• Nuova onda di hacking in arrivo

    Dopo alcuni mesi di pausa, sta per arrivare la nuova generazione degli hack, al fine di mandare migliaia di messaggi spam sui forum ... dopo che abbiamo imparato come debellare il problema delle email. Come anche prima, è evidente che almeno uno dei membri sia Italiano.

    Per chi ha accesso al server, ecco lo script per disattivare il dominio prima che succedano dei casini e per così chiudere la porta in faccia a chi prova così "gentilmente" ad entrare.

    Con lo script installato in ajax.php o cron.php riescono poi a registrarsi e fare altre modifiche. Stavolta il trucco con la data dei file non funziona, perché loro impostano la data all'originale. Però, chi fa dei backup regolari trova comunque molto in fretta tutte le modifiche
    Codice:
    #!/bin/sh
    
    domain=vbulletin.it
    
    function control_c
    {
            exit 0
    }
    
    # Trap keyboard interrupt (control-c)
    trap control_c SIGINT
    
    while [ 1 ]
    do
    	/usr/bin/inotifywait -e close_write -qq /var/www/$domain/htdocs/ajax.php
    	# Check if file was modified
    	if [ $? -eq 0 ]
    	then
    		# disable site
    		a2dissite $domain
    		/etc/init.d/apache2 reload
    		# email me
    		emailfile=/tmp/myemail.email
    		echo "Subject: $domain hacked" > $emailfile
    		echo "From: bounce@$domain" >> $emailfile
    		echo "To: info@$domain" >> $emailfile
    		echo "" >> $emailfile
    		echo "Automated message. An important file was changed. The site was put down to avoid further damage." >> $emailfile
    		sendmail -f bounce@$domain < $emailfile
    		rm $emailfile
    	fi
    done
    
    exit 0
    Invece, per bloccare gli IP degli spammer in automatico richiede che si mettono nel gruppo utenti degli spammer (crearlo se manca, qui ha l'ID 15) e poi si esegue lo script. Ovviamente dovete mettere la vostra password e il nome del database interessato.

    Codice:
    #!/bin/sh
    
    dst=/tmp/spammers.lst
    
    # List spammer IP's
    mysql -uroot -ppassword -Ddatabase -e "SELECT DISTINCT s.host FROM session s LEFT JOIN user u ON s.userid=u.userid WHERE u.usergroupid=15" > $dst
    
    for i in `cat $dst`
    do
    	[ "$i" = "host" ] && continue
    	/sbin/shorewall drop $i
    	mysql -uroot -ppassword -Ddatabase -e "DELETE FROM session WHERE host='$i'"
    done
    
    rm $dst
    
    exit 0
    Commenti 1 Commento
    1. L'avatar di migratoria
      migratoria -
      Non ho ben capito le modifiche da apportare e dove. Puoi essere un po' piu' chiaro?