A történet egy betörés vagy valami rossz ftp

Az oldalon forog a kereskedelmi CMS PHP-ben íródott, elég népszerű, de egy kicsit (sok?) „Görbe”. Krivost áll keverés logikáját és annak bemutatását, tárolása a kódot az adatbázisban, és az azt követő végrehajtása az eval, használata egyszerű, SQL lekérdezések és egyéb örömöket, „megkönnyítse” az élet programozók. CMS forráskódot képes fejest egy remegő horror még a tapasztalt coder: sok kilométernyi funkciók sok feltétel nem hosszasan, globális változók, eval-s és egy csomó más élvezetek várják Újonc itt fenegyerek. Annak ellenére, hogy a szörnyű szoftver architektúra, a helyszín a CMS elegendő gondolat - úgy tűnik, hogy a TK írta profik és végrehajtani egy diák a rendszerben. CMS használt tanultál? Sajnállak ...

Nézzük a fő oldalon sablon, rögtön talált egy kapcsolatot a láblécben gyanús script:

A forráskód footer.php script:

Nyilvánvaló volt, hogy ez a rosszindulatú kód és a helyszínen használják webhelyüket a fizetett linkek. És a támadók gondoskodott arról, hogy a site-tulajdonos nem látja a bal oldali linkek: linkek jelennek meg minden, de a látogatók IP Jekatyerinburg (a hely a régióban Jekatyerinburg). Mivel a honlap tulajdonosok tudták, hogy a linkeket? Kiderült, hogy a szolgáltatás, hogy a támadók meghatározásához használt városi over IP, csak leállt. Pontosabban kezdett adni 404 (teszt: ip-whois.net/ip_geo.php?ip=212.104.72.58)

Eltávolítása a rosszindulatú sablon tartalmazza veszélyeztetettség, én meg logo.png fájlt, akkor ez biztos nem olyan kép, és egy igazi php-kódot. Forrás logo.png: pastebin.com/cTsgW2RU.

Látjuk, hogy a szkript kódolt és tömörített, és a két hívás között:

Az eredmény egy elég hosszú tömböt: pastebin.com/xyqJVfmV
Ezt követően, vázoltam egy egyszerű dekóder, amely felváltja az összes funkció felhívja _527006668 a megfelelő elemet a tömb $ a: pastebin.com/RxVyACiS
Eredmény távozik phpbeautifier.com: pastebin.com/wvw1mJA5

címkék mint egy csipetnyi, úgyhogy elmentem a helyszínre sape.ru letöltve az API webmesterek és megállapítottuk, hogy a kártevőt némileg módosított SAPE kódot. Pontosabban, az osztály nevét váltották, a fájl nevét és a kiszolgálók listáját, ahonnan a script egyre linkeket.

Listaszerverekre malware:
  • dispenser-01.strangled.net
  • dispenser-02.us.to
  • dispenser.amursk-rayon.ru

Az első két megjelenítésére használhatók normál és kontekstnyhh linkeket harmadik kijelző elemek. Mindhárom terület található, a harmadik szintű domainek, és kíváncsi voltam, mit ezek a domének. Üldözöm őket who.is szolgáltatást kapott egy listát domain DNS-szervereket.

Ellenőrizze dispenser-01.strangled.net és dispenser-02.us.to:

Ebben a vizsgálatban úgy döntöttek, hogy megszünteti a rosszindulatú program, de szeretném tudni, nem találkozott senki másnak hasonló problémája, mentem és zaguglit „TRUSTLINK_client”. Google talált 4 oldal, amelyen TRUSTLINK_client tört adta a php hiba. Hány oldalak feltört és megfelelően működik, így nyereség tulajdonosok és malware kár, hogy a tulajdonosok csak találgathatjuk.

Úgy volt, hogy megtudja, milyen módon a rosszindulatú kódot jött a helyszínen. Kezdetben volt három hipotézis:
  • Webhelytulajdonosok ültettem a jelszavak ftp / ssh (a vírus a számítógép, belépő a BKV, stb)
  • kitalálható jelszavakat az ftp / ssh brute force
  • A Kiszolgáló Szoftver

Amennyiben a szokásos dátum / idő? Nem világos, hogy ...
Kinyitottam a log fájl típusát @<цифры-буквы-бла-бла-бла>.s:

Mint egy jelszó találgatás próbálkozás, de nem biztos. Gyors gugleniya a formátuma az eredmény a log fájlt, de hiába. Kérdezd szakértők a fórumokon lusta volt, ezért úgy döntöttem, hogy csak magától értetődőnek a feltételezés, hogy felvette a jelszóval ftp.

Amit nem, de kellett volna? A jó kell tiltani ftp, hanem ispolzrovat sftp. De az oldal terheletlen adatok harmadik féltől származó programok, amelyek nem mások, mint az ftp nem tudom, hogyan. Mégis kell, hogy a kód a helyszínen alatt git. De olyan környezetben, ahol egy jelentős részét a kód az adatbázisban tárolt, nem fog megmenteni a jogosulatlan változtatásokat a kódot.

Talán hiányzott valami mást, én szívesen bármilyen javaslatokat és építő jellegű kritikát. És nyugszik a szerver biztonságos! És így nem crack egy hacker!

Miért nem a válasz: „Én bérelt szabadúszóként egy étkezést, és le voltam égve.”

99% -a az összes betörések on melkopravochnikov 1 óra, különösen érinti „csinálni a tippet.” Mindaddig, amíg a fej, mint az ügyfelek nem hiszem, és nincs szükség megtörni őket. nem több, mint egy hónappal ezelőtt találkozott valami ilyesmi, egy rövid vizsgálat fájlok időpont változás azonosított probléma 3 helyszínen az azonos szabadúszó, aki már régóta aludt a fürdőbe többszörös regisztrációra.

És akkor CMS személyes, sőt lett érdekes :)

Csak néhány nappal ezelőtt rábukkantam egy webhely WP, ami nem működik, miután költözés tárhely. Csak adta a „fehér halál” a napló üres volt, kénytelen a hiba kimenet is semmi adta. By folyamat megszüntetése megtalálta a tettes - egy plugin, ami a menü előhívásához. Rosszindulatú kód «social.png» fájlt, itt maga a kód (vicces, hogy ő nem obsfutsirovan de teljesen olvashatatlan, így érthető, hogy mit csinál, én valahogy nem akar).
Véleményem legtöbb fertőzött helyeken nem is a kiválasztási \ jelszófeltörő ssh, ftp, lyukak a népszerű CMS és így tovább, és ezen keresztül mindenféle „fertőzött” plugins, sablonok és hasonlók, amelyek webmesterek saját maguk határozzák meg a honlapon.

Ami az autó elment, még mindig nem jött ki még, ssh / ftp / DB - szemetet megbízhatatlan ...

ssh / ftp / DB - szemetet megbízhatatlan ...

Meg tudja magyarázni az ötlete? Az én ssh igazán megbízhatóak megfelelően konfigurálva. DB is, ha a kód nem injekciókat és a kapcsolat megengedett csak a localhost és az alapértelmezett ahogy van.

Mivel a címsor „vagy valami rossz ftp / ssh-jelszó / kód az adatbázis„csak azt, hogy magyarázza meg a post. És magyarázatok és nemcsak a történelem hacker leírás nélkül a beírt valamit a végén.

Sam hacker - semmiképpen. De a felfedezés tényét törés és megszüntetése következményeit - nagyon egyenletes.

Ennek eredményeként, akkor amúgy is megváltoztak a kódot, amely tárolja a lemezen. A jelenléte vagy hiánya kiegészítő kód valahol máshol (pl egy adatbázis) a kimutatására ilyen merényletek nem befolyásolják. Igen, az adatbázis tárolni része a többit senki zavar, hogy a fent nevezett git.

Hogy van most, egy óra múlva?


Igen, 53hhhhhh - mint 5367fb36 a naplót.

Most adjuk hozzá a szuper-ellátás - logikus, hogy miután a frakcionált részei másodperc. Ezeket lehet kódolt különböző módokon, például 0x00000000 = 0 másodperc, 0xFFFFFFFF = 0.999+ másodperc, 0x80000000 = 0,5 sec.

vesz
@ 40000000527270a43690410c tcpsvd: info: status 10/100 @ 40000000527270a524e8249c tcpsvd: info: status 11/100
Sehol több mint egymilliárd számokat, és minden végén két nullát. Feltételezés: a leírásban kódolt hexadecimális számot tompa milliárd másodperc.
Figachit az első sorban.

Kapcsolódó cikkek