Altro appunto a completamento del primo post per tenere traccia delle corrette sintassi e degli strumenti utili per il code review.
Questa volta alla ricerca delle web shell tramite una sintassi grep
grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/
o con l’ausilio di NeoPI.
Un occhio bene allenato è indispensabile per distinguere i falsi positivi dalle reali compromissioni.
Oggi a Siracusa in occasione della festa di S. Lucia l’hanno combinata grossa.
Questa tipologia di richiesta non avrebbe suscitato tanto scalpore se fosse stata postata all’interno di un forum underground. L’anomalia sta nel fatto che l’offerta di lavoro si trova su freelancer.com. (via | @mikko)
Come già annunciato, domani pomeriggio (venerdì 9) alle ore 16.00 sarò in diretta su RadioLab in compagnia di Johnny Cantamessa e Martino Polizzi conduttori del programma Culture Club Hi-Tech per fare due chiacchiere sul software malevolo e sicurezza informatica.
La puntata, interamente incentrata sulla tecnologia, proseguirà con l’intervento delle Girl Geek Dinner che parleranno di viral marketing e di Andrea Cannella di GTUG che vi guiderà nei meandri di youtube.
La diretta web è su RadioLab.it alle ore 16.00.
Riporto qui quanto ho postato pochi minuti fa su twitter.
La situazione attuale è più o meno simile a quella descritta da Johann nel 2008 con la lieve differenza che oggi alcuni aggregatori preferiscono non presentarsi.
Questa notte ho ricevuto notifica di ben 41 alert di attacco al mio blog, del tipo RFI, tutti provenienti dallo stesso indirizzo IP.
Solitamente, quando si tratta di pochi alert, ispeziono velocemente le sorgenti e la tipologia ma non mi concentro troppo sull’analisi dell’attacco. Questa volta invece, incuriosito dall’insistenza della sorgente, mi sono soffermato un attimino per capire a cosa puntava e per quale scopo.
Una volta compromesso il mio server web uno script PHP si sarebbe connesso a un server irc (porta 9595) per restare in contatto con il botmaster dal quale avrebbe ricevuto ordini tramite comandi inviati su un apposito canale creato ad hoc.
Lo scopo non era il defacement ma far diventare il mio server uno zombie da pilotare a distanza per sferrare attacchi di tipo DDoS. Da notare le funzioni urlbomb, udpflood e tcpflood usate per aprire connessioni simultanee attraverso la ben documentata funzione fsockopen
La scelta di compromettere un server web piuttosto che un client può essere motivata da due fattori fondamentali
Rispetto ai client, il numero di server web (compromessi) necessari per sferrare un attacco DDoS è nettamente inferiore. E questo i Russi lo hanno capito da tempo.
Immagino avrete notato come cambia la url quando cerchiamo qualcosa su un motore di ricerca. Ciò accade perchè i Big (Google, Microsoft e Yahoo!) monitorano le ricerche portandosi dietro nella url, oltre alle keywords, ulteriori informazioni per scopi statistici.
Per acquisire con Hashbot la pagina dei risultati ottenuti dalla ricerca è buona norma ripulire la url dai parametri inutili.
Ecco qualche esempio. Una semplice ricerca della parola chiave “catania” diventa:
http://www.google.it/webhp?hl=it#sclient=psy-ab& ;hl=it& ;site=webhp& ;source=hp& ;q=catania& ;pbx=1& ;oq=catania& ;aq=f& ;aqi=g4& ;aql=& ;gs_sm=e& ;gs_upl=1041l3947l0l4043l15l9l3l0l0l1l253l1424l1.6.2l11l0& ;bav=on.2,or.r_gc.r_pw.r_cp.,cf.osb& ;fp=965e534ac9b03a1b& ;biw=1600& ;bih=814
Per Hashbot basta usare la seguente url
http://www.google.it/search?q=catania
Bing
http://it.bing.com/search?q=catania& ;go=& ;qs=n& ;sk=& ;sc=8-1& ;form=QBRE
Per Hashbot basta usare la seguente url
http://it.bing.com/search?q=catania
Yahoo!
http://it.search.yahoo.com/search ;_ylt=A7x9QV6_DMxOvF4AkyQbDQx. ;_ylc=X1MDMjExNDcxOTAwMwRfcgMyBGFvAzEEaG9zdHWQwS0F...UOTk- ?p=catania& ;fr2=sb-top& ;rd=r1
Per Hashbot basta usare la seguente url
http://it.search.yahoo.com/search?p=catania
Yahoo! Answers
http://it.answers.yahoo.com/search/search_result ;_ylt=At9etezYLgzmrtuohwbN1s_v44lQ ;_ylv=3?p=catania&submit-go=Cerca+in+Y%21+Answers
Per Hashbot basta usare la seguente url
http://it.answers.yahoo.com/search/search_result?p=catania
Youtube
http://www.youtube.com/watch?v=1icOvKtHZsM& ;feature=related
Per Hashbot basta usare la seguente url
http://www.youtube.com/watch?v=1icOvKtHZsM
Di seguito è riportata la lista dei potenziali acquirenti. Qui il riepilogo dell’iniziativa.
Montare in sola lettura i device USB. Testato su Ubuntu 11.10.
Se usate git:
git clone https://github.com/guelfoweb/das.gitIn alternativa copiate lo script dalla seguente pagina:
Approfitto del post di Denis – che ha scelto di abbandonare LinkedIn, Google+ e Facebook, mantenendo attivo Twitter - per parlare del mio rapporto con i Social Network.
Detesto essere passivo. Ragione per cui condividere pensieri, confrontarmi con gli altri e conoscere persone nuove, dopo la famiglia, è di vitale importanza per me. Mi permette di uscire dal guscio e crescere professionalmente (leggi imparare dagli altri). Questo è uno dei motivi per cui il mio account Twitter resta aperto (accessibile anche agli utenti non registrati), così come il mio blog sul quale scrivo da 6 anni.
A parte LinkedIn, luogo in cui confluiscono le persone che ho conosciuto personalmente o con cui ho avuto a che fare professionalmente, anch’io sto meditando di dismettere gli aggiornamenti (non di chiudere l’account) di Google+ e Facebook, e di altri social cosi che non seguo direttamente.
Su Google+ ho postato poca roba, e un po’ come Luca, attendo sin dalla sua nascita che consenta la sincronizzazione con Twitter. Poi si vedrà.
Su Facebook ormai sono mesi che non scrivo. Attualmente riceve di riflesso i post provenienti da Twitter e sporadicamente faccio un salto per rispondere ai messaggi che privatamente mi inviano parenti e vecchi amici.
Friendfeed si trova nella medesima condizione di Facebook. E’ da tempo che non seguo i flussi. Prossimo ad essere dismesso dagli aggiornamenti provenienti da fonti esterne.
I social network di seguito elencati convergono su Twitter.
Flickr resta lo spazio condiviso sul quale continuo a depositare le mie foto, anche se ultimamente faccio ampio uso di Twitpic per le foto scattate dal telefonino.
A Delicious ho dato una nuova chance. Visto che non riuscivo più a gestirlo ho eliminato i vecchi bookmark e provo a cominciare da capo.
Anobii continuo ad aggiornalo con i nuovi libri, mi aiuta a tenere traccia dei libri letti, e reputo sia uno strumento utile per scoprire nuove letture.
Slideshare, un po’ come Anobii e Flickr, lo uso per archiviare le mie presentazioni, il che mi consente di rivederle al volo quando ho necessità di preparare nuove slide.
Foursquare non ho ancora avuto il tempo di studiarlo bene. Mi piace fare check-in (quando dico io), tenere traccia dei posti dove sono stato, lasciare il mio feedback per i posteri. Ma non ho ancora chiaro il vantaggio che posso trarre da uno strumento simile. Forse un giorno anche in Italia gli utenti potranno trarre vantaggi una volta diventati Mayor di un locale.
Resta Twitter, il mio canale preferito da 4 anni a questa parte. E’ lì che seguo e condivido – in 140 caratteri – argomenti sulle tematiche che più mi stanno a cuore. E’ lì che ho conosciuto persone e blog interessanti. Grazie agli hashtag e al client Tweetdec che uso anche dal telefonino, Twitter mi consente di fare rete e monitorare in tempo (quasi) reale gli aggiornamenti su una specifica tematica.
Rimando alla lettura di questo post coloro i quali hanno provato a usare Twitter ma, cercando Facebook in Twitter, ci hanno rinunciato.
Con il social network di Mark Zuckerberg se ti chiedo l’amicizia, siamo entrambi amici, siamo allo stesso livello. Su Twitter invece il “follow back” non è affatto scontato, il che può dare un senso di leggera frustrazione per i novellini, che non sono abituati a tale dinamica e che magari considerano Twitter come una specie di Facebook ma solo con gli stati. Invece Twitter è qualcosa di diverso. Come spiegava il Kevin Thau, il VP di Twitter, non si tratta di un social network, “Twitter è per le news. Twitter è per i contenuti. Twitter è per l’informazione”
Se poi volete spendere qualche euro per approfondire l’argomento potete acquistare il libro di Luca “Comunicare con Twitter” che personalmente non ho letto ma ne ho sentito parlare molto bene. E conoscendo l’autore non ho dubbi sulla qualità dei contenuti.
