Забыли пароль?
Запросите новый здесь.

Автор темы: jikaka
ID темы: 1335
Информация:
Тема содержит 148 сообщения, была просмотрена 90457 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
SQL-инъекция в PHP-Fusion
Truth_Explorer
Не важно. Это на локальной машине. Предположу, что это у все пользователей, у кого проблемы с сайтами (и кто авторизовывается на php-fusion сайтах).

Вижу цепочку: зараженный сайт, при авторизации на нем на локальную машину идёт этот троян, который, в свою очередь, прописывается при авторизации на других php-fusion сайтах (своих, в первую очередь).

И, хочу заметить, не факт, что он вчера возник. Мог и полгода ждать, и в один момент начать действовать.
 
Rush
это не троян, а php script. на твоем компе он абсолютно безвреден.

люди, выложите пжлст листинг зараженного viewpage.php. почти всю цепочку выстроил.
 
Web
Truth_Explorer
Ну тогда расскажи, что этот скрипт делает, если утверждаешь о безвредности... я уж ну прям случайно он у меня сегодня возник...
 
Warhangel
у меня вопрос другой - кто видит дыры в каких либо файлах фьюжена - может их фиксануть?
 
Web
Truth_Explorer
Warhangel, только сравнивать с эталоном
 
Polarfox
Это шелл, про шеллы гуглите кто не знает.
Если понимать как трояна - то троян для сайтов и только.

Warhangel, сколько платишь за полный аудит? Ну и гарантий я не даю, их дает лишь бох ab
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Rush
для винды пхпшный файл - это обычный текстовый документ. он может исполняться только в специальном окружении и имеет возможность работать только с этим окружением. причем в весьма ограниченном порядке.
 
Web
Rush
Rush написал:

это не троян, а php script. на твоем компе он абсолютно безвреден.

люди, выложите пжлст листинг зараженного viewpage.php. почти всю цепочку выстроил.


кто нибудь выложит?????????????
 
Web
Alex
Rush написал:

кто нибудь выложит?????????????


удалилbu, понимаю надо было оставить для исследования умными людьми
 
Web
jikaka
аналогично, сразу удалил
правда перед этим FILON забрал копию
как появится, думаю выложит
 
Web
Warhangel
я так понял, что есть дырень в файле viewpage.php - поэтому и предложил его фиксануть, тем кто сможет это сделать, тк это будет полезно для всего сообщества)
PolarFox, хорошая идея, прикинем)
 
Web
jikaka
дырка не viewpage.php, этот файл просто как посредник
 
Web
Rush
убил час времени и в образовательных целях воспроизвел уязвимость. получил залогиненого суперадмина без ввода логина или пароля) остальное дело техники по сути. код который сохраняли в базе в таблице pages я видел, но не хватает пары деталей. например содержимое пост запроса к viewpage.php и листинга уже измененного этого же файла.

кому интересно, могу написать пост, о том как это все происходит)
 
Web
panya
Напиши
 
dark
Rush в 7.02.06 это пофиксили или по-прежнему есть?

Да и если админка закрыта к примеру паролем апача, есть ли возможность что то сделать в системе? Ведь суперадмин без доступа в админку особо смысла не имеет.
x1
 
Polarfox
Rush, я на оффе давал ссылку (правда не на общем форуме, но найти ее несложно), уже эксплойт есть, в пицотый раз говорю что даже тупое школие может устраивать щас куки-спамы-хаки-программы-закладки.

Что было интересно - при кавычках включенных не исполняется?

dark, разумеется запароленный каталог не обойти и это оставит большинство тупых попыток. Но не все.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
 
Pisatel
Rush, это ?
Ну а вот и тема у буржуев, где jikaka делится сообщением о найденных файлах:-) Думаю, и здесь нужно список опубликовать.
Изменил(а) Pisatel, 26.02.2013 05:17
 
Web
jikaka
сегодня меня опять хакнули
опять с моего акка идет спам тонной
ac
это начинает надоедать!

update:
заметил такую особенность, что файлы опять закинули практически в теже самые места,
а может быть и в теже!!!! и что самое удивительное, больше всего закинуто вот в этот раздел:
/includes/jscripts/tiny_mce/
Изменил(а) jikaka, 26.02.2013 06:51
 
Web
jikaka
итак, что происходит на самом деле

злоумышленник использовал эксплоит, чтобы получить доступ администратора к сайту,
после чего создает специальную страницу, которая называется "testtitl" (по-крайней мере у меня так было)
вот логи из журнала по этому поводу:
Загрузить источник  GeSHi: PHP
  1. 31.133.46.118 - - [21/Feb/2013:11:28:24 +0000] "GET /profile.php?lookup=1 HTTP/1.1" 200 16809 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  2. 31.133.46.118 - - [21/Feb/2013:11:28:24 +0000] "GET /administration/ HTTP/1.1" 302 219 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  3. 31.133.46.118 - - [21/Feb/2013:11:28:24 +0000] "GET /index.php HTTP/1.1" 302 215 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  4. 31.133.46.118 - - [21/Feb/2013:11:28:24 +0000] "GET /news.php HTTP/1.1" 200 22372 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  5. 31.133.46.118 - - [21/Feb/2013:11:28:25 +0000] "POST /administration/custom_pages.php?aid=651b676b560c3c3d HTTP/1.1" 200 1178 "http://www.darkgamers.org/administration/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  6. 31.133.46.118 - - [21/Feb/2013:11:28:25 +0000] "GET /viewpage.php?page_id=1&viewpages=1 HTTP/1.1" 200 1684 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
  7.  
Добавлено за 0.029 секунд, используя GeSHi 1.0.8.10


получается обычная страница с возможностью вводить некоторые дополнительные сценарии в viewpage.php.
в итоге при открытии такой страницы мы увидим что-то типа тотал коммандера онлайн с доступом ко всему серверу!!!
скрин прикрепил
jikaka присоединено следующее:изображение:
hacked.jpg

 
Web
DSI
jikaka, так 7.02.06 под угрозой? С этого ip меня тоже посещали 2013-02-20, вот лог:

Скачать исходники  Код
2013-02-20 11:30:51  GET /profile.php lookup=1 80 - 31.133.46.118 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET4.0C;+.NET4.0E) 200 0 0
2013-02-20 11:30:51  GET /administration/index.php - 80 - 31.133.46.118 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET4.0C;+.NET4.0E) 302 0 0
2013-02-20 11:30:51  GET /index.php - 80 - 31.133.46.118 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET4.0C;+.NET4.0E) 302 0 0
2013-02-20 11:30:51  GET /news.php - 80 - 31.133.46.118 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET4.0C;+.NET4.0E) 200 0 0



7.02.06 на тот момент уже стояла, веб-сервер Microsoft-IIS/6.0
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Топ 5 пользователей форума
Zaxap Zaxap (1,090)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)   SchreiBear SchreiBear (625)