Будни антихака продолжаются

shattered-glass

Ранее я рассказывал о сайте, который мне пришлось латать от дыр sql injection.  Залатал я их не мало и уже успокоился. Но как оказалось, покой нам только снится.

Google оповестил владельца сайта, цитирую, «Мы обнаружили, что Ваш сайт был взломан и на нем разместили вредоносный контент». Евгению бежать было не куда, он опять попросил меня посмотреть в чем дело.

Да что ж там ломать-то, недоумевал я. Чтобы загрузить вредоносный контент, нужна какая то форма. Но никаких форм, принимающих файлы, на front-end сайта нет. Создателю этого самопала было просто негде, как мне казалось, накосячить. Иначе, можно было бы искать файлы в каких то временных папках или папках, куда осуществляется загрузка. Будучи в меру неаккуратным, можно создать подходящие лазейки для взлома в случае подобных форм.

Решил попробовать поискать «тонкие места» с помощью утилиты Манул. Интересный проект. Хоть утилита так и не смогла завершить сканирование — все время где то зависала — мне удалось поглядеть её логи без завершения процесса. От туда я почерпнул, что мест, которые нужно проверить в самопальном движке, более сотни.

Тем не менее, в процессе поисков я наткнулся на странные файлы в одном из каталогов сайта, которые должны были попадать на сайт посредством загрузки через файл-менеджер wysiwyg редактора, прикрученного к админке (back-end).

В качестве редактора здесь используется старенький FCKeditor от 2007 года. Редактор то не плох, и если настроить его правильно, то проблем не будет. Но памятуя о расслабленной рукожопости программиста, прикрутившего FCK к данному самопалу, это была реальная зацепка.

Почему они мне показались странными? Это были короткие XML вот такого содержания:

Т.е. это spam-редирект на какой то вшивый сайт по теме быстрого похудения. Были там и другие варианты исполнения редиректа. К примеру, урл сайта шифровался в шестнадцатеричный код.

Оказалось, что в редактор может зайти любой и, пользуясь файл-менеджером в FCKEditor, записать нужный файл на сервер. От полного провала нас отделял только список разрешенных расширений файлов. (Файлы с расширением .xml были разрешены).

Трудолюбивые хакеры пробовали на прочность настройки веб-сервера и пихали скрипты с фальшивыми расширениями файлов. Вот пример файла с расширением jpg, сигнатурой gif, но телом в виде скрипта на asp.

А вот якобы файл флеш-анимации adobe (расширение у файла было .fla), а на самом деле скрипт на PHP.

Экспонатов довольно много накопилось. Видно было, что не один хакер пробовал тут свои силы. Но скрипты никак не хотели выполняться в файлах с левыми расширениями.

Мог быть реализован вариант, когда загруженный файл с левым расширением подключается через какой то из действующих скриптов. Главный скрипт движка, к примеру, подключает файлы, получая их имя из url. Но список вариантов там строго регламентирован, так что такие попытки пройдут мимо кассы.

Я думаю, что следующей линией обороны будет админка сайта. Которая вообще вся держится на честном слове, с молитвами о том, что к ней не подберут пароль. Если front-end это решето, то админка — просто дыра.

После зачистки, пришлось немного поправить config в FCKEditor. Теперь файл-менеджер не работает без инициализации админки. Что дальше?

Хакеры — ваш ход :)

Написать комментарий

Мало букафф? Читайте есчо !

Подключаемся по FTP через VPN

Сентябрь 27, 2017 г.

Если у вас возникла такая задача, как подключение по FTP внутри VPN-туннеля, то в данной статье я предлагаю вам минигайд о том какое ПО использовать, и ...

Читать

Трудо-выебудни

Сентябрь 25, 2015 г.

В пять утра разбудила кошка, и дальше не спалось. Сел за компьютер, вновь пытаясь понять, что же вчера приключилось с сайтом одного из моих клиентов. Этот сайт - памятник очумелым ручкам безымянных самоделкиных. Не люблю ковыряться в такого рода ...

Читать

 

Комментарии к «Будни антихака продолжаются»

Понравилась статья? Есть вопросы? - пишите в комментариях.



Комментарий: