Будни антихака продолжаются

shattered-glass

Ранее я рассказывал о сайте, который мне пришлось латать от дыр sql injection.  Залатал я их не мало и уже успокоился. Но как оказалось, покой нам только снится.

Google оповестил владельца сайта, цитирую, «Мы обнаружили, что Ваш сайт был взломан и на нем разместили вредоносный контент». Евгению бежать было не куда, он опять попросил меня посмотреть в чем дело.

Да что ж там ломать-то, недоумевал я. Чтобы загрузить вредоносный контент, нужна какая то форма. Но никаких форм, принимающих файлы, на front-end сайта нет. Создателю этого самопала было просто негде, как мне казалось, накосячить. Иначе, можно было бы искать файлы в каких то временных папках или папках, куда осуществляется загрузка. Будучи в меру неаккуратным, можно создать подходящие лазейки для взлома в случае подобных форм.

Решил попробовать поискать «тонкие места» с помощью утилиты Манул. Интересный проект. Хоть утилита так и не смогла завершить сканирование — все время где то зависала — мне удалось поглядеть её логи без завершения процесса. От туда я почерпнул, что мест, которые нужно проверить в самопальном движке, более сотни.

Тем не менее, в процессе поисков я наткнулся на странные файлы в одном из каталогов сайта, которые должны были попадать на сайт посредством загрузки через файл-менеджер wysiwyg редактора, прикрученного к админке (back-end).

В качестве редактора здесь используется старенький FCKeditor от 2007 года. Редактор то не плох, и если настроить его правильно, то проблем не будет. Но памятуя о расслабленной рукожопости программиста, прикрутившего FCK к данному самопалу, это была реальная зацепка.

Почему они мне показались странными? Это были короткие XML вот такого содержания:

Т.е. это spam-редирект на какой то вшивый сайт по теме быстрого похудения. Были там и другие варианты исполнения редиректа. К примеру, урл сайта шифровался в шестнадцатеричный код.

Оказалось, что в редактор может зайти любой и, пользуясь файл-менеджером в FCKEditor, записать нужный файл на сервер. От полного провала нас отделял только список разрешенных расширений файлов. (Файлы с расширением .xml были разрешены).

Трудолюбивые хакеры пробовали на прочность настройки веб-сервера и пихали скрипты с фальшивыми расширениями файлов. Вот пример файла с расширением jpg, сигнатурой gif, но телом в виде скрипта на asp.

А вот якобы файл флеш-анимации adobe (расширение у файла было .fla), а на самом деле скрипт на PHP.

Экспонатов довольно много накопилось. Видно было, что не один хакер пробовал тут свои силы. Но скрипты никак не хотели выполняться в файлах с левыми расширениями.

Мог быть реализован вариант, когда загруженный файл с левым расширением подключается через какой то из действующих скриптов. Главный скрипт движка, к примеру, подключает файлы, получая их имя из url. Но список вариантов там строго регламентирован, так что такие попытки пройдут мимо кассы.

Я думаю, что следующей линией обороны будет админка сайта. Которая вообще вся держится на честном слове, с молитвами о том, что к ней не подберут пароль. Если front-end это решето, то админка — просто дыра.

После зачистки, пришлось немного поправить config в FCKEditor. Теперь файл-менеджер не работает без инициализации админки. Что дальше?

Хакеры — ваш ход :)

Написать комментарий

Мало букафф? Читайте есчо !

Генератор "удобных" паролей

Декабрь 19, 2012 г.

Простому пользователю от пароля хочется двух вещей - надежности и легкости запоминания. В случае произвольно создаваемых паролей, желаемая надежность достигается очень легко (увеличили длину генерируемого пароля или расширили набор символов, из которого ...

Читать

Подключаемся по FTP через VPN

Сентябрь 27, 2017 г.

Если у вас возникла такая задача, как подключение по FTP внутри VPN-туннеля, то в данной статье я предлагаю вам минигайд о том какое ПО использовать, и ...

Читать

 

Комментарии к «Будни антихака продолжаются»

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: