Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

Что-то не работает? Пишите здесь.

Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST siarzhuk » 16.07.2012 14:31:28

Взломали несколько сайтов. Изменили корневой .htaccess для слива мобильного трафика.
Восстанавливаю зараженный .htaccess - а через несколько дней его снова изменяют.
Расследование показало, что виноват очевидно Sypex Dumper Lite.
У всех взломанных сайтов нашлись похожие записи в логах:
Код: Выделить всё
188.***.***.76 - - [12/Jul/2012:15:16:01 +0300] "POST /dumper/dumper.php HTTP/1.0" 200 3846 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 165292
188.***.***.76  - - [12/Jul/2012:15:16:03 +0300] "POST /dumper/dumper.php HTTP/1.0" 200 9428 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 563124
188.***.***.76  - - [12/Jul/2012:15:16:06 +0300] "POST /dumper/dumper.php HTTP/1.0" 200 40447 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 498045
188.***.***.76  - - [12/Jul/2012:15:16:09 +0300] "POST /dumper/dumper.php HTTP/1.0" 200 5039 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1" 486158


Везде один и тот же IP, везде код 200 и везде POST.
siarzhuk
 
Сообщения: 3
Зарегистрирован: 16.07.2012 14:12:22

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 21.07.2012 14:26:22

Попробуйте вместо dumper.php поместить файл с таким же именем, но содержимым.
Код: Выделить всё
<?php
error_log($_SERVER['REMOTE_ADDR'] . "\n" . var_export($_REQUEST,1) . "\n\n", 3, "request.log");

Тогда можно будет сохранить более подробный лог, что именно отправлялось в дампер.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST siarzhuk » 23.07.2012 16:11:56

Изменил. Будем ждать очередной попытки записи.
siarzhuk
 
Сообщения: 3
Зарегистрирован: 16.07.2012 14:12:22

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST leo7 » 26.07.2012 17:11:12

На моём хостинге http://it-patrol.ru/ разослано вот такое:


В последнее время на сайтах наших клиентов были зафиксированы многочисленные изменения файлов .htaccess и установка редиректов на зловредные сайты для мобильных устройств. Мы провели анализ и выяснили, что хакеры сканируют сайты на наличие файлов Sypex Dumper(набора скриптов для работы с базой данных) и, используя различные уязвимости в этом скрипте, изменяют файл .htaccess, а также подменяют дату создания этого файла. На данный момент мы заблокировали использование этого скрипта средствами frontend-сервера.

Просьба удалить Sypex Dumper из ваших файлов. Все найденные зараженные файлы .htaccess будут очищены в течении 2 суток.
leo7
 
Сообщения: 3
Зарегистрирован: 14.07.2010 10:03:26
Откуда: http://www.s-horoscope.ru/

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 26.07.2012 20:09:46

Спасибо за информацию. Будем копать. Хотя пока попадалась инфа по уязвимостях в дампере встроенном в DLE, но там дописывался функционал самими создателями DLE. В любом случае уже давно пора переходить на версию 2.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST leo7 » 28.07.2012 10:35:37

я просто дополнил существующую ветку. Эта проблема во второй версии тоже присутствует - в полный рост.

вот цитата с нашего внутреннего форума:

ypex Dumper Lite 1.0.8 - строго не рекомендуется, в ней уязвимость позволяющая хакеру изменять файлы.
Sypex Dumper 2.0.9 - не защищена от переборщика паролей и содержит XSS уязвимость , а так же кучу раскрытых путей.
Все версии не проверяли, но раз последние содержат уязвимости, скорее всего более ранние могут содержать их ещё больше.
leo7
 
Сообщения: 3
Зарегистрирован: 14.07.2010 10:03:26
Откуда: http://www.s-horoscope.ru/

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 28.07.2012 21:11:39

Опять же никакой конкретики. Что касается переборщика паролей, дампер использует авторизацию MySQL. Тот же drupal который использует it_patrol.ru также не имеет встроенной защищиты от перебора. Если бы была какая-то конкретная информация о уязвимостях, то их бы можно было уже исправить.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST covenant » 29.07.2012 18:15:55

Злоумышленник ставил в .htaccess редирект для мобильников с периодичностью от раза в сутки до раза в неделю;

У .htaccess ставилась произвольная дата изменения.

Много, что перебрал и перепробовал за это время: даже выкачивал сайты целиком, искал вредоносеый код в MySQL.

Наткнулся вчера на эту тему, респект siarzhuk за ее создание.

На один сайт в пустом файле дампера разместил код, респект zapimir за скрипт:

Код: Выделить всё
<?php
error_log($_SERVER['REMOTE_ADDR'] . "\n" . var_export($_REQUEST,1) . "\n\n", 3, "request.log");
?>


Сегодня файл наполнился, привожу его содержимое:

Если я выложил какие-то пароли, то просьба к администрации: замените их пожалуйста, на звездочки.

[zapimir: Спасибо за код, сейчас проанализируем. Сам код удалил.]

Дампером пользуюсь давно, трудно представить, как без него обойтись: лечение может быть очень простым: переименовать файл дампера на уникальное название.
Последний раз редактировалось covenant 30.07.2012 03:44:00, всего редактировалось 2 раз(а).
covenant
 
Сообщения: 2
Зарегистрирован: 29.07.2012 18:00:42

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 30.07.2012 01:51:42

В общем разобрался, что к чему. Не совсем уязвимость дампера, так как для того, чтобы ею воспользоваться нужно сначала украсть Cookies, человека который успешно заходил в дампер. Так что скорее всего на Вашем сайте где-то XSS-уязвимость, с помощью которой злоумышленник украл Cookies от дампера. Рекомендуется сделать дамп вашей CMS и пройтись поиском по словам "script" и ".cookie".

Хотя согласен, что дампер не должен позволять даже админу делать лишние действия. Поэтому в dumper.php нужно найти строку
Код: Выделить всё
$str .= "'$key' => '" . str_replace("'", "\'", $value) . "',\n";

и заменить на
Код: Выделить всё
$str .= "'$key' => '" . addslashes($value) . "',\n";

а также удалить старый файл с настройками "backup/dumper.cfg.php" либо сделать бэкап (тогда этот файл будет перезаписан).

Также обязательно смените пароль для MySQL.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST covenant » 30.07.2012 03:41:54

zapimir, спасибо Вам.
Это не уязвимость дампера, совершенно согласен.
Даже предполагаю на каком именно сайте украли Cookie.
covenant
 
Сообщения: 2
Зарегистрирован: 29.07.2012 18:00:42

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST siarzhuk » 01.08.2012 09:55:46

Есть код в лог-файле, посмотрите:
zapimir: Код удалил
siarzhuk
 
Сообщения: 3
Зарегистрирован: 16.07.2012 14:12:22

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 01.08.2012 21:10:10

у Вас код аналогичный был, так что достаточно поменять всё ту же строку, о которой написал в предыдущем посте.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST eMouse » 04.08.2012 11:00:45

А как быть пользователям Pro 2.0.9 версии? Сам недавно боролся с подобной напастью. Собственно, проблема, похоже, не в дампере была, но всё же...
eMouse
 
Сообщения: 6
Зарегистрирован: 31.10.2011 18:14:45

Re: Взлом сайта с помощью Sypex Dumper Lite 1.0.8b

UNREAD_POST zapimir » 04.08.2012 18:54:28

Насчет 2.0.9, пока никакой конкретной информации об уязвимости в нём не попадалось. Всё что удалось найти, это из-за бага в PHP CGI когда можно было посмотреть исходники любого скрипта, конечно используя этот баг можно было посмотреть исходники конфиг-файла дампера (да в принципе и не только дампера) и получить логин/пароль.
Самый надежный вариант это закрыть каталог дампера htaccess, чтобы в него можно было заходить только с ваших IP (если у вас постоянные IP). Также можно посоветовать закрыть доступ к файлам ses.php и cfg.php.
zapimir
Site Admin
 
Сообщения: 1628
Зарегистрирован: 01.10.2009 22:39:52


Вернуться в Проблемы и баги

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 4

Яндекс.Метрика