Discussione:
mai() di php + server SMTP autenticato?
(troppo vecchio per rispondere)
sweetman
2009-05-18 09:14:50 UTC
Permalink
Ciao a tutti,
ho un dubbio: se su un sito uso la funzione mail() di php e nel php.ini ho
specificato l'indirizzo di un mail server che richiede l'autenticazione in
uscita, le e-mail escono lo stesso dal server?

ciao e graqzie per qualsiasi chiarimento.

tony
Giovanni Ceglia
2009-05-18 09:30:09 UTC
Permalink
Post by sweetman
Ciao a tutti,
ho un dubbio: se su un sito uso la funzione mail() di php e nel php.ini ho
specificato l'indirizzo di un mail server che richiede l'autenticazione in
uscita, le e-mail escono lo stesso dal server?
Un server e-mail può supportare l'autenticazione, ma avere anche delle
eccezioni, se hai impostato le eccezioni sugli IP del server, come l'ip
locale, e quello della macchina, allora non ci saranno problemi, le e-mail
verranno inviate da php con la funzione mail(), perchè per quella macchina
hai messo delle eccezioni e quindi non fa l'autenticazione.

Naturalmente come si configura in questo modo, dipende dal server mail, ci
sono alcuni che non hanno la possibilità di configurare eccezioni, ma di
default non applicano l'autenticazione agli indirizzi locali della macchina
dove è in esecuzione il server stesso. Dipende dal server mail.

XMail per esempio supporta l'autenticazione, ed ha un file di configurazione
dove è possibile però inserire gli IP che non necessitano di autenticazione
(IP locali, o anche gli altri del proprio network, come altri server di
proprietà).
sweetman
2009-05-18 09:49:49 UTC
Permalink
Post by Giovanni Ceglia
Un server e-mail può supportare l'autenticazione, ma avere anche delle
eccezioni, se hai impostato le eccezioni sugli IP del server, come l'ip
locale, e quello della macchina, allora non ci saranno problemi, le e-mail
verranno inviate da php con la funzione mail(), perchè per quella macchina
hai messo delle eccezioni e quindi non fa l'autenticazione.
grazie per la risposta.

e' quello che ho pensato anche io.
pero' qui subentra il problema che se qualcuno piazza una pagina maligna
sul tuo server puo' spammare a destra e manca con questo sistema.
Quindi diventa un problema di file e permessi (su linux), giusto?

grazie ancora.
tony
Alessandro Pellizzari
2009-05-18 10:06:39 UTC
Permalink
Post by sweetman
pero' qui subentra il problema che se qualcuno piazza una pagina maligna
sul tuo server puo' spammare a destra e manca con questo sistema. Quindi
diventa un problema di file e permessi (su linux), giusto?
1- come la piazza la pagina maligna?

2- ci sono tecniche di programmazione (indipendenti dal linguaggio, dalla
configurazione del server o da altro) per sanitizzare le e-mail prima di
spedirle.

3- non e` un problema di permessi del S.O.

4- Il mailserver autenticato solo per evitare spamming in questo caso non
ha senso. Devi lavorare a monte.

5- Se proprio vuoi un mailserver autenticato, mail() non funziona, devi
lavorare a livello SMTP tramite una delle varie classi gia` pronte, o
facendoti da solo una procedura/classe per l'invio.

Bye.
sweetman
2009-05-18 10:24:14 UTC
Permalink
Post by Alessandro Pellizzari
5- Se proprio vuoi un mailserver autenticato, mail() non funziona, devi
lavorare a livello SMTP tramite una delle varie classi gia` pronte, o
facendoti da solo una procedura/classe per l'invio.
Bye.
Ciao alessandro,

il problema e' nato su un hosting di un cliente. il sito consiste in pagine
statiche in php. Sul sito non c'e' nemmeno un modulo per l'invio di info
via email. Non c'e' nessuna connessione a database mysql. Il gestore
dell'hosting dice che il server SMTP e' autenticato.
Il pannello di gestione e' fatto con Plesk 9.2.
Mi dice di mettere in sicurezza i files, ma cosa c'e' da mettere in
sicurezza su pagine statiche senza form o altro?
Secondo me, come dici tu, il problema e' a monte, ma a monte dei file,
quindi sul server.

p.s.: credo che l'exploit sia dovuto ad un ragazzo che nnon ha niente da
fare e che avendo visto che il nome del dominio contiene la parola
'security' ha voluto dare prova di se' stesso.

Tony
Giovanni Ceglia
2009-05-19 10:28:28 UTC
Permalink
C'è un Trojan che fa capo all'antivirus fasullo per windows, che spesso si
fa chiamare "Antivirus XP", "Antivirus 360", "Antivirus 2009" e nomi simili,
e che sembra un tool di Windows XP, ma che invece è una potentissima
backdoor.

Questo Trojan installa degli spyware, sicuramente un keylogger, e forse
degli spiffer per rubare password di ogni tipo. Tra cui username e password
di account ftp. A quel punto inietta codice malevolo JavaScript in pagine
html che trova negli account FTP.

Se qualcuno va su quelle pagine, viene infettato a sua volta dal Trojan,
tramite JavaScript. IL trojan installa Spyware e Malware di ogni sorta sul
PC delle vittime. Questo Trojan è in grado di colpire anche i Mac, con
Malware apposito per Mac, meno dannoso di quello per PC, ma comunque in
grado di rubare password dai Mac.

Uno dei nomi di questo Trojan è Vundo, ma ha diverse varianti e diversi
nomi, l'antivirus che installa sui PC è un antivirus fasullo, che una volta
installato inizia a segnalare la presenza di virus e trojan fasulli,
invitando ad acquistare la fantomatica licenza dello stesso, per rimuovere i
suddetti virus, ovviamente con Carta di Credito online. Ma non si limita a
questo. IL trojan stesso è uno spyware, con sicuramente un keylogger. E
l'antivirus XP è oltre che un antivirus fasullo, è una BackDoor, che i
gruppi criminali possono usare per inviare spam o fare attacchi dal PC
infetto.

Questo trojan, installa in alcune varianti anche degli script in Php per
inviare spam sugli spazi FTP di cui ruba le password.
Andrea D'Amore
2009-05-19 15:32:39 UTC
Permalink
Questo Trojan è in grado di colpire anche i Mac, con Malware apposito
per Mac, meno dannoso di quello per PC, ma comunque in grado di
rubare password dai Mac.
Hai qualche parola chiave per cercare informazioni ulteriori?
Giovanni Ceglia
2009-05-19 23:57:56 UTC
Permalink
Post by Andrea D'Amore
Hai qualche parola chiave per cercare informazioni ulteriori?
Questo trojan Vundo ha diversi nomi, come già scritto, alcuni di essi sono:

Vundo, Zlob, VirtualMaid, SmitFraud, Quicknavigate e probabilmente anche
altri.

Qua parla di Zlob:
http://www.oneitsecurity.it/23/11/2007/dopo-due-settimane-il-trojan-per-mac-ha-gia-32-fratelli/

Cercando su Google, si possono trovare numerose testimonianze, di hosting
compromessi dal Trojan Vundo, siti completamente in html, e in alcuni casi,
i proprietari degli hosting avevano il Mac. In altre parole, il Trojan gli
ha rubato le password ftp dal Mac.

Per collegare queste cose, bisogna capire che questo non è un normal Trojan,
questo è un vero e proprio Tool del Male, ha decine di nomi, fa decine e
decine di azioni malevoli, ed è multipiattaforma, perchè installa Backdoor e
Rootkit di varia natura, sia su Windows, sia su Mac, sia sugli Hosting, e in
questo caso, gli Hosting possono essere di varia natura.

Questo trojan può installare script in Php, Perl, e perfino in Jsp, sugli
hosting di cui riesce a rubare la password. Però le password le ruba sempre
dal client.
sweetman
2009-05-19 15:51:53 UTC
Permalink
[megasnip]
ok, ma se ti parlassi di linux?
tutto 'sto ambaradan e' successo su un server linux.

tony
Giovanni Ceglia
2009-05-19 23:45:11 UTC
Permalink
Post by sweetman
[megasnip]
ok, ma se ti parlassi di linux?
tutto 'sto ambaradan e' successo su un server linux.
Php funzion su Linux, cosa intendi se parli di linux, il server dove è
l'hosting, o il client/PC del tuo cliente che si collega al server via ftp?

Dove è l'hosting è indifferente, perchè non è un problema di sicurezza che
inizia dal server, lo diventa dopo del server, è un problema che il trojan
in questione, si installa sui client, solitamente Windows, ruba le password
ftp, ma probabilmente ruba anche altre password, e poi in automatico inietta
sui siti di cui ha rubato le password ftp, il suo codice malevolo per
diffondersi ulteriormente, ovvero porzioni di javascript in files html, che
fanno il download del trojan su altre vittime che andranno su quel sito
infetto.

In aggiunta a questo, a seconda forse della variante, installa del software
farlocco sul client, oppure installa script e rootkit varie sul cliente, ma
anche sul server, nel secondo caso, poco importa se è linux. Le backdoor e i
rootkit che può installare sul server possono essere in php o in perl, e
questi funzionano senza problemi su Linux. IL problema però non parte dal
server, ma dal client che si fa rubare le password ftp.

Sugli hosting linux, questo trojan, crea anche il file .htaccess, se non
esiste, e vi mette all'interno una sorta di redirect, quando si arriva dai
motori di ricerca.
sweetman
2009-05-20 08:09:12 UTC
Permalink
scusa.
adesso ho capito. (sono un capoccione, lo avevi capito?) ;).

quindi e' qualcuno che disponeva dei dati dell'ftp (a parte me) che
potrebbe aver preso questo virus.

Quindi, dato che adesso ho cambiato i dati di accesso FTP e dato che questi
dati (scusa la cacofonia) li ho solo io, se non ho nessun virus io dovrei
essere abbastanza al sicuro. Dico abbastanza perche' sappiamo bene che la
frase 'al sicuro' non esiste.

ciao

tony

Loading...