domenica 24 febbraio 2008

C'era da aspettarselo

Avevamo visto precedentemente che parecchi siti, specialmente di Amministrazioni Pubblica, erano stati compromessi attraverso l'upload di pagine con link automatici a siti malware, porno, rogue applications ....... .

C'era anche chi avanzava la possibilita' che la causa di questi problemi fosse a una qualche vulnerabilita' di Zope ed in effetti questo sito potrebbe confermarlo.

Sembrava pero' strano che non si trovassero siti compromessi in maniera piu' seria, rispetto a quelli visti, ma non c'e' voluto molto a trovarne.

Vediamo il sito del comune di XYZ che presenta qualche problema in piu' non tanto per la presenza di links a siti malware ma per il fatto che praticamente tutto il contenuto del sito e' on line, con possibilita' di upload di files ed inoltre con all'interno un completo campionario di codici php di shells.

Questa e' la homepage che presenta comunicati in data odierna e che quindi ci dimostra che il sito e' comunque aggiornato a tuttoggi.


Come dicevamo i problemi sembrano, anche questa volta, derivare dall'uso di Zope.
Se diamo una occhiata esempio ad alcuni risultati di ricerca possiamo vedere il contenuto di un folder che presenta sia una certa quantita di sorgenti php di shells ma anche la possibilita' fornita da Zope di uploadare files.


Inoltre appare, in questa specifica directory, un file testo il cui contenuto si spiega da solo.
Stesso discorso vale anche per altri folders del sito comunale.

Il tutto, al momento di scrivere questo post e' online e chi gestisce il sito comunale presumibilmente non e' assolutamente a conoscenza di questa particolare situazione.

Edgar

12 commenti:

Sbronzo di Riace ha detto...

This comment has been removed because it linked to malicious content. Learn more.

maverick ha detto...

Edgar cancella il commento di mogul che è un link diretto, l'ha messo apposta. Il suo blog è la solita trappola

c'è il solito script offuscato nei blog fasullo (anche quello indicato da sbroonzo)
il sito punta ad ip di UK-UAONLINE
Ucraina On line in inghilterra che a sua volta reindirizza su Intercage Usa
Insomma sempre i soli russi

Edgar Bangkok ha detto...

Grazie delle informazioni
Guardo un attimo cosa e'...

Per la moderazione sul blog non saprei, bisogna vedere come funziona, ossia se permette di abilitare solo commenti da utenti conosciuti...
poi do una occhiata anche a quella...

Edgar Bangkok ha detto...

Mi pare che l unica opzione utile, se questi commenti falsi con links sono aggiunti in automatico sia quella di attivare una conferma prima dell'invio tramite l opzione Show word verification for comments oppure fare in modo che prima di essere pubblici si possano verifiicare e confermare Enable comment moderation?

maverick ha detto...

guarda. Io credo che non in questo caso non sia un commento automatico
ma semplicemente il tizio c'è capitato facendo una ricerca ed abbia aggiunto i link di proposito.
cancellalo.. basta utilizzare l'icona col cestino

Sbronzo di Riace ha detto...

Allora Show word o Verifica parole è il captcha.

Mentre la moderazione permette di moderare o rifiutare un commento anonimo.

Ma se hai fatto il login il commento passa bypassando la richiesta di approvazione.

Mi sembra che sia così.

Edgar Bangkok ha detto...

Infatti il dubbio e' che comunque, anche se si usa il captcha, valga solo per chi non ha fatto il login in google, a chi ha fatto il login in google forse non viene richiesto niente per postare il commento.
Ho provato ad attivare il captcha sui commenti, vedete un po voi se ve lo chiede , ma mi sa di no.
Sarebbe interessante se ci fosse una opzione per attivare comunque il captcha per chiunque posta un commento, magari nei momenti di massimo spam...

Comunque il falso commento, come dice maverick, e' probabile che sia stato immesso a mano, ma il link, che hanno tutte queste pagine di falsi blog , deoffuscando lo script java, e' aempre il gia' visto bibibibibib[DOT]com/tds/go.php?sid=1 ome se fossero state prodotte in serie....

Sbronzo di Riace ha detto...

il captcha viene chiesto a tutti

Sbronzo di Riace ha detto...

ma per questo tipo di spam sarebbe meglio che la moderazione funzionasse su tutti i tipi di commenti.

Ovvero che tutti vadano in coda in attesa di approvazione mentre su blogger mi pare che funzioni diversamente.

Cioè se hai un account blogger o google mi sa sembra che il commento venga pubblicato subito.

Prova a fare un commento sul mio blog facendo il login e uno anonimo dopo aver pulito i cookie.

Così controllo se questo comportamento valga per tutti.

Sbronzo di Riace ha detto...

Credo che l'esperimento sia riuscito, ho dovuto autorizzare i tuoi commenti, tutti, anonimi e non.

Sbronzo di Riace ha detto...

http://preview.tinyurl.com/2s32bp

su google si vedono tantissimi di questi commenti quindi ho dei dubbi che vengano fatti a mano

Edgar Bangkok ha detto...

Si ce ne sono parecchi di siti e forse potrebbero aver trovato un modo automatico per spargere commenti , vedremo se la cosa aumentera' nei prossimi giorni