Просмотр темы
SQL-инъекция в PHP-Fusion
|
|
Truth_Explorer |
Опубликовано 25.02.2013 17:45
|
Администратор Журналисты Персонал сайта Сообщений: 266 Зарегистрирован: 17.11.2010 13:01 |
Не важно. Это на локальной машине. Предположу, что это у все пользователей, у кого проблемы с сайтами (и кто авторизовывается на php-fusion сайтах). Вижу цепочку: зараженный сайт, при авторизации на нем на локальную машину идёт этот троян, который, в свою очередь, прописывается при авторизации на других php-fusion сайтах (своих, в первую очередь). И, хочу заметить, не факт, что он вчера возник. Мог и полгода ждать, и в один момент начать действовать. |
|
|
Rush |
Опубликовано 25.02.2013 18:06
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
это не троян, а php script. на твоем компе он абсолютно безвреден. люди, выложите пжлст листинг зараженного viewpage.php. почти всю цепочку выстроил. |
|
|
Truth_Explorer |
Опубликовано 25.02.2013 18:38
|
Администратор Журналисты Персонал сайта Сообщений: 266 Зарегистрирован: 17.11.2010 13:01 |
Ну тогда расскажи, что этот скрипт делает, если утверждаешь о безвредности... я уж ну прям случайно он у меня сегодня возник... |
|
|
Warhangel |
Опубликовано 25.02.2013 18:41
|
Администратор Группа поддержки Сообщений: 532 Зарегистрирован: 26.08.2010 20:43 |
у меня вопрос другой - кто видит дыры в каких либо файлах фьюжена - может их фиксануть? |
|
|
Truth_Explorer |
Опубликовано 25.02.2013 19:01
|
Администратор Журналисты Персонал сайта Сообщений: 266 Зарегистрирован: 17.11.2010 13:01 |
Warhangel, только сравнивать с эталоном |
|
|
Polarfox |
Опубликовано 25.02.2013 19:04
|
Администратор Разработчики Группа поддержки Сообщений: 3384 Зарегистрирован: 20.08.2010 14:03 |
Это шелл, про шеллы гуглите кто не знает. Если понимать как трояна - то троян для сайтов и только. Warhangel, сколько платишь за полный аудит? Ну и гарантий я не даю, их дает лишь бох Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
|
|
|
Rush |
Опубликовано 25.02.2013 19:12
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
для винды пхпшный файл - это обычный текстовый документ. он может исполняться только в специальном окружении и имеет возможность работать только с этим окружением. причем в весьма ограниченном порядке.
|
|
|
Rush |
Опубликовано 25.02.2013 19:12
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
Rush написал: это не троян, а php script. на твоем компе он абсолютно безвреден. люди, выложите пжлст листинг зараженного viewpage.php. почти всю цепочку выстроил. кто нибудь выложит????????????? |
|
|
Alex |
Опубликовано 25.02.2013 20:00
|
Администратор Группа тестеров Персонал сайта Сообщений: 1270 Зарегистрирован: 07.11.2010 13:05 |
удалил, понимаю надо было оставить для исследования умными людьми |
|
|
jikaka |
Опубликовано 25.02.2013 20:15
|
Супер Администратор Разработчики Сообщений: 4845 Зарегистрирован: 26.07.2010 12:10 |
аналогично, сразу удалил правда перед этим FILON забрал копию как появится, думаю выложит |
|
|
Warhangel |
Опубликовано 25.02.2013 20:40
|
Администратор Группа поддержки Сообщений: 532 Зарегистрирован: 26.08.2010 20:43 |
я так понял, что есть дырень в файле viewpage.php - поэтому и предложил его фиксануть, тем кто сможет это сделать, тк это будет полезно для всего сообщества) PolarFox, хорошая идея, прикинем) |
|
|
jikaka |
Опубликовано 25.02.2013 20:45
|
Супер Администратор Разработчики Сообщений: 4845 Зарегистрирован: 26.07.2010 12:10 |
дырка не viewpage.php, этот файл просто как посредник
|
|
|
Rush |
Опубликовано 25.02.2013 21:42
|
Администратор Разработчики Группа поддержки Сообщений: 1418 Зарегистрирован: 31.08.2010 14:41 |
убил час времени и в образовательных целях воспроизвел уязвимость. получил залогиненого суперадмина без ввода логина или пароля) остальное дело техники по сути. код который сохраняли в базе в таблице pages я видел, но не хватает пары деталей. например содержимое пост запроса к viewpage.php и листинга уже измененного этого же файла. кому интересно, могу написать пост, о том как это все происходит) |
|
|
panya |
Опубликовано 25.02.2013 21:49
|
Пользователь Сообщений: 94 Зарегистрирован: 09.12.2012 19:08 |
Напиши |
|
|
dark |
Опубликовано 25.02.2013 21:55
|
Администратор Группа поддержки Сообщений: 222 Зарегистрирован: 05.12.2010 22:22 |
Rush в 7.02.06 это пофиксили или по-прежнему есть? Да и если админка закрыта к примеру паролем апача, есть ли возможность что то сделать в системе? Ведь суперадмин без доступа в админку особо смысла не имеет. |
|
|
Polarfox |
Опубликовано 26.02.2013 00:09
|
Администратор Разработчики Группа поддержки Сообщений: 3384 Зарегистрирован: 20.08.2010 14:03 |
Rush, я на оффе давал ссылку (правда не на общем форуме, но найти ее несложно), уже эксплойт есть, в пицотый раз говорю что даже тупое школие может устраивать щас куки-спамы-хаки-программы-закладки. Что было интересно - при кавычках включенных не исполняется? dark, разумеется запароленный каталог не обойти и это оставит большинство тупых попыток. Но не все. Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме
|
|
|
Pisatel |
Опубликовано 26.02.2013 04:32
|
Ветеран Сообщений: 678 Зарегистрирован: 08.02.2013 05:51 |
Rush, это ? Ну а вот и тема у буржуев, где jikaka делится сообщением о найденных файлах:-) Думаю, и здесь нужно список опубликовать. Изменил(а) Pisatel, 26.02.2013 05:17 |
|
|
jikaka |
Опубликовано 26.02.2013 05:56
|
Супер Администратор Разработчики Сообщений: 4845 Зарегистрирован: 26.07.2010 12:10 |
сегодня меня опять хакнули опять с моего акка идет спам тонной это начинает надоедать! update: заметил такую особенность, что файлы опять закинули практически в теже самые места, а может быть и в теже!!!! и что самое удивительное, больше всего закинуто вот в этот раздел: /includes/jscripts/tiny_mce/ Изменил(а) jikaka, 26.02.2013 06:51 |
|
|
jikaka |
Опубликовано 26.02.2013 06:06
|
Супер Администратор Разработчики Сообщений: 4845 Зарегистрирован: 26.07.2010 12:10 |
итак, что происходит на самом деле злоумышленник использовал эксплоит, чтобы получить доступ администратора к сайту, после чего создает специальную страницу, которая называется "testtitl" (по-крайней мере у меня так было) вот логи из журнала по этому поводу:
получается обычная страница с возможностью вводить некоторые дополнительные сценарии в viewpage.php. в итоге при открытии такой страницы мы увидим что-то типа тотал коммандера онлайн с доступом ко всему серверу!!! скрин прикрепил
jikaka присоединено следующее:изображение:
|
|
|
DSI |
Опубликовано 26.02.2013 07:13
|
Начинающий Сообщений: 12 Зарегистрирован: 25.11.2010 07:50 |
jikaka, так 7.02.06 под угрозой? С этого ip меня тоже посещали 2013-02-20, вот лог:2013-02-20 11:30:51 GET /profile.php lookup=1 80 - 31.133.46.118 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET4.0C;+.NET4.0E) 200 0 0 7.02.06 на тот момент уже стояла, веб-сервер Microsoft-IIS/6.0 |
|
Поделиться этой темой | |
Социальные закладки: | |
URL: | |
BBcode: | |
HTML: |
Перейти на форум: |