Script kiddies memiliki alat mengagumkan
Sekitar 10 tahun yang lalu seorang teman saya menunjukkan saya mengeksploitasi. Ini ditulis dalam C dan mencoba untuk menelurkan sebuah shell pada host remote. Sepertinya cukup keren. Saya tidak mengerti kode tapi gagasan belaka bahwa hampir setiap orang dilengkapi dengan script seperti itu bisa merusak sebuah halaman web tampak menakutkan.
Anda memang harus mengkompilasi file c, memiliki paket devel tepat diinstal dan menggunakan bendera yang benar. Dan kemudian Anda harus mencari tahu bagaimana menggunakannya. Sebuah 14yr tua bisa melakukannya.
Hari ini saya menghabiskan banyak waktu grepping log, memeriksa filesystem untuk file baru / berubah untuk mencari tahu bagaimana sebuah instance Wordpress tua hacked dan apa yang hacker dilakukan di sana.
Pergi melalui file berubah, saya menemukan sebuah file php yang telah beberapa kode prepended. Script memiliki baris yang sangat panjang yang dimulai seperti ini:
[PHP]
eval (base64_decode gzinflate (('FJ3HcqPsFkUf ... ... ..
[/ PHP]
Ok, mari kita periksa apa script lakukan. Mari kita menetapkan string panjang variabel dan decode base64 dan mengembang kompresi.
[PHP]
$ Script = base64_decode ($ script);
$ Script = gzinflate ($ script);
echo $ skrip;
[/ PHP]
Output tidak apa yang saya harapkan.
[PHP]
eval (base64_decode gzinflate (('FJ3HjqPcGkUf57 ... ... ..
[/ PHP]
String tampak mirip dan saya sudah mencari kesalahan dalam kode saya. Tidak, kode yang benar. Ada sedikit perubahan dalam string. Tampaknya itu dikompresi dan dikodekan beberapa kali. Wow, berarti saya dapat memiliki banyak evals dalam evals. Menyenangkan!
[PHP]
do {
/ / Mengekstrak 28 karakter pertama
/ / Eval (gzinflate (bagian base64_decode
$ Mulai = substr ($ string, 0, 28);
/ / Menghapus karakter 30 pertama, (eval gzinflate base64_decode (('bagian
$ String = substr ($ string, 30);
/ / Hapus yang terakhir)));
$ String = substr ($ string, 0, strlen ($ string) -4);
$ String = base64_decode ($ string);
$ String = gzinflate ($ string);
echo "Iterasi:" $ i + + "\ n";..
/ / Iterate selama kita mendapatkan awal (eval gzinflat
} While ($ mulai == "eval (gzinflate (base64_decode");
[/ PHP]
Setelah 11 iterasi saya mendapat kode. Jenis mengingatkan saya sebuah tantangan yang diposting ke mailing list dan pertanyaannya adalah apa output dari program. Bahwa waktu itu lebih sulit: perl dikodekan base64, yang outputted base64 encoded bytecode, yang outputted file sumber Java dengan array byte yang adalah kode byte untuk file kelas dari solusi.
Anyways dengan 11 iterasi memberi saya ini (ditembak terbuat dari komputer di rumah saya).
Wow!
Mari kita lihat fungsi yang ditawarkan:
Kendali file manager ditiup
Cepat menu untuk
Menemukan semua file SUID
Menemukan semua file SGID
Menemukan semua file htaccess
Menemukan semua folder ditulisi
...
Antarmuka untuk alat UNIX find
Masukan lapangan untuk menjalankan perintah sebagai user webserver
Alat untuk menginstal sebuah backdoor
Perl / C beraroma program yang didownload dari server Singapura
Disusun / Ditafsirkan - tergantung apa yang tersedia
Proses penampil
FTP brute force kerupuk menggunakan pengguna dari / etc / passwd
Sistem informasi (CPU, Memory, binari diinstal, file passwd, file konfigurasi)
SQL sampah utilitas
Interface untuk mengeksekusi kode PHP
Cukup penghapusan
Menambahkan password untuk script
Fancy desain!
Aku hanya kagum. Ini adalah cara terlalu Eazy. Jadi ini adalah cara kerjanya:
Mari scan internet untuk instalasi WordPress (otomatis)
Carilah versi rentan (otomatis)
Exploit (dalam hal ini tema yang diisi dengan link tersembunyi - otomatis semi)
LABA! (Otomatis)
Bagaimana untuk menghindari hack:
Mengawasi pada instalasi WordPress Anda
Berlangganan ke email rilis Wordpress / RSS dan upgrade bila diperlukan
Monitor untuk file yang diubah (misalnya fcheck)
Jalankan Apache di chroot untuk meminimalkan perangkat lunak yang tersedia untuk pengguna Apache
Setiap ide lain?
PS. Script ini 2500 baris kode, mendukung Windows dan Linux dan tampak hebat:)
Script Kiddie Konsol
Cari Wrapper
Backdoor instalasi
FTP Brute Force
Sistem Informasi
Proses penampil
Penghapusan Diri
Tags: php, keamanan
Catatan ini telah diposting pada Selasa, 4 November, 2008 at 7:05 oleh Toomas Römer dan mengajukan di bawah Unggulan, laporan. Anda dapat mengikuti komentar untuk entri ini melalui feed RSS 2.0. Anda dapat meninggalkan komentar, atau Pelacakan dari situs Anda sendiri.
Disqus
Seperti
Benci
1 orang menyukai ini.
Tambahkan Komentar Baru
Gambar
Menampilkan 27 komentar
Urut berdasarkan Berlangganan dengan RSS Berlangganan email dengan
Toomas Römer Moderator 2 tahun lalu
@ Nikem - tampaknya berlebihan. Setelah upload dir karena tidak ada-php tampaknya ide yang baik.
@ Darek - yeah dan dimiliki oleh orang lain selain pengguna apache tetapi sebagai dir upload biasanya ditulis dan sekali bug dari software ini digunakan untuk menulis situs sana mendapatkan dibajak.
@ Tim - Setidaknya kebanyakan bahasa yang digunakan untuk kasus seperti yang ditafsirkan, tidak ingin mencari biner peletakan di sekitar:)
1 orang menyukai ini.
Digunakan Transmisi 11 bulan lalu
Saya suka artikel ini! Akan datang lagi lain kali pasti, terima kasih lagi
baca ini 1 tahun lalu
Dman skrip anak-anak, mereka punya WP saya terinfeksi dengan "eval (base64_decode gzinflate (('FJ3HcqPsFkUf" omong kosong, dan tidak pernah baru apa sih itu di belakangnya. Aku selalu menghapus dan menginstal ulang WP sampai aku mendapat ide untuk mengubah SEMUA saya password dan melakukan instalasi yang bersih. Itu merawat mereka.
Sejak itu saya selalu meng-upgrade.
Dennis Yusupoff 2 tahun lalu
Aku punya kompromi website saya bahkan setelah diinstal mod_security. Selain itu, php.ini memiliki banyak pilihan pengerasan:
[Code]
disable_functions = exec, sistem, shell_exec, passthru, phpinfo, proc_open, popen, shows_source
allow_url_include = 0
allow_url_fopen = 0
enable_dl = 0
[/ Code]
dan di conf apache set "php_admin_value open_basedir / usr / local / www / situs: / usr / local / php"!
Terima kasih Tuhan, ClamAV tahu tentang script ini:
[Code]
/ Usr/local/www/forum.site/httpdocs/c99.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / forum.site / httpdocs / cache / drfgtt.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / forum.site / httpdocs / xs_mod / images / index.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / situs / httpdocs / toko / images / lain / prodaves / owertime.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / situs / httpdocs / toko / smarty / internal / lool.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / situs / httpdocs / toko / smarty / plugins / conf.phpmodifier.uppers.php: PHP.Rst-1 DITEMUKAN
/ Usr/local/www/site/httpdocs/reviews/rc_models/Protech_Razor/thumbnails/c99.php: PHP.Rst-1 DITEMUKAN
/ Usr/local/www/site/httpdocs/reviews/rc_models/Reflex_XTR/c99.php: PHP.Rst-1 DITEMUKAN
/ Usr / local / www / situs / httpdocs / KAPAL / mod.php: PHP.Rst-1 DITEMUKAN
[/ Code]
B 2 tahun yang lalu
Ya saya baru saja menemukan hal serupa di situs dikompromikan. Hal ini menyebut dirinya "Locus7s Modifikasi c100 Shell". Itu hal-hal yang diharapkan seperti file manager dan hal-hal penghapusan diri tetapi juga memiliki fitur hardcore beberapa untuk eskalasi hak istimewa dan serangan kernel. Saya terkejut melihat bagaimana lanjutan sebagian itu.
Mitty Batu 2 tahun lalu
Shell pencipta situs
http://madnet.name/files/1/10 ....
Toomas Römer Moderator 2 tahun lalu
@ Produk Keren Flux, tampaknya menjadi firewall untuk HTTP:) Apakah tidak mendengar tentang hal itu sebelumnya.
Fluks 2 tahun yang lalu
Tidak yakin apakah itu akan membantu dalam kasus ini, tetapi menjalankan aplikasi web Anda di belakang firewall aplikasi seperti ModSecurity (http://www.modsecurity.org).
Jika Anda menggunakan aplikasi firewall, pastikan bahwa sebenarnya menghalangi hal-hal buruk dan tidak hanya penebangan bahwa hal itu terjadi.
Bert Heymans 2 tahun lalu
Terima kasih atas kesadaran keamanan Wordpress!
Toomas Römer Moderator 2 tahun lalu
@ Jon Ada link di thread reddit, http://www.reddit.com/r/progra ...
Toomas Römer Moderator 2 tahun lalu
Setelah Anda memiliki dukungan banyak platform bagian miring di PHP cukup menakutkan. Anda harus memiliki banyak kode deteksi di tempat pengaturan. Hanya kemudian menerapkan strategi yang benar.
Hak 2 tahun yang lalu
Trevor,
Anda harus menggunakan lolos asli database fungsi, bukan garis miring jalur sederhana. erikh memiliki titik ...
erikh 2 tahun yang lalu
Trevor, aku benci menjadi orang jahat di sini, tapi Anda, dan praktek coding Anda bersikeras di sini, adalah apa yang orang lain menemukan patut dipuji tentang komunitas PHP.
Tambahkan garis miring? Tentu! Hanya menambahkan garis miring lebih dalam mengeksploitasi Anda! Serius meskipun, menggunakan database dengan sisi klien mengikat di mesin database klien API (dan memastikan lapisan database Anda menggunakan itu), atau menggunakan teruji, pertempuran-mengeras lapisan database yang memiliki kasus miliaran dari mereka "garis miring" tidak kerja yang dalam tes regresi dan istirahat ketika rutinitas yang kacau dengan.
3 patch kode pihak untuk melakukan apa? Atau apakah Anda berarti meng-upgrade?
Dan terakhir:
Mengevaluasi hasil dari masukan dipercaya (yang biasanya * termasuk * database Anda ... bagaimana itu bisa di sana?) Dalam konteks di mana ia akan dieksekusi * * hanya tolol, bahkan, anak-anak. Gunakan beberapa bentuk noda keras memeriksa setidaknya, tetapi lebih baik untuk tidak melakukannya sama sekali (dan itu hampir tidak pernah diperlukan). Ini adalah di mana PHP gagal sebagai bahasa: itu harus membedakan antara metode ini pada tingkat API, bukan satu konfigurasi.
-Erik
Trevor 2 tahun yang lalu
Tentang cara untuk menghindari hack:
Jangan menggunakan SQL tanpa data sanitasi Anda, menambahkan garis miring.
SELALU Patch pihak ke-3 kode.
HINDARI INI Substring dalam PHP Anda bila memungkinkan kecuali jika Anda TIDAK tahu risiko apa yang Anda lakukan:
termasuk ($
include_once ($
membutuhkan ($
require_once ($
file_get_contents ($
file ($
copy ($
fget ($
TERUTAMA jika $ trailing adalah awal dari $ _GET, $ _POST, atau $ _REQUEST
Mic 2 tahun yang lalu
Ini disebut c99madshell.php
Orang ini tidak istirahat penuh ke kode.
http://www.derekfountain.org/s ...
biz 2 tahun yang lalu
Sederhana:
JANGAN GUNAKAN CHMOD-R 777 ON APA;)
Petrus 2 tahun lalu
Blog saya adalah hacked beberapa bulan lalu dan memiliki sebuah skrip dikaburkan menggunakan empat jenis pengkodean termasuk base64, substitusi hex, dan persamaan matematika! Hasil akhirnya adalah sebuah script yang diarahkan ke suatu tempat di Asia melalui lima pengalihan lainnya di blog hack. Situs akhir turun dan jalan setapak berakhir di sana.
Sia-sia dan menjengkelkan, tetapi semacam menarik juga.
sn1ffle 2 tahun yang lalu
Anda seperti 9 tahun di belakang semuanya.
Bill 2 tahun yang lalu
Aku punya ide!
rm-Rf / dev / internet / *. php
matt 2 tahun yang lalu
Saya telah melihat beberapa hal yang sangat mirip dengan ini ... beberapa kode sumber akan sangat menarik untuk meninjau. ;)
Matt Simmons 2 tahun lalu
Aku punya diinstal ke instalasi PHP Nuke beberapa waktu lalu. Saya terkesan juga.
Aku harus mengakui, saya mengambil metodologi agak kurang menyeluruh dalam mempelajari apa yang mengeksploitasi itu ... saya hanya melacak url dari log apache dan pergi ke sana.
jasonWheelie 2 tahun yang lalu
Wow, dont Anda hanya cinta eksploitasi! LOL
Sekejap
www.anolite.echoz.com
Martin Smith 2 tahun lalu
Jika Anda menjalankan Wordpress, Anda juga mungkin ingin menjalankan SVN WordPress, maka Anda dapat memperbarui ke versi terbaru dengan sederhana 'svn up'
Jon 2 tahun yang lalu
Apa, tidak ada download untuk sumbernya?
Tim 2 tahun lalu
Hehe dunia, kecil. Kami baru saja menemukan 2 script mirip dengan ini di organisasi saya melakukan beberapa pekerjaan untuk. Sangat dingin hal. Yang satu ini termasuk ritsleting spam yang dijatuhkan pada sistem. Jika Anda decode mereka, mereka juga cenderung menyebabkan beberapa penemuan yang cukup menarik; dikaburkan javascript dan Goodies lebih.
Darek 2 tahun yang lalu
Yap, Anda harus file wordpress read-only: D
Aku tahu kode ini, saya punya terlalu
Nikem 2 tahun yang lalu
Jalankan Apache pada mesin virtual / OpenVZ dan untuk me-mount filesystem eksternal yang dibutuhkan dengan data read-only?
Reaksi
BrantTedeschi 1 tahun yang lalu
Dari twitter
Script Kiddies telah datang jauh. http://bit.ly/2eZjsm. Menarik dan cepat membaca jika Anda bosan
alienden 2 tahun yang lalu
Dari twitter
RT @ downgrade Script kiddies memiliki alat mengagumkan | dow.ngra.de http://tinyurl.com/5hw9gk
opexxx 2 tahun yang lalu
Dari twitter
RT @ proactivedefend: Berita Update: Script kiddies memiliki alat mengagumkan | dow.ngra.de http://ow.ly/15Q0ut
proactivedefend 2 tahun yang lalu
Dari twitter
Berita Terbaru: Script kiddies memiliki alat mengagumkan | dow.ngra.de http://ow.ly/15Q0ut
Trackbacks
Trackback URL
Tagz | "kiddies Script memiliki alat mengagumkan | dow.ngra.de" | Komentar
2009/05/16 07:55
[...] [Upmod] [downmod] ...
BEWERK | web dingetjes
2009/05/18 11:37
Script kiddies [...] memiliki alat mengagumkan | dow.ngra.de. Kategori: Besturings systemen, TI - Tags: [...]
Tentang
Blog ini dijalankan oleh Jevgeni Kabanov dan Toomas Romer, Jawa hacker luar biasa. Kami adalah pengembang inti dua JRebel, Jawa sangat inovatif pengembangan alat yang ulang kode Anda saat Anda mengubahnya, bukan menunggu untuk memindahkan atau restart.
Twitter
Tidak ada pesan Twitter publik.
Tags
tangkas ajax asm bytecode krom clowd konferensi pengembang COBOL konkurensi dsl Erlang firefox flashdisk google Haskell mempekerjakan idiom java java ee JavaOne javarebel javascript JAX JVM mengangkat linux netbeans PDF kinerja perl php wordpress GSoC python qcon laporan ISTIRAHAT scala keamanan SOA terakota musim semi perjalanan twitter jenis web
Random Posts
JavaOne 2008 - di sini kita
/ Etc / hosts dan microsoft.com
Konfigurasi Eclipse - gagal cepat
QCon London 2008: Erich Gamma keynote
Ringkas EDSL Penutup di Jawa
Arsip
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar