برچسب: حفره

  • بازی موش و گربه

    حول و هوش ۴ صبح بود که می‌خواستم برم کوه خیر سرم که دیدم یهو کلی میل سرایز شده سمت اینباکسم و یه اسپمر وحشی رم کرده  و داره فرت و فرت میل اسپم می‌فرسته.

    خلاصه این شد که رفتم پشت سیستم و اول رسیدم به همچین آدرس کذایی رو سرور که از طریق اون کلی میل اسپم می‌فرستاد.

    وقتی که محتویاتش رو دیدم اولین کاری که به ذهنم رسید این بود که کل کدای داخلش رو با یه مادر فاکر جابجا کنم تا هکره توی اجرای بعدی ببینه و حسابی عصبانی شه! :)

    بعد چند دقیقه بود که دیدم دوباره محتوا رو عوض کرده و این یعنی وجود مکانی که تبدیل شده به مقر فرماندهی و اینطوری بود که به کل زدم فایل رو پاک کردم و سریع رفتم سر وقت لاگ اپاچی

     حالا دیگه آی‌پی رو داریم :) فایرفاکس ۳.۵ و طرف ظاهرا ویندوزکاره و البته اینا مشخصات یه بابایی توی نیجیریه ست! و همین احتمال رو قوی میکنه که طرف داره از تور استفاده میکنه.

    از روی دنبال کردن آی‌پی رسیدم به یه فایلی به اسم theme-edit.php داخل پوشه wp-admin و نکته جالب این بود که با باز کردن این فایل تو ادیتور مطلقا چیزی دستگیر آدم نمی‌شد به این خاطر که آقای هکر کد php رو رمزنگاری کرده بود و بنابراین محتویت فایل رو می‌دیم به سایتی مشابه ddecode که کارش تبدیل محتوای رمز شده به حالت عادیه.  بسته به سختی کد طی تعداد مراحلی این سایت کد واقعی رو در اختیارتون می‌گذاره و جالبه که این کد رو در یازدهمین مرحله می تونه از حالت رمز خارج کنه :)

    شروع بسم الله با افتخار نوشته‌ی هکر رو می‌بینیم! (کد دیکد شده شل)

    /* hide shell edited by r1pp3rm4ya*/

    بله یک شل مخفی کشف کردیم! شلی که بخاطر محتوای رمز شده ش آنتی ویروس clam هم هشداری بهتون نمی‌ده. شاید بشه فقط از رو md5 حجم فایل مثلا گفت که احتمال داره فرد دیگه‌ای هم توی این کره خاکی توسط این شل آلوده شده یا نه.

    ادامه سرک کشی به لاگ من رو رسوند به یه آی‌پی جدید و یه فایل جدید اینکود شده ولی چون دقیقا بازه زمانیشون یکی بود حدس می‌زنم وسط کار آی‌پی تور فقط عوض شده باشه و پشت جفتشون یه ادم بیشتر نیست.

    با نگاه کردن به فایل از رمز خارج شده میشه حدس زد که ازش برای وصل شدن به دیتابیس استفاده میکنه و همه اینا یعنی خطر! دنبال فایل‌های passwd و shadow و این موارد نیز هست پس این نقاطیه که باید دسترسی read رو طوری تنظیم کنید که فقط کاربر root بتونه محتویاتشون رو ببینه. در حالت عادی یوزر امکان مشاهده محتوای خیلی از فایل‌های حساس etc رو داره.

    اما ادامه خوندن لاگ ما رو به خط‌های خیلی مهمی رهنمون می‌کنه :) دقیقا از شروع حمله تا زمان موفقیت رو می‌شه دید پروسه‌ای که واقعا دید آدم رو نسبت به امنیت و این جور موارد به کل دگرگون میکنه

    اگه یادتون باشه پست قبلی در مورد یه شل به اسم wp-search گفتم. شلی که پاک شد اما اون هکر بعد چند روز اومده سر وقتش! بی خبر از اینکه پاک شده  و البته ارور ۴۰۴ گرفته:)

    اما بیکار ننشسته! احتمالا از همون تکنیکی که بار پیش شل رو وارد سیستم کرده اینبار هم اومده و اون روش رو دنبال کرده.

    خط دوم اومده استایل قالب وبلاگ رو گرفته حدس می‌زنم از داخل استایل خواسته ببینه چه پلاگینایی مثلا می‌تونسته طرف استفاده کرده باشه که احتمالا حفره ای داشته باشن برای استفاده‌های بعدی.

    و بعد در چندین مورد که همه ش رو اینجا نگذاشتم با استفاده از متد GET داخل پوشه آپلود رو می‌گرده به امید پیدا کردن اون حفره!

    به نظرم خط ۴م دقیقا جایی بوده که حفره رو پیدا کرده و توسط متد GET و با استفاده از سایت خودش تونسته شل خودش رو بارگزاری کنه.

    برنامه‌نویس نیستم اما حدس می‌زنم تونسته از حفره‌ای توی برنامه timthumb استفاده کنه و کد خودش رو که توی سایتش موجود بوده رو با استفاده از ضعف این برنامه به سرور قربانی منتقل کنه.

    راستش رو بخواید حتی متوجه آدرس جایی که کد رو گذاشته نمی‌شم :))

    http://blogger.com.bathroomremodeling.org/

    ولی داخلش که بشید سه تا کد اصلی ش رو خواهید دید که با استفاده از متد GET اونها رو به سیستم قربانی منتقل میکنه. پیشنهاد میکنم حسابی مراقب باشید که یهو خودتون الوده نشید با وارد شدن از طریق مرورگر! و خلاصه اینکه احتمالا مشکل پیدا شد! و چند تا شل جدید کشف شد و احتمالا یه حفره توی برنامه ذکر شده :)

    ساعت ۷:۱۳ با تاخیر برم کوه!

     

     

  • کابوس واقعی

    یه بابایی اومده یکی از فایل‌های خیلی مهم لینوکس رو به اسم libkeyutils.so.1.9 بررسی کرده (منبع خبر) و به این نتیجه رسیده که درون این فایل یه آی‌پی به آدرس 78.47.139.110 وجود داره! که همینجوری هم نمی‌شه دید و چشم بصیرت می‌خواد.

    ssh

    آی‌پی هم اشاره داشته به سایت rubop.com که مشخصات این دامین هم این شکلیه.

    بعد هم دیدن که خیلی راحت می‌تونه طرف از طریق ssh وصل شه به ماشین دیگه ای و گویا در کرنل‌های سه به بالا این مشکل وجود نداره پس خیلی از دیستروهای سنت او اس احتمالا این مشکل رو خواهند داشت. آدرسی که این فایل وجود داره در روت  سیستم عامل و داخل فولدر lib64 هست. که اتفاقی دیدم تو یکی از سرورهایی که دست منه هم این فایل وجود داره

    منتها خیلی خوب و خوشحال از این کشف بزرگ اومدم این فایل رو پاک کردم! و بعد هم exit و بعد یک ساعت تلفن زنگ خورد که فلانی فلانی چیکار کردی سرور رو؟ همه سایتا داون شدن :) که دیدم ای دل غافل! همه چی زیر سر این فایل ریزه میزه ست و خلاصه به کمک kvm و ریموت وصل شدن به سرور انگاری که پشت مانیتور نشسته باشی تونستم وارد سیستم عامل بشم و جالب بود که حتی دستورای ابتدایی مثل wget هم از کار افتادن و خلاصه همه اینا کابوسی شد برای من تا اینکه با هر مکافاتی بود تونستم سیستم رو درست کنم!

    اما  برای اینکه از شر این موجود و این فایل که آخرش پسوند 1.9 داره راحت بشید اول یه سرچی بزنی که اصلا این فایل وجود داره توی این فولدر lib64 و بعد هم مطمئن شید که جای دیگه‌ای نباشه.

     حالا فایل مشکوک رو پاک می‌کنید به همراه شورتکاتی که ساخته و بعد دوباره شورتکات رو از فایل سالم libkeyutils.so.1.3 می‌سازید. دقت کنید در نهایت باید فایل libkeyutils.so.1 رو حتما داشته باشید در غیر اینصورت هیچ چیزی کار نمی‌کنه و می‌شید مثل من! بعد از اینکه شورتکات رو ساختید سرویس sshd رو هم ریست بدید و در نهایت کرنل رو آپدیت کنید (اگر داشتید!) و بعد هم ریست می‌دید سرور رو.

    البته یک سری گفتن حتی با پاک شدن این فایل هم معلوم نیست مشکل حل می‌شه یا نه ولی خب با تنظیمات فایروال و اینکه از ssh استفاده می‌کنه (از پورت‌های غیر استاندارد) نباید مشکل خاصی پیش بیاد.

    توضیحات خیلی خوب و کاملتری رو می‌تونید از اینجا گیر بیارید.