www.MegaLab.it

[19Natale83]

Ciao a tutti!
Sul mio sito uso lo script "The uploader 2" che gentilmente Andy94 e Ste_95 hanno messo a disposizione di tutti. Va tutto bene, funziona alla grande, ma oggi mi è venuto un dubbio. Un lettore del sito, guarda caso anonimo, mi ha inviato un file che si presenta con un'icona tipica di un'estensione .rar (o. zip, o simili) ma che, quando ho provato ad estrarre sul pc, risulta vuoto. Aprendolo, invece, con il semplice notepad, presenta il suo vero contenuto: un sacco di codice che per me è arabo. Questo webadmin.php (questo il nome del file inviatomi e che vi allego) è scaricabile tranquillamente dalla rete; non ho ben capito a cosa serve ma ciò che mi preoccupa è che, leggendo nel log di Drupal, risulta che questo utente sconosciuto è andato alla ricerca dello stesso file che mi ha inviato nella directory che lui presemeva fosse quella di upload.
Ora mi chiedo, indipendentemente dall'uso di "The uploader"; quanto è sicuro il mio sito? Io non ne capisco niente di eventuali attacchi; cioè, magari li fanno in continuazione e io non lo so nemmeno...
Cos'è quel file che mi ha inviato? Cosa posso fare per stare più sicuro?
Scusate il papiro e grazie!

[ste_95]

In realtà è proprio l'estensione che fa testo per Apache. Se individua un file che non ha estensione php (ma che comunque ha contenuto php) non importa, lui lo mostra comunque come un file del tipo rar, nel tuo caso.

Detto questo, il comportamento tenuto dallo script è legittimo e l'utente ti ha caricato un file php spacciandotelo per un rar, e il massimo che può fare è distribuirlo a chi vuole, ma non eseguirlo e aprirlo sul tuo server. Puoi quindi dormire sonni tranquilli, cancellare tranquillamente il file e sapere che non sarà fatto nulla al tuo sito.

[19Natale83]

Puoi quindi dormire sonni tranquilli, cancellare tranquillamente il file e sapere che non sarà fatto nulla al tuo sito.

Benissimo
Grazie ste, ciao!

[ste_95]

[dararag]

so di riesumare un post vecchio, ma se hai ancora i log io andrei a vedere se il file è stato aperto anche dal server host, oppure se ha usato qualche programma differente per aprirlo, insomma, tutte le connessioni al file, potrebbe star sfruttando una falla di cui non si conosce l'esistenza, magari un shell con permessi limitati, e sfrutta lo script decompresso appositamente per superare il blocco tramite l'interprete php, sempre se parte con privilegi root

[19Natale83]

Ciao darag!
Farei volentieri ciò che mi consigli, se solo capissi ciò che hai scritto
Comunque, fino ad ora, sembra che tutto funzioni a dovere (ma magari ciò non vuol dire niente...).

[dararag]

hai i log delle richieste fatte da allora fino ad oggi? e controlla se ci sono state richieste verso quel file, di qualunque tipo, anche da un programma interno, se ci sono state e non le hai fatte tu, comincia a preoccuparti

[Andy94]

comincia a preoccuparti

Non è mica un file PHP... Di cosa dovrei preoccuparmi visto che Apache non lo interpreta come tale?

[dararag]

non ho detto a forza una richiesta esterna, se riesci ad aprire una shell, e carichi uno script in rar, e poi lo fai eseguire: lavoro veloce, pulito, ed eviti di dare attenzione al file stesso

[19Natale83]

Ragà, scusate, ma io non ci capisco proprio niente. Per certo so solo che quel file che mi ha inviato l'ho cancellato.
In ogni caso, per quanto riguarda i log, a meno che sia io a non capire dove leggere posso dire che non ci sono più perché i più vecchi vengono via via canellati automaticamente.

[ste_95]

non ho detto a forza una richiesta esterna, se riesci ad aprire una shell, e carichi uno script in rar, e poi lo fai eseguire: lavoro veloce, pulito, ed eviti di dare attenzione al file stesso

Mi sembri un filo paranoico...

[dararag]

vabbè...un filino...poco però...
si lo so, sono parecchio paranoico, anche quando le scrivo io, ci metto più tempo a modificare il codice per impedire qualunque tipo di attacco che io conosca, pure il più improbabile, che a scrivere tutto il resto










io comunque....controllerei


EDIT: non avevo letto la risposta, se l'hai cancellato subito...vabbè, non dovrebbe essere successo niente, in barba alla mia paranoia, anche se io prenderei l'abitudine di salvare i log in locale periodicamente...così, per precauzione