Autore Topic: Strani URL nel componente redirect (Letto 10741 volte)

giusebos · « **il:** 24 Lug 2012, 16:27:10 »

Spesso trovo nella lista dei link da redirezionare link tipo questi:

http://miosito.it//dbadmin/scripts/setup.php
http://miosito.it//admin/phpmyadmin/scripts/setup.php
http://miosito.it//admin/pma/scripts/setup.php
http://miosito.it//databaseadmin/scripts/setup.php
http://miosito.it//phpmy-admin/scripts/setup.php

La mia domanda è: Qualcuno sta cercando di entrare in casa mia?
Questo succede con provider diversi e tipi di servizio diversi

Cosa stanno cercando inserendo quei link con il doppo slash "//" ?

mau_develop · « **Risposta #1 il:** 24 Lug 2012, 22:18:27 »

.. ma chi li inserisce?
..dove? ..nel db?
..è una funzionalità che nn ho mai usato,...è quella delle mille tabelle?
che ti serve? .. così imparo anch'io, poi controllo e ti dico se è un comportamento corretto e se c'è qualcosa in quel componente

M.

giusebos · « **Risposta #2 il:** 25 Lug 2012, 00:11:45 »

Quel componente registra tutte le url che non esistono, permettendoti succesivamente di reindirizzare quegli indirizzi alla url più appropriata.

Il tipo esempio è quando cambi un alias, chi accederà al vecchio link perchè magari indicizzato avrà come risposta la tipica pagina 404. Il componente ti permette di correggere questa cosa facendo in modo di reindirizzare il contenuto non più esistente alla pagina più appropriata.

Purtroppo succede pure che registri anche indirizzi inseriti nel browser che non sono mai esistiti.

Quindi se qualcuno inserisce nella barra degli indirizzi:

http://www.miosito.ext/pippo-fa-la-pizza

il componente registra questo errore (nelle impostazioni possiamo anche fare a meno di registrare gli errori è nessuno si accorge di niente)

la mia era solo curiosità, è evidente che qualcuno sta cercando una porta di accesso attraverso qualcosa che non conosco.

mau_develop · « **Risposta #3 il:** 25 Lug 2012, 09:23:13 »

Quel componente registra tutte le url che non esistono
------------------------------------------------------------------
...mi sa che me lo vado a guardare perchè detta così sembra il max delle idiozie

.. e non credo che lo sia, o almeno ci sarà qualcosa per gestirlo...
così ti siedo il db in mezz'ora...
comunque sono semplicemente stringhe di fuzz, probabilmente se le inserisci in google con la dork inurl trovi anche a che applicazione appartengono.
M.

giusebos · « **Risposta #4 il:** 25 Lug 2012, 10:02:02 »

Citazione

Quel componente registra tutte le url che non esistono

si gli errori 404...

Ho guardato con google e su molte pagine in modo abbastanza generico si dice solo che qualcuno cerca qualche falla.
Ora non ho incollato tutti gli url erano oltre 200, in più varianti, e spesso con dentro percorsi di cartelle anche di altri cms.

Secondo me sono prove da haker de noiartri che non riconosce nemmeno cosa si vuole violare...

mau_develop · « **Risposta #5 il:** 25 Lug 2012, 10:32:04 »

si, però il problema è un altro... se io lancio un fuzz e le stringhe sono qualche milione capisci che qualche danno te lo faccio...
M.

giovi · « **Risposta #6 il:** 25 Lug 2012, 12:41:35 »

La cosa devo dire è interessante, ma abbiamo (avete) allo stesso tempo scoperto una grande utilità del componente redirect: costituisce una sorta di "antifurto preventivo" nel senso che ci informa se qualcuno ha provato ad accedere a quale area del sito.
La faccenda diventa interessante e potrebbe rappresentare un punto di partenza per rivelare le eventuali future vulnerabilità del cms. Insomma, ora si hanno anche le stringhe e la procedura utilizzate dal presunto hacker registrate nel componente!

yoroxid · « **Risposta #7 il:** 25 Lug 2012, 12:44:42 »

Ciao a tutti,

mi son posto la stessa domanda, credo siano tentativi di attacco, probabilmente robotizzati.

Un hacker mediamente intelligente farebbe un attacco finalizzato per un sito Joomla, e saprebbe che determinati path non sono presenti come standard nel CMS.

Forse e' finalizzato in base al tipo di host, ma anche li, mi sembra sia piu' intelligente vedere su che host e' il sito e fare una ricerca sulla configurazione base che ha l'host da attaccare, invece di andare a babbo.

Io ho pensato di reindirizzare gli indirizzi trovati su un mio sito (circa 150) alla pagina 404, anche perche' sto' sperimentanto (essendo ignorante in materia) su SEO.

Comunque credo che una buona gestione di questi errori, fatta a monte con il file .htaccess sia la cosa migliore.

E' solo un parere da profano, spero di imparare qualche cosa in piu'!!

Alex.

giovi · « **Risposta #8 il:** 25 Lug 2012, 12:51:00 »

Citazione da: Alex.Deix - 25 Lug 2012, 12:44:42

Io ho pensato di reindirizzare gli indirizzi trovati su un mio sito (circa 150) alla pagina 404, anche perche' sto' sperimentanto (essendo ignorante in materia) su SEO.

Alex, premett oche sicuramente in SEO sono ancora meno esperto di te, ma che senso ha reindirizzare - tramite il componente - gli errori 404... verso la pagina di errore 404?? Non ci vanno già da se?

lady r · « **Risposta #9 il:** 25 Lug 2012, 13:54:32 »

il doppio slash è perché, essendo un attacco fatto in maniera automatica, è più semplice aggiungere uno slash in più piuttosto che torvarsi con uno in meno.

cioè, se nella mia lista di obiettivi ho siti presi a caso così:

Codice: [Seleziona]

http://sito.boh
http://secondosito.boh/
http://terzosito.bla

e voglio provare ad accedere a una determinata path ( /con/questa/ti/hacko ), preferisco avere indirizzi:

Codice: [Seleziona]

http://sito.boh/con/questa/ti/hacko
http://secondosito.boh//con/questa/ti/hacko
http://terzosito.bla/con/questa/ti/hacko

in modo da averli tutti corretti (il doppio slash è valido quanto lo slash singolo)

il tipo di attacco tenta di eseguire l'installazione di phpMyAdmin in caso voi non abbiate cancellato il setup.php dopo averlo installato in una subdrectory.
tutto cià è indipendente dal tipo di CMS od HOST che il vostro sito usa, dato che chiunque può installare phpMyAdmin in una subpath del proprio sito.
in questo modo, se trova un setup.php, ha accesso a tutto il vostro database se gli va bene.

giusebos · « **Risposta #10 il:** 25 Lug 2012, 16:24:21 »

io ho reindirizzato quei link alla home, ed il luogo di partenza di questi "attacchi" è la Romania.

In effetti ho avuto dei rallentamenti proprio nelle ore in cui rompevano le balle.

yoroxid · « **Risposta #11 il:** 25 Lug 2012, 18:54:56 »

@Giovi:
si, in effetti suona male, ma ho una pagina personalizzata 404, il template ne ha una di default ma ma sembra che per l'indicizzazione la pagina "custom" sia piu' gradita. comunque sono esperimenti un po' cosi', vedro' con il tempo se effettivamente c'e' differenza.

@ladyr:
il tuo post e' veramente utile! grazie per l'informazione.
mi viene solo un dubbio sull'efficenza dell'attacco, non mi capita di avere installato mai nella directory del sito il phpMyAdmin.
e' un bene o male? (mai incrociare i flussi)

@giusebos:
per vedere l'origine dell'attacco? qualche log file?

giusebos · « **Risposta #12 il:** 25 Lug 2012, 19:06:31 »

Citazione

per vedere l'origine dell'attacco? qualche log file?

Visto da pannello hosting

tomtomeight · « **Risposta #13 il:** 25 Lug 2012, 20:32:53 »

Citazione da: giovi - 25 Lug 2012, 12:41:35

La cosa devo dire è interessante, ma abbiamo (avete) allo stesso tempo scoperto una grande utilità del componente redirect: costituisce una sorta di "antifurto preventivo" nel senso che ci informa se qualcuno ha provato ad accedere a quale area del sito.
La faccenda diventa interessante e potrebbe rappresentare un punto di partenza per rivelare le eventuali future vulnerabilità del cms. Insomma, ora si hanno anche le stringhe e la procedura utilizzate dal presunto hacker registrate nel componente!

In verità esiste il plugin di mmleoni già dalla versione 1.5 ed in un paio di miei siti quegli attacchi ormai sono giornalieri con cadenza tre o quattro fino a volte decine e decine.

mau_develop · « **Risposta #14 il:** 25 Lug 2012, 20:55:06 »

ho guardato il plugin che fa questa "roba".
Non voglio mettere in dubbio il lavoro di nessuno perchè non ho tempo di mettermi a testare ma continua a non piacermi e non sono riuscito a dargli un senso soprattutto per il lavoro che fa fare ad un database quando non ce n'è assolutamente bisogno, ci pensa il server a redirigere le cose utili e quelle inutili è meglio siano "non trovate".

...poi...

Codice: [Seleziona]

// Attempt to ignore idiots.
if ((strpos($current, 'mosConfig_') !== false) || (strpos($current, '=http://') !== false)) {
// Render the error page.
JError::customErrorPage($error);
}

..no ...dai ...così sono gli idiots che ignorano te

... poi ... un dubbio...

Codice: [Seleziona]

$referer = empty($_SERVER['HTTP_REFERER']) ? '' : $_SERVER['HTTP_REFERER'];
... cioè se empty è vuoto... altrimenti spara dentro il referer.... omg! ma il referer in qualche modo si può manipolare... boh farà qualche chek prima...

Codice: [Seleziona]

$db->Quote($referer);
... è sufficiente? cosa si riesce a scrivere dentro il referer?

M.

lady r · « **Risposta #15 il:** 25 Lug 2012, 21:42:24 »

non capisco che problema hai con questa funzione, lol

serve per reindirizzare vecchi URL non più funzionanti a nuovi URL. Niente di più niente di meno.
A me pare comoda.

mau_develop · « **Risposta #16 il:** 25 Lug 2012, 22:08:32 »

nn ti preoccupare i problemi spesso me li creo... altrimenti che vita è, tutto va bene...sempre maledettamente bene...

perchè se puoi far fare un lavoro al server lo devi far fare sia alla tua applicazione che al tuo database?
che senso ha, se serve a ciò che tu dici, scrivere un url che non trova e che non ti appartiene?

M.

lady r · « **Risposta #17 il:** 25 Lug 2012, 22:10:01 »

io avrei usato l'htaccess, infatti di solito uso quello

però anche così non è male, tieni traccia di URL vecchi e li vai a ridirezionare.

non è pensata per tenere traccia di URL mai esistiti, però inevitabilmente fa anche quello

giusebos · « **Risposta #18 il:** 25 Lug 2012, 22:19:21 »

A me questo componente ha risolto un sacco di situazioni in quei siti costruiti con altre tecnologie e rimpiazzati con joomla. Poi visto che c'è ed il reindirizzamento è attivato di default lo uso tenedo sottocontrollo gli indirizzi che produce.

mau_develop · « **Risposta #19 il:** 25 Lug 2012, 22:35:17 »

però inevitabilmente fa anche quello
---------------------------------------------------
quell'inevitabilmente espone ad un potenziale abuso, quindi vulnerabilità, deve essere un po' più "pensato".

M.

giovi · « **Risposta #20 il:** 25 Lug 2012, 23:13:33 »

Citazione da: tomtomeight - 25 Lug 2012, 20:32:53

in un paio di miei siti quegli attacchi ormai sono giornalieri con cadenza tre o quattro fino a volte decine e decine.

Allora si può affermare che i miei "sitarelli" (non) sono stati graditi dai rumeni

@giusebos: è vero che risolve problemi del genere, ma quando i siti sono fatti con tecnologie.. "dell'altra sponda" come fai? Sembra che i link .aspx non riesca a gestirli...

giusebos · « **Risposta #21 il:** 26 Lug 2012, 00:16:34 »

Citazione

è vero che risolve problemi del genere, ma quando i siti sono fatti con tecnologie.. "dell'altra sponda" come fai? Sembra che i link .aspx non riesca a gestirli...

a manina come una volta.

giovi · « **Risposta #22 il:** 26 Lug 2012, 09:06:50 »

@giusebos: speravo in una soluzione più innovativa..

giusebos · « **Risposta #23 il:** 26 Lug 2012, 10:30:46 »

come soluzione più innovativa, vale la forza del pensiero?

giovi · « **Risposta #24 il:** 26 Lug 2012, 10:35:39 »

dipende.. che sintassi ha?

giusebos · « **Risposta #25 il:** 26 Lug 2012, 10:45:15 »

Codice: [Seleziona]

vai vai vai - cambia cambia cambia.importante il punto alla fine e la ripetizione tipo mantra per tre volte dell'istruzione.

Autore Topic: Strani URL nel componente redirect (Letto 10741 volte)

mau_develop

mau_develop

mau_develop

yoroxid

yoroxid

mau_develop

mau_develop

mau_develop