Lavorare sulla pulizia di un compromesso del sito per un cliente. Lasciando da parte il fatto che il sito stia usando una serie di codici CodeIgniter personalizzati scritti da qualcuno che non aveva alcun concetto di sicurezza, mi sono imbattuto in un roadblock e volevo vedere se altri tipi di sicurezza IT potevano controllare il mio flusso di lavoro. Inoltre, il sito è ospitato su DreamHost, che sembra aver avuto qualche problema con il reindirizzamento di Pharma Spam a marzo, quindi non sono sicuro che il problema sia il sito dei miei clienti, oppure DreamHost è stato pwnato e non lo farà pony.
In sostanza, ciò che sta accadendo è quando si introduce un'istruzione ORDER BY
nel parametro di ricerca dell'URL del sito, un file con il titolo quickstart.dat
viene inserito nella home directory dell'utente. Questo file dat viene popolato con l'esatto codice HTML del sito farmaceutico, in modo tale che in seguito, quando si utilizza uno dei collegamenti ancorati sul sito, venga caricato l'HTML da questo file dat. NON reindirizza al sito farmaceutico, crea contenuti web locali che a loro volta collegano al sito Pharma.
Posso replicarlo ogni volta dopo aver eliminato quickstart.dat
per ripristinare la normale funzionalità, invece di usare l'istruzione ORDER BY
e avviare l'intero processo. Questo mi porta a credere che dovrei cercare nei database MySQL alla ricerca di codice dannoso inserito nelle tabelle a cui fa riferimento il file search.php
?
AGGIORNAMENTO: OK, quindi ho trovato il problema per quanto posso dire. Passando attraverso uno dei file index.php
qualcosa ha attirato la mia attenzione. C'era una dichiarazione require_once puntata verso un file pdf in una directory tmp. Tirato giù quel pdf, lo mise in una sandbox online, indicando che si trattava in realtà di script PHP. Quando ho cambiato l'estensione del file e l'ho aperto nel blocco note, blamo, codice base64 ovunque. Così ho cancellato il PDF e rimosso quella riga dal file index.php, la funzionalità normale è stata ripristinata. Grazie a tutti quelli che mi hanno allontanato dal database.