[effe8]

Mi puoi far vedere il link del programmino utilizzato dall'hacker?

[Rikkardone]

il programmino che hanno usato, a cui voglio dare un'occhio più approfoindito, lo trovi <qui>

[guardaqua]

il programmino che hanno usato, a cui voglio dare un'occhio più approfoindito, lo trovi <qui>

ci vuole la password  :ovvio:

@effe8
mi ricordo che "tu stesso" in quei messaggi anti-papa avevi allegato due file: il codice è php ma è tutto incasinato, dato che si visualizzavano come pagine web. Li ho salvati (prima che Gioxx li cancellasse <_<) , se hai bisogno fammi un fischio che te li mando. Anche se dubito che ci si possa anche solo capire qualcosa, figurati farli girare per vedere cosa fanno!

Ora vado a cena, ma se più tardi riesco vedo di recuperare informazioni tramite qualche ricerca mirata.

Sono a tua disposizione  

p.s. non mi ricordo la policy di registrazione a questo forum: devi cliccare su un link di attivazione che ti arriva via mail, oppure sei subito operativo come utente?
Forse è importante,  forse no... mi rinfreschi la memoria?  

[Pixel]

ciao,
nel caso il messaggio fosse stato inviato da un bot vi consiglio di adottare il sistema immagini capcha
nel momento in cui viene effettuato il login
in questo modo solo una persona reale potrà inserire il codice numerico corretto contenuto nell'immagine.
vi segnalo anche un ottimo script per la generazione di queste immagini: securimage

ciao  :ciao:  

[lacellula]

Pixel, puttroppo non era un semplice bot ma qualcosa di più complesso.

Guardaqua, puoi mandarli anche a me? Anche io li ho visti (e ti posso dire che sembravano parte del core di mkportal) ma non c'è stato modo di salvarli perchè firefox mi diceva che il files non esisteva.  

[guardaqua]

LaCellula, hai un pvt

[Rikkardone]

il programmino che hanno usato, a cui voglio dare un'occhio più approfoindito, lo trovi <qui>

ci vuole la password  :ovvio:

lo so; l'ho messa x evitare abusi di risorse e perchè tutti non abbiano accesso a qualcosa di pericoloso..

[effe8]

La registrazione al forum avviene attraverso immagine antibot e validazione via e-mail.

L'invio di messaggi al forum e' permesso solo a utenti registrati e non viene utilizzato il metodo dell'immagine di sicurezza perche' penso che renderebbe la partecipazione al forum un po' ostica.

Ho applicato la nuova patch per mkportal che mi avete segnalato, oltre che applicare diversi work-around e patch personali a problemi di sicurezza rilevati nel corso del tempo.

Lo script segnalato da lacellula e' una shell in php, che permette di gestire i file (tipo filemanager) e tentare di scalare i privilegi del sito e del server (se quest'ultimo non e' ben protetto sono guai).

[Gioxx]

(prima che Gioxx li cancellasse <_<)

Non mi sembra di aver fatto cosa cattiva sai? Poteva trattarsi tranquillamente di file pericolosi che utenti poco esperti avrebbero potuto avviare.

[guardaqua]

(prima che Gioxx li cancellasse <_<)

Non mi sembra di aver fatto cosa cattiva sai? Poteva trattarsi tranquillamente di file pericolosi che utenti poco esperti avrebbero potuto avviare.

Anche a me non sembravano proprio innocui, però credo che sia importante studiarli.
Io nel dubbio li ho salvati... forse ho fatto bene

li ho passati al buon effe8 e a lacellula, se qualcun altro li vuole esaminare --> PVT

E' proprio il file! Pensavo mi mandassi la pagina del forum ma è questo è proprio il file uppato violando il forum! Adesso lo studio vediamo che vulnerabilità sfrutta...

[Rikkardone]

beh, gioxx ha fatto bene a cancellarli.. volendo tramite un altro exploit (del cms o anche di php --- ce ne sono, ho verificato) potevi eseguire il codice contenuto nel file allegato, e allora potevi addirittura cancellare tutti i file sul server... nulla di rimprovero a gioxx.

la vulnerabilità sfruttata per l'upload del file è quella spiegata sul sito di mkportal.

guardaqua, ultima info..: hai tutti e 2 le shell "complici", o solo una?

[guardaqua]

Ne ho due, c99 e r57

Non capisco per quale motivo sono comparse come allegati nei post  :dubbio:  

[Rikkardone]

fa sempre parte dell'exploit: un utente "bucato" può fare ciò che vuole. specie se è un amministratore...

[guardaqua]

Si, ma perchè farli comparire come attach visibili a tutti?
Voglio dire, una backdoor (se di quello si tratta) in genere si infila in un altro posto, non sotto gli occhi di chiunque... no?

Se non è una backdoor, che diavolo è?

[lacellula]

Invision, e *qualsiasi* altro forum/blog/cms non permettono l'invio di files con estensioni particolari. Di solito files con estensione sospetta (php|asp|html|js|...) vengono o rinominati o non uppati. Pensa, però, se uppo un file .php (eseguibile da apache o da IIS) e li dentro metto un

Codice:

<?php
// Richiedo il file di configurazione
// Creo un oggetto $connessione al db grazie all'include di sopra
// Lancio una query 'DROP DATABASE xxx';
?>

cosa succede? Facendo un rapidissimo controllo credo che è stato possibile sfruttare un bug di mkportal proprio per includere dei files attraverso la funzione del forum invision. Insomma si sfrutta un bug di MkPortal per forzare invision.

A questo punto un qualsiasi utente, anche io, a conoscenza avrebbe potuto 'creare' una query (GET o POST) ad hoc contenente i famosi caratteri < o > per includere il file. Il fatto che sia stato un amministratore a riportare gli allegati potrebbe far supporre che 1) si tratta di beffa su beffa 2)Mkportal, o invision, in qualche modo favoriscono l'upload agli amministratori.

Le mie, ovviamente, sono soltanto supposizioni!