Sabato 13 agosto 2005, ore 03.40
Mi trovo in ufficio, il turno di notte questa settimana mi risparmia dal gran caldo; un attimo di pausa, e vado a vedere se qualcuno durante la giornata ha postato qualcosa sul forum del mio piccolo sito. Nei post non trovo nulla di nuovo, ma un dettaglio balza subito ai miei occhi: 92 utenti iscritti; strano, mi dico, un paio di giorni fa erano 86, possibile così tanti nuovi iscritti? Meglio approfondire...
Guardo meglio, e tramite l'utilissimo blocco che visualizza gli utenti online vedo collegato un ospite: uhm, sempre più sospetti mi si fanno innanzi; meglio controllare via FTP.
Viste le ultime vulnerabilità scoperte in Flatnuke, controllo la cartella degli utenti e la ordino per data, andando a cercare gli ultimi profili registrati/modificati; sopresa, becco i seguenti nuovi profili, tutti creati tra le 3.30 e le 3.50: dsfa.php, ltt110.php, ltt120.php, ltt130.php, ltt140.php, ltt150.php e ltt160.php. Apro i profili uno ad uno e tra le righe ci sono espressioni come "eval($_REQUEST
);" e "phpinfo();" sempre comunque preceduti dal carattere #, dato che avevo applicato tutte le ultime patch di sicurezza.
Ma ora che ho beccato il malandrino, la curiosità mi spinge a cercarne le tracce: Flatnuke nella versione 2.5.5 ha introdotto una utilissima funzione di log delle attività, e da lì trovo l'IP del cracker:13/08/2005 03:31:44 Forum: 222.217.231.202New registered user ltt110.Controllo incrociato con le rilevazioni del contatore di visite installato, che mi conferma i dati rilevati:
13/08/2005 03:32:03 Forum: 222.217.231.202User ltt110 login.
13/08/2005 03:32:26 Forum: 222.217.231.202ltt110User ltt110 logout.
13/08/2005 03:33:37 Forum: 222.217.231.202New registered user ltt120.
13/08/2005 03:38:49 Forum: 222.217.231.202New registered user dsfa.
13/08/2005 03:40:13 Forum: 58.17.4.17New registered user ltt130.
13/08/2005 03:42:08 Forum: 58.17.4.17New registered user ltt140.
13/08/2005 03:42:45 Forum: 222.217.231.202User ltt140 login.
13/08/2005 03:44:37 Forum: 58.17.4.17New registered user ltt150.
13/08/2005 03:49:38 Forum: 222.217.231.202ltt140User ltt140 logout.
13/08/2005 03:49:49 Forum: 222.217.231.202User ltt150 login.
13/08/2005 03:53:54 Forum: 58.17.4.17New registered user ltt160.Accesso 19493
sabato, 13 agosto 2005 03:14
Stato Indirizzo IP Browser Sistema Operativo
(sconosciuto) 222.217.231.202 Internet Explorer 6.x Windows 98
Provenienza google.com (flatnuke powered)
Accesso 19495
sabato, 13 agosto 2005 03:51
Stato Indirizzo IP Browser Sistema Operativo
(sconosciuto) 222.217.231.202 Internet Explorer 6.x Windows 98
Provenienza http://marcosegato.altervista.org/forum
Bene, ci sono tutti i dati, un bell'whois e potrebbe partire una denuncia al provider... intanto non può che beccarsi l'ambìto trofeo
