Re: [ml] *c99shell.php v.1.0

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2007 ml@sikurezza.org
Soggetto: Re: [ml] *c99shell.php v.1.0
Mittente: Davide Denicolo
Data: Thu,  1 Mar 2007 22:42:34 +0100 (CET)

Marco ha scritto:

> Ciao a tutti, come dall'oggetto vi posso dire che continuano a caricarmi
sul
> server una pagina php chiamata *c99shell.php v.1.0
> che va a sostituire interamente una pagina del sito.
>[CUT]
> Vorrei sapere se qualcuno di voi ha mai avuto esperienze di queste cose.
Vi
> ringrazio e confido in voi per un aiuto. Grazie
>
> Marco Seramondi
>

Sicuramente va ritrovata la falla che consente l'upload da terze parti di
file su spazio web.
Può essere una cattiva configurazione dell'FTP, consentendo così l'upload
rapido del file; comincia a cambiare le password di accesso...verifica
l'accesso anonymous.
Talvolta può essere colpa del provider stesso che offre lo spazio web. Ho
avuto dei problemi di deface per esempio tempo fa, con totalchoicehosting
( un provider americano ), a causa della cattiva implementazione del loro
pannello di controllo.

Potrebbe essere un baco della web application che hai sullo spazio web! Hai
un CMS? Hai verificato la presenza di eventuali bug in questo software?
Rimane il fatto che c99shell è una backdoor scritta in php che consente
all'attacker di accedere in remoto alla web directory e manipolarla a
proprio piacimento

Buona analisi

Davide Denicolo

Data:
- precedente: [ml] Moderazione lenta, Stefano Zanero
- successivo: Re: [ml] DoS su servizio DHCP?, Daniele Bellucci
- indice

Argomento:
- precedente: Re: [ml] *c99shell.php v.1.0, Stefano Cislaghi
- successivo: Re: [ml] *c99shell.php v.1.0, foo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005