A történet egy betörés vagy valami rossz ftp
Az oldalon forog a kereskedelmi CMS PHP-ben íródott, elég népszerű, de egy kicsit (sok?) „Görbe”. Krivost áll keverés logikáját és annak bemutatását, tárolása a kódot az adatbázisban, és az azt követő végrehajtása az eval, használata egyszerű, SQL lekérdezések és egyéb örömöket, „megkönnyítse” az élet programozók. CMS forráskódot képes fejest egy remegő horror még a tapasztalt coder: sok kilométernyi funkciók sok feltétel nem hosszasan, globális változók, eval-s és egy csomó más élvezetek várják Újonc itt fenegyerek. Annak ellenére, hogy a szörnyű szoftver architektúra, a helyszín a CMS elegendő gondolat - úgy tűnik, hogy a TK írta profik és végrehajtani egy diák a rendszerben. CMS használt tanultál? Sajnállak ...
Nézzük a fő oldalon sablon, rögtön talált egy kapcsolatot a láblécben gyanús script:
A forráskód footer.php script:
Nyilvánvaló volt, hogy ez a rosszindulatú kód és a helyszínen használják webhelyüket a fizetett linkek. És a támadók gondoskodott arról, hogy a site-tulajdonos nem látja a bal oldali linkek: linkek jelennek meg minden, de a látogatók IP Jekatyerinburg (a hely a régióban Jekatyerinburg). Mivel a honlap tulajdonosok tudták, hogy a linkeket? Kiderült, hogy a szolgáltatás, hogy a támadók meghatározásához használt városi over IP, csak leállt. Pontosabban kezdett adni 404 (teszt: ip-whois.net/ip_geo.php?ip=212.104.72.58)
Eltávolítása a rosszindulatú sablon tartalmazza veszélyeztetettség, én meg logo.png fájlt, akkor ez biztos nem olyan kép, és egy igazi php-kódot. Forrás logo.png: pastebin.com/cTsgW2RU.
Látjuk, hogy a szkript kódolt és tömörített, és a két hívás között:
Az eredmény egy elég hosszú tömböt: pastebin.com/xyqJVfmV
Ezt követően, vázoltam egy egyszerű dekóder, amely felváltja az összes funkció felhívja _527006668 a megfelelő elemet a tömb $ a: pastebin.com/RxVyACiS
Eredmény távozik phpbeautifier.com: pastebin.com/wvw1mJA5
címkék
Listaszerverekre malware:
- dispenser-01.strangled.net
- dispenser-02.us.to
- dispenser.amursk-rayon.ru
Az első két megjelenítésére használhatók normál és kontekstnyhh linkeket harmadik kijelző elemek. Mindhárom terület található, a harmadik szintű domainek, és kíváncsi voltam, mit ezek a domének. Üldözöm őket who.is szolgáltatást kapott egy listát domain DNS-szervereket.
Ellenőrizze dispenser-01.strangled.net és dispenser-02.us.to:
Ebben a vizsgálatban úgy döntöttek, hogy megszünteti a rosszindulatú program, de szeretném tudni, nem találkozott senki másnak hasonló problémája, mentem és zaguglit „TRUSTLINK_client”. Google talált 4 oldal, amelyen TRUSTLINK_client tört adta a php hiba. Hány oldalak feltört és megfelelően működik, így nyereség tulajdonosok és malware kár, hogy a tulajdonosok csak találgathatjuk.
Úgy volt, hogy megtudja, milyen módon a rosszindulatú kódot jött a helyszínen. Kezdetben volt három hipotézis:
- Webhelytulajdonosok ültettem a jelszavak ftp / ssh (a vírus a számítógép, belépő a BKV, stb)
- kitalálható jelszavakat az ftp / ssh brute force
- A Kiszolgáló Szoftver
Amennyiben a szokásos dátum / idő? Nem világos, hogy ...
Kinyitottam a log fájl típusát @<цифры-буквы-бла-бла-бла>.s:
Mint egy jelszó találgatás próbálkozás, de nem biztos. Gyors gugleniya a formátuma az eredmény a log fájlt, de hiába. Kérdezd szakértők a fórumokon lusta volt, ezért úgy döntöttem, hogy csak magától értetődőnek a feltételezés, hogy felvette a jelszóval ftp.
Így a rosszindulatú kód megtisztítják, szükség van, hogy megvédje magát a jelszó találgatás kísérletek a jövőben:
Amit nem, de kellett volna? A jó kell tiltani ftp, hanem ispolzrovat sftp. De az oldal terheletlen adatok harmadik féltől származó programok, amelyek nem mások, mint az ftp nem tudom, hogyan. Mégis kell, hogy a kód a helyszínen alatt git. De olyan környezetben, ahol egy jelentős részét a kód az adatbázisban tárolt, nem fog megmenteni a jogosulatlan változtatásokat a kódot.
Talán hiányzott valami mást, én szívesen bármilyen javaslatokat és építő jellegű kritikát. És nyugszik a szerver biztonságos! És így nem crack egy hacker!