PDA

Zobacz pełną wersję : Atak nie tylko na Joomlę



lechu_b
16-08-2006, 02:09
Witam ze względu na brak działu o bezpieczeństwie zamieszczam post tutaj.

Objawy: Brak strony www - wyświetla się tylko białe tło nawet w źródle strony nie ma tagów

Diagnoza: na serwerze pojawiły się pliki php o różnych nazwach (najczęściej myserver.php, server.php, xdews.php) pliki te zawierają coś w rodzaju exploida napisanym w php po pobieżnej analizie (skrypt ma ponad 6000lini kodu) przedstawię jego możliwości:

plik znany jest w światku jako c99shell.php
wskazuje na witrynę http://ccteam.ru (http://ccteam.ru/)
interfejs skryptu można obejrzeć pod linkiem http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd =1&lr=lang_pl&client=firefox-a (http://64.233.183.104/search?q=cache:PUdvWtAZzvQJ:www.camaraitapeva.sp.g ov.br/forum/admin/c99shell.php%3Fact%3Df%26f%3Dc99shell.php%26ft%3Di nfo%26base64%3D1%26d%3D%252Fvar%252Fwww%252Fforum% 252Fadmin%252F+c99shell.php&hl=pl&gl=pl&ct=clnk&cd=1&lr=lang_pl&client=firefox-a)
skrypt próbuje przejąć kontrolę nad maszyną (windowsową lub *nix) po czym przesyła ważne informacje takie jak:


100 lini z pliku z hasłami systemowymi

robi zrzuty baz danych serwera mysql i wysyła na ccteam.ru

przeszukuje dyski i listuje w poszukiwaniu plików zawierających w nazwie config

przeszukuje i listuje pliki .htpasswd, .fetchmailrc itp.
ma naprawdę potężny arsenał możliwości, nie wszystkie jego funkcje uruchamiają się poprawnie więc (chociaż nie jest wymierzony w joomla) zrobił mi na serwerze www nast. spustoszenia:

wymazał zawartość plików (rozmiar pliku 0 kb) index.php, index2.php, globals.php, mainbody.php

uszkodzona baza danych (być może po dumpingu bazy miał ją skasować ale poszło coś nie tak)

po instalował swoje kopie na wszystkich witrynach www w ramach mojego konta hostingowego
Jeszcze nie rozmawiałem z adminami bo problem odkryłem ok. godz. 21.00 natomiast piszę posta o godz. 1:00 w nocy więc admini śpią:). Jak tylko uda mi się ustalić jakieś nowe fakty to dam znać na forum.

jeżeli ktoś chciałby otrzymać plik ze źródłem pliku to proszę dać znać

Michael_23
17-08-2006, 21:45
Mam pytanie, gdzie masz serwer, moze jest słabiej zabezpieczony?

lechu_b
18-08-2006, 18:10
konto hostingowe mam na superhost.pl ale jak doczytałem w necie skrypt wykorzystuje lukę w systemie "Simple PHP Blog" więc wystarczy że ktoś na serwerze ma ten system to to robactwo się rozłazi gdzie tylko może. z tego co wiem na tą chwilę nie wykorzystano żadnej luki w joomla. admini serwera jeszcze nie dali mi odpowiedzi. jak się dowiem to dam znać
pzdr

Michael_23
18-08-2006, 19:10
Jak to nie dali odpowiedzi ??? Przeciez minely 2 dni! Ja mam wszystko na kei.pl Nie jest tanio, ale to chyba najlepsza oferta na rynku i chyba bezpiecznie. Admini reaguja na maile najpozniej po 10-15 minutach, a jest tez alarmowa komorka calodobowa. Szczerze polecam.

lechu_b
19-08-2006, 17:02
admini odpowiedzieli!
Winny jest formularz kontaktowy w phpNuke (jeden serwis stoi na moim koncie hostingowym na tej platformie) i prawdą jest że od miesiąca dostępna jest łata której nie zainstalowałem (łata nie dotyczy formularza kontaktowego) więc wygląda na to że to ja zaspałem. Chociaż mam wątpliwości co do rzetelności zajęcia sie sprawą przez administratorów bo odpisali mi m.in. tak "W logach ftp nie ma niestety informacji na temat przesłania pliku mysqlserver.php. Prawdopodobnie - bo w taki sposób zazwyczaj się to odbywa - włamanie nastąpiło poprzez luki w zainstalowanym na Państwa koncie oprogramowaniu."
A co z nagłówkami http? pytam retorycznie przyglądam się ofercie kei.pl:D

Michael_23
19-10-2006, 00:18
A co z nagłówkami http? Nie rozumiem pytania.

nexus246
19-10-2006, 14:07
A od kiedy administratorzy serwera mają obowiązek zajmowania się skryptami użytkowników od strony bezpieczeństwa?

szuman
20-10-2006, 07:28
Jak to nie dali odpowiedzi ??? Przeciez minely 2 dni! Ja mam wszystko na kei.pl Nie jest tanio, ale to chyba najlepsza oferta na rynku i chyba bezpiecznie. Admini reaguja na maile najpozniej po 10-15 minutach, a jest tez alarmowa komorka calodobowa. Szczerze polecam.
A na i365 jest tanio, nie ma żadnych komórek całododobowych, bo u nich standardem jest całodobowość, odpowiadają jeszcze szybciej niż w ciagu 10-15 minut, ale to tak na marginesie, bo nexus246 uważa, że admini serwerów nie muszą interesować się skryptami klientów. A właśnie, że powinni. Jeśli czyjś skrypt pożera serwery, to reagują, bo inni się skarżą na zdychający serwer, dlatego powinni interesować się też nie tylko wydajnością, ale i bezpieczeństwem skryptów działających na ich serwerze, by czyjś dziurawy skrypt nie odbił się echem w innych serwisach. Jeśli jednak firma hostingowa dba jedynie o swoje finanse, to mamy standard usług jaki mamy. Jednak kilka razy wymieniałem uwagi z adminami na temat bezpieczeństwa skryptów, sugerowali, doradzali, odpowiadali na pytania i widać, że znali dobrze wiele skryptów. Powinni też interesować się nowymi zagrożeniami, jak choćby opisanym w tym temacie

Joshua
22-10-2006, 23:05
nexus246 uważa, że admini serwerów nie muszą interesować się skryptami klientów. A właśnie, że powinni. Jeśli czyjś skrypt pożera serwery, to reagują, bo inni się skarżą na zdychający serwer,no chyba nie do końca tak powinno być jak piszesz. Tak długo jak działanie mojego serwisu nie wpływa na wydatne obciążenie serwera, ponad granice normy to sprawy zawartości są moją sprawą ale nie widzę tez powodu dla którego administracja ma mnie na siłę chronić przed źle działającym, zainstalowanym przeze mnie jakimś skryptem, albo łatać za mnie dziury.