Napadený web bez JS a formulářů

[Pavouk106]

Ahoj,

na jednom webu, který jse kdysi tvořil se mi objevil JS/Kryptik (tak ho hlásí NOD32, např. AVG ho nevidí...)

Kouknu do index.php, vidím PHP "dvakrát", tedy:

Kód: [Vybrat]

<?
v téhle části
je hromada
m=ho kódu
?>

<?
(hodně mezer) nějaký JS balast
?>Na stejném webu je v podadresáři /admin druhý index.php, a který z hlavního webu nic neodkazuje (tedy: neexistuje pro toho, kdo o něm neví nebo pro znalé roboty :-) ) a v tom bylo to samé.

/admin/index.php v sobě má jedno formulářové pole, typ password, které je porovnáváno přímo s hashem. Hlavní web nemá formuláře, má pomocné cookies na počítání návštěv a stránkování je řešeno GETem.

Otázka je jasná - Jak se to tam dostalo a jak tomu předejít?
Specifičtější otázka/úvaha - Z mého (napadání neznalého) pohledu vidím jedinou cestu dovnitř, password pole a neošetřené injection. Jak se ale ten balast dostal o adresář výš a napadl další index.php? Ještě to mohlo projít skrz cookies.
Úvaha - Prolomení FTP nebo napadený hosting

Úvaha pro průzkum do budoucna - v každém adresáři udělat index.php s pouze "hello world" PHP kódem a čekat co se stane...

[Reklama]

[Lol Phirae]

Úvaha: přestaň si rvát na webhosting reklamní bannery. Pokud je tam cpe provozoval hostingu, tak zkus ušetřit jedno pivo měsíčně na placený hosting.

[to_je_jedno]

ftp. total commander s heslem ulozenym bez ochrany "hlavnim heslem". kdyz uz to nekdo takhle otevre tak je nejjednodussi to nacpat do vsech index.* tam je nejvic pageloadu.

[Pavouk106]

Dozadeke! "Litujeme, ale přístup byl odepřen"

Petr Krčmář: Zkuste s tím něco udělat, 15 minut tu smolím odpověď a pak se to celý podělá a můžu začít znova...

Lol Phirae: Jde o placený hosting bez reklam od providera i bez jiných, je tam pouze vlastní obsah.

to_je_jedno: Už jsem toho půl zapomněl, shrnu to důležitý. Na FTP se leze přes TCMD i jinej SW, hesla jsou uložený. ALE ... tyhle přístupy jsou jen do části, kde není jediný PHP soubor, slouží pro nahrání obsahu, kterej se pomocí PHP dál zpracovává, takže tudy ne.

Bruteforce nepřipadá v úvahu, heslo je generovaných 15 znaků (malý/velký/čísla) a jméno je generovaný 10 znaků!!!

Takže se nejspíš vracíme zpět k původnímu dotazu - GET nebo password pole formuláře nebo cookies - může to přijít tudy? Rád poskytnu podrobnější info, když budu vědět co... :-)

[Franta <xkucf03/>]

Na FTP se leze přes TCMD i jinej SW, hesla jsou uložený. ALE ... tyhle přístupy jsou jen do části, kde není jediný PHP soubor, slouží pro nahrání obsahu, kterej se pomocí PHP dál zpracovává

A ten tvůj PHP soubor se na server dostal jak? Kdo má práva do jeho adresáře a odkud a jak tam přistupuje?

[Reklama]

[to_je_jedno]

rikam ti prislo to z nezaheslovanyho(tedy plaintext) hesla v totalcmd. takovej webu uz jsem musel odvsivovat asi bambilion. s prichodem tc7 a skolenim uzivatelu se to zlepsilo.

[Pavouk106]

Franta: PHP soubory jsem nahrál před X lety, přístup do kořenu mám od minulýho útoku jen já a já tam přistupuju buď jednorázově z TCMD nebo stejně tak jednorázově z Linuxu (Krusader).

to_je_jedno: Já neříkám, že je to vyloučeno, ale z TCMD se jedinej uživatel (ne já) dostane pouze a jen do části, kde není jediný .php

Osobně si myslím, že došlo ke kompromitaci serveru, bude to podle mě na všech webech, co tam jsou. To zjistím (doufám) od provozovatele.

[huggog]

to_je_jedno: Já neříkám, že je to vyloučeno, ale z TCMD se jedinej uživatel (ne já) dostane pouze a jen do části, kde není jediný .php

A není v tom adresáři možné spustit php skript, který se dostane do vyšších adresářů? To by tam útočníkovi stačilo nahrát skript, který proleze co může a kde najde php soubor, upraví jej. Pokud pomůže změna hesla u toho přístupu, tak je to jasné 

[Pavouk106]

huggog: Jo, to je možný.

Já osobně neočekávám opakování problému, podle mě jel robot a zkoušel. Někde to prošlo, někde ne, vracet se nebude (přijde jinej). Tohle není web s obří návštěvností, to vůbec, pravděpodobně nešlo o cílenej útok.

[to_je_jedno]

robot se vrati. na to vem jed. pokud se mu to povedlo tak se vrati a koukne: hele nezmenil si heslo tak sup tam s tim.

jestli jsi se pres klasicke FTP tak se nemuzes divit, to mohl chytit kdokoliv na kterymkoliv sitovym prvku cestou

[Pavouk106]

to_je_jedno: S tím odchycením FTP je mi to jasný, s tím bohužel nic neudělám :-( No, uvidíme, co se bude dít v blízký době...

[jivep]

to_je_jedno: S tím odchycením FTP je mi to jasný, s tím bohužel nic neudělám :-( No, uvidíme, co se bude dít v blízký době...

SFTP ?

[Pavouk106]

jivep: Upřímně - zatím jsem nezjišťoval jiný možnosti.

[Jenda]

rikam ti prislo to z nezaheslovanyho(tedy plaintext) hesla v totalcmd. takovej webu uz jsem musel odvsivovat asi bambilion. s prichodem tc7 a skolenim uzivatelu se to zlepsilo.

Nutno podotknout, že změna v TC7 je pouze dočasné řešení. Malware si může heslo odchytit, až tam uživatel poleze (keylogger) nebo se může injectnout přímo do otevřené FTP session.

[to_je_jedno]

obé je vyrazne slozitejsi (a vyzaduje praci s tim FTP) nez proste odeslani jednoho wcx_ftp.ini nekam.
Coz muze byt tento pripad. Malware ktery by to odchytaval by musel cekat na navazani pripojeni. Kdezto s tim plaintextem odesle vsechny ulozeny spojeni i kdyz se treba rok na nej nikdo nepripojil tak je v tu ranu kompromitovane.