iniettato tale shell
il punto è un altro... vorrei prima di tutto avere una conferma, così tolgo all'istante il file (un .jpeg) dalla cartella dove me lo sono ritrovato
poi vorrei anche sapere se ha fatto danno e a cosa dovrebbe servire (visto che almeno apparentemente tutto sembra funzionare a dovere)
poi vorrei anche sapere come ci è entrato ...tempo fa avevo dato a costui i privilegi di admin nella chat perchè vedesse il pannellino di controllo (lui a differenza mia è un esperto nella realizzazione di siti web e così stava controllando se lo script fosse all'altezza) quindi potrebbe esseree successo allora o forse lo script non è tanto buono (X7 Chat Version 2.0.5.1 http://www.x7chat.com)
quello che mi preoccupa è che qualcuno possa defacciare il sito o ancora peggio possa impadronirsi del materiale a cui ormai lavoro da mesi
non so datemi qualche notizia e qualche consiglio su altri script più sicuri grazie a tutti

[Habanero]

beh con c99 puoi fare praticamente di tutto.... hai il controllo sui file (modifica, upload, cancellazione), informazioni sul sistema...
dirti come sia stato caricato è difficile... se con i diritti che gli hai dato aveva modo di fare l'upload di file, anche solo confinato in determinate cartelle, può essere che il veicolo sia stato quello.

Per stare sicuro potresti fare piazza pulita, ricarica totalmente il sito, e cambiare eventuali password di accesso.

[Arbalest]

grazie! per quanto mi hai detto questa shell è davvero tremenda naggia
il sito è quasi completo ma devo cambiare servizio di hosting e quindi dominio con uno più vantaggioso (non nomino i vari servizi perchè non so se sia tollerato)
le password le cambio subito ma non avrebbe senso reinstallare tutto visto che cmq dovrò farlo altrove
grazie per la dritta
p.s. secondo te è un buon script di messaggistica o si può avere di meglio?

[pacochan]

c99 è una "shell" scritta in php che, come ha detto Habanero, ti permette di eseguire parecchi comandi sul server su cui è stata installata. Le modalità con cui possa essere stata immessa nel server sono molteplici. Tramite ftp, ad esempio... ma mi concentrerei più su eventuali vulnerabilità dell'applicazione web di cui parlavi prima.
Ha verificato su www.securityfocus.com/bid o su www.exploit-db.com che x7chat non abbia qualche vulnerabilità nota? In caso contrario, se proprio non puoi fare a meno di questo script, ti consiglio prima di tutto di aggiornarlo ( nel caso ci sia una nuova release ) e poi di farti un elenco di tutti i punti tramite cui è possibile inviare dati all'applicazione.

Se non ho capito male, la tua c99 aveva estensione .jpg questo mi fa pensare che l'estensione sia stata cambiata perchè l'applicazione web non accetta file con estensioni diverse da jpg ( o comunque diverse da un file immagine ). Il cerchio quindi si potrebbe chiudere... c'è qualche punto del tuo sito in cui un utente ha la possibilità di fare l'upload di immagini? Altra domanda, hai provato a richiamare la c99.jpg direttamente dal browser?
Se ti serve una mano ad analizzare più a fondo il problema, non esitare a scrivermi.

Ciao!