Autore Topic: dead  (Letto 3219 volte)

Offline legacy

  • ASM Lover
  • *****
  • Post: 353
  • Karma: +14/-2
    • Mostra profilo
dead
« il: 27 Dicembre 2017, 14:17:24 »
dead
« Ultima modifica: 16 Gennaio 2020, 23:52:24 da legacy »

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #1 il: 30 Dicembre 2017, 09:06:00 »
L'unico culo che hanno è che l'inglese è un po' utilizzato ovunque, vorrei vedere sti fenomeni a scrivere in italiano con la miriade di verbi irregolari e coniugazioni che abbiamo  ;)

Offline saimon69

  • Guru
  • *****
  • Post: 1833
  • Karma: +23/-3
  • Web Dev e musicista da camera (da letto)
    • Mostra profilo
    • binarydoodles Blog
Re:respect
« Risposta #2 il: 30 Dicembre 2017, 22:16:55 »
Vorrei far notare che certi fenomeni esistono anche dell'italica specia, mi ricordo quando mia moglie cercava di seguire un corso di italiano a un community college locale il professore - bolognese - non aveva gradito i miei aiuti su come dire l'ora dicendole cose tipo che non sapevo parlare italiano, ma va a c6g6r3!
AROS : mica bau bau micio micio =^x^=

Offline Nonefonow

  • Guru
  • *****
  • Post: 1979
  • Karma: +36/-3
    • Mostra profilo
Re:respect
« Risposta #3 il: 02 Gennaio 2018, 16:39:31 »
Buon anno gente, stiamo facendo le valige e tra 1 ora si parte.

Allora portatevi anche un po' di questo.  Non si sa' mai..

https://www.amazon.com/Aunt-Jemima-Pancake-Buttermilk-Complete/dp/B000WGE2QK/ref=sr_1_5_s_it?s=grocery&ie=UTF8&qid=1514907519&sr=1-5&keywords=Pancake+mix

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #4 il: 07 Gennaio 2018, 16:50:45 »
Cancella lui e i suoi post definitivamente

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #5 il: 07 Gennaio 2018, 18:05:38 »
Beh scusate il francesismo ma è il tizio è una emerita testa di cazzo, andrebbe rintracciato per fargli saltare l'hard-disk...
Mi ero registrato anch'io come Neo, forse è per questo che non riesco più a rientrare...

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:respect
« Risposta #6 il: 07 Gennaio 2018, 19:15:49 »
PHP è un merdone quando si cerca di fare qualcosa di minimamente sicuro; aggiunto a MySQL che a mio avviso è uno dei peggiori RDBMS*, rendere sicuro un sito PHP+MySQL è un'impresa titanica. A questo si aggiunge il fatto che phpBB non è proprio il campione di sicurezza.

E' quindi facile introdurre per sbaglio delle vulnerabilità anche gravi: basta dimenticarsi di fare un escape su un parametro di una query e bam hai aperto la porta al mondo.

Ricordo che la prima versione di commodorefangazette.com era fatta in PHP, e cercando di seguire tutte le best practices e controllando i parametri uno a uno veniva fuori uno schifo di codice che non finiva più. Quando ho rifatto il sito in Python(web.py) + PostgreSQL, avrò praticamente scritto 1/3 del codice, in quanto psycopg2 (la libreria per connettersi a Postgre) già di suo convertiva i parametri alla query evitando possibili injection, e il motore di template faceva escape dell'HTML così era impossibile, di default, avere delle vulnerabilità XSS.

Se devi ripartire da capo, ti consiglio di lasciar perdere phpBB e passare a qualche altra soluzione; se vuoi rimanere su PHP+MySQL c'è Simple Machines Forum (che è quello che usiamo qui su NSA), altrimenti in passato ho provato nodeBB (che come indica il nome gira sopra node.js), altrimenti ci sono FlaskBB e Misago che sono in Python.

Installalo su un VPS fornito da un provider attendibile e che ha una protezione contro i DoS (come Digitalocean o Linode), fai un filo di hardening, ovvero rimuovi TUTTI i servizi eccetto HTTP/HTTPS, e cambia la porta SSH a qualche altro valore non standard (o togli SSH del tutto e usa la console del provider per fare manutenzione, o fai uno script che ti avvia SSH e dopo tot tempo te lo disattiva nuovamente).

P.S.:

a pro po, che danni puo' fare JavaScritp per HTML code injection?
In wonderland e' tecnicamente possibile infilare script di quel tipo
in qualsaisi post!

Potendo inserire codice javascript arbitrario in un post, hai inserito una vulnerabilità che si chiama Cross-Site Scripting (XSS).
Se dovessi fare io un exploit, sarei partito dal provare a catturare il tuo cookie di sessione, iniettando un codice JS che legge il cookie locale e in qualche modo me lo trasmette ad esempio facendo una chiamata a un qualche endpoint HTTP su un server di mio possesso. In questo modo, quando tu (amministratore) visiti la pagina con il codice iniettato, il tuo cookie di sessione viene inviato a me e lo posso usare per "loggarmi" con il tuo utente (in realtà non passi per il codice di login perchè phpBB riceve già il cookie valido e ti lascia passare). A questo punto sono dentro come amministratore (di phpBB) e provo a vedere se c'è qualcosa che posso usare per rompere ulteriormente, o sfruttare una vulnerabilità di qualche funzione di amministrazione per inviare comandi alla shell di Linux.

Se non riesco a prenderti il cookie (perchè magari è impostato Http Only), posso sempre farti eseguire codice mio però nel tuo contesto, quindi posso eseguire qualsiasi call GET/POST in un contesto da amministratore; l'unica scomodità è che devo pensare alla sequenza di azioni in anticipo per codificarle tutte nel codice che vado ad iniettare, ma posso sempre usare questa tecnica per crearmi un mio utente amministratore che poi posso usare come descritto sopra.
Questa tecnica è circa un Cross-Site Request Forgery, con la differenza che grazie al XSS posso fare le chiamate direttamente dal tuo sito, bypassando limitazioni date dalla same-origin policy (tutte tecniche che comunque credo phpBB non abbia).



* almeno è meglio di Microsoft SQL Server, ma è come dire che perdere solo una gamba è meglio di perdere entrambe le gambe.

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #7 il: 08 Gennaio 2018, 00:53:28 »
A proposito di VPS, se serve un VPS economico per tirare su qualcosina io sto sperimentando Time4VPS, con 20€ annuali mi sono preso questo:
Guaranteed CPU : 1 x 2.40 GHz
RAM : 1024 MB Storage
Storage : 40 GB
Bandwidth : 2 TB
Port Speed : 100 Mbps
Backups : Daily, Weekly (ma se vuoi ripristinare un backup devi pagare qualcosina)

Io mi sto trovando bene, lo trovo abbastanza veloce per quello che devo farci... l'ho preso quando facevano un po' di sconti, cmq in rete si trovano svariati coupon per ottenere riduzioni di prezzo.

@Z80Fan
E' un piacere "rivederti" :P

Offline Nonefonow

  • Guru
  • *****
  • Post: 1979
  • Karma: +36/-3
    • Mostra profilo
Re:respect
« Risposta #8 il: 08 Gennaio 2018, 19:03:45 »
Abbastanza fastidiosa e rompente la cosa.  Wonderland e' bloccato al 2 di Gennaio. Mi sono perso una decina di messaggi. 

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #9 il: 09 Gennaio 2018, 10:15:30 »
Io ci bazzico poco su Linux, ma roba tipo accesso con chiave RSA, root disabilitato, Fail2Ban, porte ssh non standard, insomma il minimo sindacale per tenere sti scassa-minxia a distanza non riesce a fermarli?

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:respect
« Risposta #10 il: 09 Gennaio 2018, 17:12:55 »
 ::) ::) ::)

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:respect
« Risposta #11 il: 09 Gennaio 2018, 23:24:09 »
Io mi sto trovando bene, lo trovo abbastanza veloce per quello che devo farci... l'ho preso quando facevano un po' di sconti, cmq in rete si trovano svariati coupon per ottenere riduzioni di prezzo.

Dopo la brutta esperienza di cloudatcost, ormai diffido da qualsiasi provider ti prometta vps a meno di 5$/mese... :-\ Al massimo se devo usarlo per i fatti miei, ma non per hostare un sito pubblico.

@Z80Fan
E' un piacere "rivederti" :P

Sono sempre stato qua. :P Semplicemente mi capita di leggere in tarda serata e non ho le forze  per rispondere...

Pero' non capisco una faccenda: non ho mai detto a nessuno ne indicato sul sito quale fosse il tag per iniettare HTML-code, e questa e' una faccenda che si smazza il modulo di editing, ovvero se non sai che tag usare, viene gestito come se fosse mero testo senza alcuna azione semantica!

E' possibile che abbia semplicemente risposto al tuo post usando la funzione "citazione", che quindi porta nella risposta tutto il BBcode del messaggio?

E ancor aprima arrivano a saturare le code del firewall con una fortissima attivita' di port scanning che allerta snort per tutta una serie di pacchetti TCP/IP corrotti, anomali, e maliziosi inviati da decine e decine di server che ci prendono di mira ad ogni ora del giorno inietando pattern pattume, e, contemporaneamente analizzando le risposte dalle porte abilitate dei servizi che reagiscono alle schifezze iniettate

Attento che non sia la solita merda che passa per Internet (guardacaso arriva tutta dalla China...). Pure in CFG una volta ci erano entrati dentro (mi avevano infilato una riga in fondo a index.php che redirectava a siti di pubblicità), entrando dall'FTP; non serve dire che quello è stato il primo servizio che abbiamo tuonato (e non lo uso mai, preferendo SCP o SFTP, da non confondere con FTPS)

servizi che non possiamo mica chiudere perche' ci servono per lavoro!

Ma il server su cui gira il forum lo usate anche per cose di lavoro?

piu' una falla grossa come un portone chiamata "spectre", che a quanto pare hanno sfruttato per sfondare PHP-mod attraverso l'HTML code injection

Credo sia estremamente improbabile che abbiano usato spectre/meltdown per violare il server.


Comunque il mio consiglio rimane di togliere il forum attuale e installarne uno nuovo su un VPS (o sposta le cose di lavoro su un altro server, visto che ormai l'indirizzo IP è preso di mira dagli spammer), con una distro aggiornata (far girare software vecchio è la peggior vuonerabilità), magari attendi fino ad Aprile quando esce Ubuntu 18.04 LTS. Come server web usa nginx, lighttpd o altro ma non Apache, visto che essendo il più diffuso è anche quello più mirato dai tool automatici che girano per la rete (e vengono sviluppati più velocemente gli exploit), e spegni tutti i servizi eccetto HTTP spostando SSH su una porta non standard (e se puoi limita il login solo al tuo IP di casa). Poi ti fai uno scriptino che fai girare con cron che ti fa il backup del DB e te lo invia per email o te lo spara su qualche account di cloud hosting (Google Drive ha delle API per l'upload per esempio), e finalmente puoi dormire sonni tranquilli. :D

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:respect
« Risposta #12 il: 10 Gennaio 2018, 00:00:38 »
Magari ha solo tirato a indovinare :D
Oppure può darsi che sia una falla/mal configurazione di Apache che ti permette di avere indietro il file raw...
E' possibile che si riesca ad accederci attraverso l'FTP?

Tags: