Strange Pharma Spam Sito risultante dal file DAT creato da SQL Injection?

1

Lavorare sulla pulizia di un compromesso del sito per un cliente. Lasciando da parte il fatto che il sito stia usando una serie di codici CodeIgniter personalizzati scritti da qualcuno che non aveva alcun concetto di sicurezza, mi sono imbattuto in un roadblock e volevo vedere se altri tipi di sicurezza IT potevano controllare il mio flusso di lavoro. Inoltre, il sito è ospitato su DreamHost, che sembra aver avuto qualche problema con il reindirizzamento di Pharma Spam a marzo, quindi non sono sicuro che il problema sia il sito dei miei clienti, oppure DreamHost è stato pwnato e non lo farà pony.

In sostanza, ciò che sta accadendo è quando si introduce un'istruzione ORDER BY nel parametro di ricerca dell'URL del sito, un file con il titolo quickstart.dat viene inserito nella home directory dell'utente. Questo file dat viene popolato con l'esatto codice HTML del sito farmaceutico, in modo tale che in seguito, quando si utilizza uno dei collegamenti ancorati sul sito, venga caricato l'HTML da questo file dat. NON reindirizza al sito farmaceutico, crea contenuti web locali che a loro volta collegano al sito Pharma.

Posso replicarlo ogni volta dopo aver eliminato quickstart.dat per ripristinare la normale funzionalità, invece di usare l'istruzione ORDER BY e avviare l'intero processo. Questo mi porta a credere che dovrei cercare nei database MySQL alla ricerca di codice dannoso inserito nelle tabelle a cui fa riferimento il file search.php ?

AGGIORNAMENTO: OK, quindi ho trovato il problema per quanto posso dire. Passando attraverso uno dei file index.php qualcosa ha attirato la mia attenzione. C'era una dichiarazione require_once puntata verso un file pdf in una directory tmp. Tirato giù quel pdf, lo mise in una sandbox online, indicando che si trattava in realtà di script PHP. Quando ho cambiato l'estensione del file e l'ho aperto nel blocco note, blamo, codice base64 ovunque. Così ho cancellato il PDF e rimosso quella riga dal file index.php, la funzionalità normale è stata ripristinata. Grazie a tutti quelli che mi hanno allontanato dal database.

    
posta Stev0 22.07.2012 - 21:41
fonte

2 risposte

3

Ci sono così tante cose che potrebbero essere accadute. Cercherò di elencare tutte le idee che ho di ciò che sarebbe potuto accadere.

Potresti provare quanto segue:

  • Controlla il file .htaccess se contiene qualcosa
  • Controlla il file di rotte in codeigniter che gestisce il reindirizzamento, si trova in /application/config/routes.php e controlla se ci sono delle indicazioni qui.
  • cerca tra tutti i file php usando la riga di comando e cerca "base64_decode ("
  • Elimina il file .dat forse?

Potresti anche provare a cercare file con hashstrings di grandi dimensioni che sono solitamente usati per offuscare il codice, inserire il seguente codice nella shell:

find ./ -name "*.php" -type f -print0 | xargs -0 grep '[a-zA-Z0-9]\{400\}'
    
risposta data 22.07.2012 - 22:00
fonte
1

Mi dispiace sentire il problema. Anche se siamo stati a conoscenza di questo e altri hack simili, non c'è stato alcun trucco specifico per i nostri server; gli hacker sistematici progettati per sfruttare vulnerabilità note nei software Web spesso condividono altre caratteristiche come i file in cui conservano i dati dannosi e di solito possono essere evitati mantenendo l'installazione e tutti i temi / plug-in relativi completamente aggiornati. CodeIgniter 1.x ha alcune vulnerabilità critiche che potrebbero spiegarlo se fosse così vecchio, ma potrebbe essere stato un numero qualsiasi di cose. Potremmo avere una documentazione specifica preparata in futuro, ma nel frattempo non esitate a contattare direttamente il supporto per una diagnosi completa se vi imbattete in questo o altri hack simili!

    
risposta data 26.09.2012 - 04:08
fonte

Leggi altre domande sui tag