Forums / National / Russian / взлом cotonti

12>>>

jcrush
#1 2011-11-24 10:30

Смотрю залили в папку для загрузки шела... вот пока не ясно что ломанули или сервак или движек... myshell дефейснули index.php

cotonti genoa 0620

никто не сталкивался?

SEO блог: http://blog.stfw.ru/
Trustmaster
#2 2011-11-24 11:38

Ничто не исключено. На моей памяти большинство взломов было из-за кражи пароля от FTP (тема про ftp-трояны довольно известна), реже из-за взлома сервера и ещё реже из-за уязвимости движка. Подробнее о последнем: чтобы залить шелл и сделать дефейс, надо иметь доступ на запись файлов, а не только базы. То есть XSS или SQL-инъекции тут недостаточно, нужна дырка посерьёзней для заливки PHP-скрипта. Например, такое бывало у несчастных владельцев плагина TPL Editor ещё в Seditio. Через PFS залить не могли, потому что там есть нужные проверки на заливку скриптов.

А куда залит шелл? Пароль админа не изменили? Какие файлы затронуты дефейсом?

May the Source be with you!
jcrush
#3 2011-11-24 11:44

там в дата\юзер был текстовик от шела, и пхп фвйлы и вроде архив, в корне был файл сессион.пхп

пароли от фтп.. не думаю под линукс троянов нет.. дефейснули снаас скин футер

потом индес пхп, с правами был правда косяк на 666

SEO блог: http://blog.stfw.ru/
Trustmaster
#4 2011-11-24 12:20

Имена и содержимое файлов не помешало бы. Права на скин футер какие были? Да, похоже ломанули движок. PFS юзерам на сайте доступен?

May the Source be with you!
Fox
#5 2011-11-24 12:30

А по логах сервера может чтото найти можно?

Гдето 2 мес назад я накакомто зарубежном сайте нашел что у какойто версии 0.9.Х есть уязвимость XSS. Типа вам отправили письмо с описанием дырки но вы на него неответили. Больше ниче непонял потомучто переводил через гогл

Добавлено 30 минут спустя:

Может актуально

_http://www.exploit-db.com/exploits/17958/_
_http://packetstormsecurity.org/files/105656_
_http://www.cmsmatrix.org/matrix/cms-matrix/cotonti_
_http://securityvulns.ru/docs26215.html_
_http://securityreason.com/wlb_show/WLB-2011100054_

ХаЧу ЧПУ для форума!!! ХаЧу ДаКуменцию к ДвИжКу!!! ХаЧу АпиСания TPL ТаГов!??

Dit bericht is bewerkt door Fox (2011-11-24 13:00, 12 jaren ago)
Trustmaster
#6 2011-11-24 13:11
#31580 Fox:

А по логах сервера может чтото найти можно?

Гдето 2 мес назад я накакомто зарубежном сайте нашел что у какойто версии 0.9.Х есть уязвимость XSS. Типа вам отправили письмо с описанием дырки но вы на него неответили. Больше ниче непонял потомучто переводил через гогл

Добавлено 30 минут спустя:

Может актуально

_http://www.exploit-db.com/exploits/17958/_
_http://packetstormsecurity.org/files/105656_
_http://www.cmsmatrix.org/matrix/cms-matrix/cotonti_
_http://securityvulns.ru/docs26215.html_
_http://securityreason.com/wlb_show/WLB-2011100054_

Во-первых, это в сиене, в генуе этих проблем нет. Во-вторых, письмо никакое нам никто не отправлял. В-третьих, воспользоваться этими уязвимостями для взлома фактически невозможно (кроме xss). В-четвертых, исправление оставшихся будет в 0.9.6.

May the Source be with you!
Fox
#7 2011-11-24 13:20

Trustmaster Я притензий к вам никаких неставлю просто описую на что был наткнулса, а ети сылки кинул на всякий случай может вам в чемто помогут. Впринцыпе можете удалить.

ХаЧу ЧПУ для форума!!! ХаЧу ДаКуменцию к ДвИжКу!!! ХаЧу АпиСания TPL ТаГов!??
Trustmaster
#8 2011-11-24 13:30

Я понял, просто довожу до сведения всех, у кого сиена :)

May the Source be with you!
jcrush
#9 2011-11-25 02:52

по логам, если скажете как искать выложу...

myshell.php в заголовках - antichat, сам код шифрованный

session.php тоже самое.

права на index.php были 666 щас исправил на 644

на файлы шаблона тоже запись разрешена была

PFS был доступен, пока отключил

был еще в папке юзерс файл 123.txt тоже шел с заголовком античата, мож его как то переименовали может быть еще что-то хз.

SEO блог: http://blog.stfw.ru/
Trustmaster
#10 2011-11-25 08:41

Заливка каких расширений файлов разрешена? Включена ли проверка заливаемых файлов (в конфигурации Мои файлы)? Каково значение allow_url_fopen и allow_url_include в php.ini/phpinfo()? Используются ли плагины, заливающие или редактирующие файлы движка?

Похоже, схема была следующая: через некую уязвимость злоумышленник залил на сайт скрипт и смог выполнить его. Этот скрипт распаковал заранее залитый архив с шеллом (session.php может быть скриптом для кражи пользовательских сессий). Далее через шелл с правами вебсервера модифицировал футер и индекс, поскольку права на эти файлы позволили.

Экстренные меры: поменять пароли, в том числе mysql и администраторов на сайте; отключить pfs и другие модули с заливкой файлов; запретить изменение файлов движка вебсервером.

По поводу уязвимости сказать трудно, но судя по локализации в datas/users, уязвимость всё-таки в pfs. Больше пока ничего сказать не могу.

May the Source be with you!
Fox
#11 2011-11-25 10:30

Как искать по логах? Очень просто береш логи сервера если они есть желательно за тот день когда ломанули и ищеш myshell.php и 123.txt. нсли ненаходиш то береш логи днем рание, ну а если нейдёш то будет видно каким путем залили.

ХаЧу ЧПУ для форума!!! ХаЧу ДаКуменцию к ДвИжКу!!! ХаЧу АпиСания TPL ТаГов!??
medar
#12 2011-11-25 16:57

99% залили файлик в pfs, переименовали и выполнили из браузера.

Надо средствами http-сервера запрещать исполнение php в папке, куда аплоадятся картинки. В .htaccess прописать php_flag engine 0

rangjungyeshe.ru
jcrush
#13 2011-11-28 02:03

сегодня отредактировали .htaccess

Добавлено 8 минут спустя:

в defaultav нашел файл nopass.php зашифрованный.

Добавлено 14 минут спустя:

 allow_url_fopen поменял на офф, было он

и allow_url_include такоей деррективы не нашел

Добавлено 2 минуты спустя:

не могу в движке найти где настройки разрешенных к заливки расширений, раньше вроде на виду были, но галочка проверять соит..

Добавлено 23 минуты спустя:

еще нашел в группе модераторов левого юзера, в списке модеров его не было, но то что там лишний показало, снес..

Добавлено 3 минуты спустя:

По логам, только вспомнил, отключали админы при ддосе, дабы не грузить сервер, как теперь включить log в centos?

SEO блог: http://blog.stfw.ru/

Dit bericht is bewerkt door jcrush (2011-11-28 02:55, 12 jaren ago)
Trustmaster
#14 2011-11-28 10:13

Разрешённые к закачке типы файлов в datas/extensions.php. Важно: все эти типы должны быть известны вебсерверу Apache (если используется оный), иначе можно получить довольно известную проблему, когда какой-нибудь myfile.php.xyz выполняется как php поскольку тип xyz неизвестен.

Дай угадаю, доступ к datas/defaultav был 777? Движок никогда не заливает файлы в эту папку.

Вообще картина складывается следующая: записывают файлы, к которым есть доступ на запись; заливают файлы туда, где есть доступ на добавление файлов в папку. В том числе и туда, куда файлы из веба попасть не могут. О чём это говорит? О том, что у злоумышленника есть доступ от другого аккаунта в системе (но не root, что уже хорошо) через SSH, FTP или через скрипты.

May the Source be with you!
jcrush
#15 2011-11-28 15:17

если я не ошибаюсь у меня Apache не стоит, все через nginx в .htaccess были редиректы при том хистрые на партнерку вап трафика только по мобильным заголовкам, несколько десятков, но без апача редиректы вроде в .htaccess без правил не пошли бы..

пока посмотрю что да как, ранее настройки на расширения были в админке..

SEO блог: http://blog.stfw.ru/

12>>>